WordPress Vulnerabilidad Breviar: diciembre de 2019

Algunas nuevas vulnerabilidades para el tema del complemento y WordPress se revelaron en la primera mitad de diciembre, por lo que queremos informarle. En esta publicación cubrimos las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. WordPress Vulnerabilidad Roundup se divide en cuatro categorías diferentes:
1. WordPress Core
2. complementos de WordPress
3. Temas de WordPress
4. Se rompe por Internet
Nota: Puede pasar al diagrama de resumen de vulnerabilidad para la primera parte de diciembre de 2019 que se enumera a continuación.
Vulnerabilidades básicas WordPress WordPress 5.3.1 Versión de seguridad de WordPress recientemente reveló tres vulnerabilidades en WordPress 5.3:
Los usuarios sin privilegios podrían hacer una publicación pegajosa a través del resto.
La vulnerabilidad de secuencias de comandos entre sitios se puede almacenar en enlaces.
Vulnerabilidad almacenada de sitios cruzados almacenados utilizando el contenido del editor de bloques.
Se pueden encontrar más detalles en la estación de lanzamiento y mantenimiento de WordPress 5.3.1 WordPress. Que debes hacer
Estas vulnerabilidades han sido reparadas y debe actualizar todos sus sitios web hoy en WordPress 5.3.1.
Las vulnerabilidades de los complementos de WordPress hasta ahora se han descubierto algunas vulnerabilidades nuevas para los complementos de WordPress. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo.
1. Verificación de ortografía de WP

WP REGALO DE LA Versión 7.1.9 y abajo es vulnerable a un ataque entre los sitios de falsificación de demanda. Lo que debo hacer es repararse y debe actualizarlo en la versión 7.1.10.
2. Héroe CSS
CSS Hero versión 4.03 y abajo es vulnerable a un ataque XSS autenticado. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 4.07.
3. Final completo para Beaver Builder
Los complementos definitivos para Beaver Builder versión 1.24.0 y abajo son vulnerables a un ataque de derivación de autenticación.

Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.24.1.
4. Final se completa para Elementor
Los complementos definitivos para Elementor versión 1.20.0 y abajo son vulnerables a un ataque de derivación de autenticación. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.20.1.
5. Scoutnet Kalender
Las versiones 1.1.0 y debajo de Scoutnet Kalender son vulnerables a un ataque almacenado por escrituras de sitios cruzados. Que debes hacer

Elimine Scontet Kalendar porque el complemento aparece ha sido abandonado.
Temas de WordPress 1.
Mesmerize Versiones 1.6.89 y abajo tienen una vulnerabilidad para actualizar las opciones autenticadas. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.6.90.
2. materialis
Las versiones de materiales 1.0.172 y a continuación tienen una vulnerabilidad para actualizar las opciones autenticadas. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.0.173.
3. ListingPro
ListingPro 2.0.14.2 Las versiones y a continuación tienen una vulnerabilidad reflejada y persistente en el sitio web de secuencias de comandos entre sitios. Lo que debo hacer es reparado y debe actualizarlo en la versión 2.0.14.5.

4. Superlista
Las versiones superistas 2.9.2 y abajo son vulnerables a un ataque almacenado por guiones entre sitios. Que debes hacer
La vulnerabilidad no se ha reparado y debe eliminar el tema. Siga el diario de cambio para obtener una actualización de seguridad.

Cómo ser proactivo sobre las vulnerabilidades del tema de WordPress y los complementos que ejecutan el software obsoleto es por qué los sitios de WordPress son pirateados. Es crucial que la seguridad de su sitio de WordPress tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez por semana para realizar actualizaciones.
Las actualizaciones automáticas pueden ayudar a sus actualizaciones automáticas son una excelente opción para los sitios web de WordPress que no cambian muy a menudo. La falta de atención a menudo deja estos sitios descuidados y vulnerables a los ataques. Incluso con la configuración de seguridad recomendada, ejecutando un software vulnerable en su sitio. Puede darle al atacante un punto de entrada en su sitio. Usando la gestión de versiones de Security Pro Ithemes, puede activar las actualizaciones automáticas de WordPress para garantizar que reciba los últimos parches de seguridad. Estas configuraciones lo ayudan a proteger su sitio con opciones de actualización automática a nuevas versiones o para aumentar la seguridad del usuario cuando el software del sitio está desactualizado.
Opciones para actualizar la gestión de versiones
Actualizaciones de WordPress: instale automáticamente la última versión de WordPress. Actualizaciones automáticas de complementos: instale automáticamente las últimas actualizaciones para complementos. Esto debe activarse, a menos que mantenga activamente este sitio diario e instale las actualizaciones manualmente poco después del lanzamiento.

Actualizaciones de temas automáticos: instale automáticamente las últimas actualizaciones de temas. Esto debe activarse a menos que su tema tenga personalizaciones de archivos.
Control granular sobre las actualizaciones de complementos y temas: puede tener complementos / temas que desea actualizar manualmente o retrasar la actualización hasta que la versión haya tenido tiempo para resultar estable. Puede elegir personalizado para la posibilidad de atribuir a cada complemento o tema, ya sea la actualización inmediata (activación), no la actualización automática (desactivación) o la actualización con un retraso de una cierta cantidad de días (retraso).
Fortalecer y alertar sobre problemas críticos
Consolidar el sitio cuando se ejecuta software anticuado, automáticamente agrega protección adicional al sitio cuando no se ha instalado una actualización disponible en un mes. El complemento de seguridad iThemes activará automáticamente una seguridad más estricta cuando no se haya instalado una actualización de un mes. En primer lugar, obligará a todos los usuarios que no tienen dos factores activos a proporcionar un código de autenticación enviado a su correo electrónico antes de iniciar sesión nuevamente. , XML-RPC Pingback y bloquean varios intentos de autenticación para cada solicitud XML-RPC (ambos hará XML-RPC más fuerte contra ataques sin tener que detenerlo por completo). Verificará si hay otras instalaciones obsoletas de WordPress en su cuenta de host. Un solo sitio de WordPress con una vulnerabilidad podría permitir a los atacantes comprometer a todos los demás sitios en la misma cuenta de host.
Enviar notificaciones de correo electrónico para problemas que requieren intervención, se envía un correo electrónico a los usuarios a nivel de administrador.
¿Gestionar más sitios de WP? Actualice los complementos, los temas y el núcleo a la vez desde el tablero de sincronización ITHEMS
Ithemes Sync es nuestro tablero central para ayudarlo a administrar más sitios de WordPress. Desde el tablero de sincronización, puede ver las actualizaciones disponibles para todos sus sitios y luego actualizar los complementos, los temas y un solo clic. También puede recibir notificaciones diarias por correo electrónico cuando hay una nueva versión de actualización disponible.
Pruebe la sincronización gratuita durante 30 días. Obtenga más información
Los descansos en Internet incluyen violaciones en la web, porque es esencial estar al tanto de las vulnerabilidades fuera del ecosistema de WordPress. Las operaciones al software del servidor pueden exponer datos confidenciales. Las violaciones de la base de datos pueden exponer las credenciales de los usuarios en su sitio, abriendo la puerta de los atacantes para acceder a su sitio web. Llame a los trucos de la habitación
Desafortunadamente, algunas familias informan episodios de acoso después de que sus dispositivos de anillo se han roto. Si usa cualquier sala de seguridad que le permita ver un flujo en vivo desde la distancia, debe saber cómo los hackers ingresan a la sala de anillos. Según un portavoz de Ring, estos informes de hack se han aislado y no se relacionaron con pirata o incumplimiento de la seguridad del anillo. Esta es una excelente noticia y significa que probablemente los hacks culpables eran contraseñas débiles y no usaban 2FA. Un ataque de fuerza bruta, cuando un hocico malicioso intenta una combinación aleatoria de nombre de usuario y contraseñas hasta que uno tenga éxito y pueda tener acceso a su cuenta.


Afortunadamente para nosotros, es bastante fácil proteger sus cuentas de un ataque de fuerza bruta. Según Google Security Research, digo que el uso de la autenticación de dos factores detendrá el 100% de los ataques BOT si instala un dispositivo IoT, especialmente uno que le permite ver y escuchar lo que está sucediendo dentro de la casa, asegúrese de protegerse de usted. y su familia usa una contraseña segura y una autenticación de dos factores. Resumen de vulnerabilidad de WordPress para diciembre de 2019, Parte 1

Escribe
Vulnerabilidad
Reparar

Medio
El equipo de WordPress reveló 3 vulnerabilidades en la versión 5.3.
Estas vulnerabilidades se han reparado y deben actualizarse a la versión 5.3.1.
complementos
WP REGALO DE LA Versión 7.1.9 y abajo es vulnerable a un ataque entre los sitios de falsificación de demanda.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 7.1.10.
Los complementos definitivos para Beaver Builder versión 1.24.0 y abajo son vulnerables a un ataque de derivación de autenticación.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.24.1.
Los complementos definitivos para Elementor versión 1.20.0 y abajo son vulnerables a un ataque de derivación de autenticación.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.20.1.
CSS Hero versión 4.03 y abajo es vulnerable a un ataque XSS autenticado.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 4.07.
Las versiones 1.1.0 y debajo de Scoutnet Kalender son vulnerables a un ataque de secuencias de comandos de sitios cruzados almacenados.
Debes eliminar el escontet Kalendar. Parece que el complemento ha sido abandonado y ya no se mantiene.
Exportar usuarios en la versión CSV 1.3 y debajo presenta vulnerabilidad no autorizada en el acceso a CSV.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.4.
temas
Mesmerize Versiones 1.6.89 y abajo tienen una vulnerabilidad para actualizar las opciones autenticadas.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.6.90.
Las versiones de materiales 1.0.172 y a continuación tienen una vulnerabilidad para actualizar las opciones autenticadas.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.0.173.
Las versiones superistas 2.9.2 y abajo son vulnerables a un ataque almacenado por las escrituras de sitios cruzados.
ListingPro 2.0.14.2 Las versiones y a continuación tienen una vulnerabilidad reflejada y persistente en el sitio web de secuencias de comandos entre sitios.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.0.173.
Un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web Ithemes Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 30 formas de proteger y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web. Obtener seguridad
Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.