WordPress Vulnerabilidad Breviar: noviembre de 2019, primera parte

En la primera mitad de noviembre, se revelaron varias vulnerabilidades nuevas para los complementos y temas de WordPress, por lo que queremos informarle. En esta publicación cubrimos las vulnerabilidades recientes de los complementos y temas de WordPress y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Dividimos el resumen de vulnerabilidad de WordPress en cuatro categorías diferentes:
1. WordPress Core
2. complementos de WordPress
3. Temas de WordPress
4. Se rompe por Internet
* Incluimos violaciones en la web, porque es esencial crear conciencia sobre las vulnerabilidades fuera del ecosistema de WordPress. Las operaciones al software del servidor pueden exponer datos confidenciales. Las violaciones de la base de datos pueden exponer las credenciales de los usuarios en su sitio, abriendo la puerta de los atacantes para acceder a su sitio.
Actualización de seguridad de WordPress Core
No se revelaron nuevas vulnerabilidades de WordPress en la primera mitad de noviembre.
WordPress 5.3 ha caído esta semana, así que asegúrese de actualizar sus sitios lo antes posible. Aquí hay un vistazo rápido a las primeras 20 nuevas características y mejoras en WordPress 5.3. Vulnerabilidades de complementos de WordPress Varias vulnerabilidades nuevas para complementos de WordPress se descubrieron en octubre. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo. 1. SVG SAFE

La versión segura de la versión 1.9.5 y debajo es vulnerable a un ataque de sitios cruzados de scripts en el sitio. La vulnerabilidad permite que un atacante omita la protección agregada por SAFE SVG. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.9.6.2. Interruptor de divisas para wooCommerce
Cambiar el conmutador para WooCommerce versión 2.11.1 tiene una vulnerabilidad para evitar restricciones de seguridad que permitirían a un atacante activar una moneda que actualmente no se activa en la configuración. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.11.2.
3. Chat en vivo Tidio
Tidio Live Chat versión 4.1 y abajo es vulnerable a una demanda de falsificación entre sitios que conducen a un ataque de guiones entre sitios. La vulnerabilidad permitiría a un atacante engañar a los administradores para agregar una tarea útil maliciosa que se presentará a todos los visitantes. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarla a la versión 4.2.
4. IgniteUp: pronto y modo de mantenimiento
IgniteUp: pronto el modo de mantenimiento versión 3.4 y abajo tiene múltiples vulnerabilidades.

Eliminar archivos arbitrarios
Inyección HTML y CSRF en mensajes de correo electrónico
Scripts de sitio cruzado almacenados
Divulgar la dirección de correo electrónico de los suscriptores
La eliminación arbitraria del suscriptor
Interruptor templon del complemento arbitrario
Que debes hacer
Las vulnerabilidades se han reparado y deben actualizarse a la versión 3.4.1.
5. Blog2Social: Social Media Auto Post & Scheduler
Blog2Social: Social Media Auto Post & Scheduler versión 5.8.1 tiene una vulnerabilidad de secuencias de comandos entre sitios. La vulnerabilidad permitiría que un atacante realice códigos arbitrarios HTML y JavaScript que podrían ser ejecutados por un enlace malicioso. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 5.9.6. WP Google Review Slisder
WP Google Review Slider versión 6.1 es vulnerable a un ataque autenticado de inyección SQL. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 6.2.

7. Yith Plugin Framework (39 complementos individuales)
El conjunto de complementos de WooCommerce es vulnerable a un cambio de configuración autenticado. Este gráfico resume los 39 complementos vulnerables:
Resumen de las vulnerabilidades del complemento yith

Escribe
Vulnerabilidad
Reparar
Yith complementos
Yija WooCommerce Wishlist
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.2.14.
Comparar yith CooCommerce
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.3.15.
Vista rápida y woocommerce
La vulnerabilidad ha sido reparada y debe actualizar la versión 1.3.15.
Yith Lupa Zoom WooCommerce
La vulnerabilidad ha sido reparada y debe actualizar la versión 1.3.12.
WooCommerce Ajax Search
La vulnerabilidad ha sido reparada y debe actualizar la versión 1.7.1.
Gestión de la insignia de WooCommerce
La vulnerabilidad ha sido reparada y debe actualizar la versión 1.3.21.
Suplemento de las marcas de WooCommerce
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.3.7.
WooCommerce solicita una oferta
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.4.9.
Conexión social de WooCommerce
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.3.6.
Seguimiento de comandos de WooCommerce
La vulnerabilidad ha sido reparada y debe actualizarla a la versión 1.2.11. PDF WooCommerce Facture
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.2.13.
PERSONA PARA WOCOMMERCE
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.2.1.
Revisiones avanzadas de WooCommerce
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.2.1.
Suplementos de productos de WooCommerce
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.5.23.
Tarjetas de regalo de WooCommerce
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.3.8.
Suscripciones de WooCommerce
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.3.6.
Afiliado wooCommerce
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.6.3.
Mensajes de canasta de WooCommerce
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.4.5.
Paquetes de productos de WooCommerce
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.1.17.
WooCommerce frecuentemente comprado juntos
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.2.14.
WooCommerce Checkout en varios pasos
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.7.5.
Variantes de color y etiqueta para WooCommerce
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.8.13.
Página de Acción de Gracias personalizada para WooCommerce
La vulnerabilidad ha sido reparada y debe actualizarla en la versión 1.1.8.
Diagramas del tamaño del producto para WooCommerce
La vulnerabilidad ha sido reparada y debe actualizarla en la versión 1.1.13.
WooCommerce agregado al carrito
La vulnerabilidad ha sido reparada y debe actualizarla en la versión 1.3.13.
Edición de matón de WooCommerce Products
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.2.15.
Raya de wooCommerce
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.0.2.
Lista de espera de WooCommerce
La vulnerabilidad ha sido reparada y debe actualizarla a la versión 1.3.11.
Puntos y recompensas de WooCommerce
La vulnerabilidad ha sido reparada y debe actualizarla a la versión 1.3.6.
Revisiones avanzadas de WooCommerce
La vulnerabilidad fue parche y debe actualizarlo en la versión 1.3.6.
Sistema de reembolso avanzado para WooCommerce
La vulnerabilidad ha sido parches y debería actualizar la versión 1.0.12.
Pageo de Gateway de WooCommerce Authorize.net
La vulnerabilidad fue parches y debe actualizarse a la versión 1.1.13.
El mejor vellen de WooCommerce
La vulnerabilidad fue parches y debe actualizarse a la versión 1.1.13.
WooCommerce MailChimp
La vulnerabilidad fue parche y debe actualizarse a la versión 2.1.4.
Proveedores de productos de WooCommerce
La vulnerabilidad ha sido reparada y debe actualizarla en la versión 3.4.1.
Preguntas y respuestas de WooCommerce
La vulnerabilidad ha sido reparada y debe actualizarla en la versión 1.2.0.
CARRO DE RECUPERACIÓN DE LA RECUPERACIÓN
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.2.0.
Cheque de PayPal Express para WooCommerce
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.2.6.
Notificaciones de escritorio para WoCommerce
La vulnerabilidad fue Patch, y debe actualizarlo a la versión 1.2.8. WordPress 1. Tema de la propiedad de Zoner-Real
Tema de bienes raíces Zoner versión 4.1.1 y debajo de una vulnerabilidad y scripts de referencia directa persistente en sitios persistentes.
Que debes hacer
Las vulnerabilidades no han sido reparadas. Siga el cambio de cambios para una actualización que incluya un remedio.
Cómo ser proactivo sobre las vulnerabilidades del tema de WordPress y los complementos que ejecutan el software obsoleto es por qué los sitios de WordPress son pirateados. Es crucial que la seguridad de su sitio de WordPress tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez por semana para realizar actualizaciones. Las actualizaciones automáticas pueden ayudar a sus actualizaciones automáticas son una excelente opción para los sitios web de WordPress que no cambian muy a menudo. La falta de atención a menudo deja estos sitios descuidados y vulnerables a los ataques. Incluso con la configuración de seguridad recomendada, ejecutar software vulnerable en su sitio puede darle al atacante un punto de entrada en su sitio.

Utilizando las versiones de gestión de Ithemes Security Pro, puede activar las actualizaciones automáticas de WordPress para asegurarse de recibir los últimos parches de seguridad. Estas configuraciones lo ayudan a proteger su sitio con opciones de actualización automática a nuevas versiones o para aumentar la seguridad del usuario cuando el software del sitio está desactualizado.

Opciones para actualizar la gestión de versiones
Actualizaciones de WordPress: instale automáticamente la última versión de WordPress.
Actualizaciones automáticas para complementos: instale automáticamente las últimas actualizaciones para complementos. Esto debe activarse, a menos que mantenga activamente este sitio diario e instale manualmente las actualizaciones poco después del lanzamiento. Realizaciones automáticas del tema: instale automáticamente las últimas actualizaciones. Esto debe activarse a menos que su tema tenga personalizaciones de archivos.
Control granular sobre las actualizaciones de complementos y temas: puede tener complementos / temas que desea actualizar manualmente o retrasar la actualización hasta que la versión haya tenido tiempo para resultar estable. Puede elegir personalizado para la posibilidad de atribuir a cada complemento o tema, ya sea la actualización inmediata (activación), no la actualización automática (desactivación) o la actualización con un retraso de una cierta cantidad de días (retraso).

Fortalecer y alertar sobre problemas críticos
Consolidar el sitio cuando se ejecuta software anticuado, automáticamente agrega protección adicional al sitio cuando no se ha instalado una actualización disponible en un mes. El complemento de seguridad iThemes activará automáticamente una seguridad más estricta cuando no se haya instalado una actualización de un mes. En primer lugar, obligará a todos los usuarios que no tienen dos factores activos a proporcionar un código de autenticación enviado a su correo electrónico antes de iniciar sesión nuevamente. , XML-RPC Pingback y bloquean varios intentos de autenticación para cada solicitud XML-RPC (ambos hará que XML-RPC sea más contra los ataques sin tener que detenerlo por completo).
Busque otros sitios antiguos de WordPress: esto verificará si hay otras instalaciones obsoletas de WordPress en su cuenta de host. Un solo sitio de WordPress WordPress con una vulnerabilidad podría permitir a los atacantes comprometer a todos los demás sitios en la misma cuenta de host. Notificaciones de correo electrónico, por problemas que requieren intervención, se envía un correo electrónico a los usuarios a nivel de administrador.
Rompe Internet 1. Los usuarios de WordPress infectan sus propios sitios con arados y temas piratas
Según Wordfency, hubo un aumento en la campaña publicitaria WP-VCD. Este malware especial es bastante feo, porque es muy difícil eliminar por completo de un sitio infectado y puede extenderse a otros sitios de WordPress en el servidor. La parte más frustrante para los propietarios de sitios que han sido afectados por el malware WP-VCD es que han infectado su propio sitio. Los propietarios de sitios que han instalado versiones gratuitas y pirateadas de los complementos y los temas pagados, recibieron un poco más de lo que fueron negociados. El software pirateado incluía un código malicioso que creó una puerta trasera con una alfombra de bienvenida para el virus WP-VCD.

El día 1 de la semana de desastres de WordPress Ithemes, hemos presentado cómo evitar un desastre de seguridad. Una de las cosas importantes que cubrimos fue la limitación de las oportunidades de operación de PHP, instalando solo software de fuentes confiables. Tener un sitio infectado con malware siempre se agrava cuando sabe que podría y debería haberse prevenido.
Resumen de vulnerabilidad de WordPress para noviembre de 2019, Parte 1
Escribe
Vulnerabilidad
Reparar

Vulnerabilidades de Middlenu WordPress Core se reveló en el primer semestre de noviembre de 2019.
complementos
La versión segura de SVG 1.9.5 y abajo es vulnerable a un ataque de sitios cruzados de script en el sitio.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.9.6.
Cambiar el conmutador para la versión WooCommerce 2.11.1 y a continuación es vulnerable a un ataque de restricción de seguridad.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.11.2.
Tidio Live Chat versión 4.1 y abajo es vulnerable a una demanda de falsificación entre sitios que conducen a un ataque de guiones entre sitios.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 4.2.
IgniteUp: pronto el modo de mantenimiento versión 3.4 y abajo tiene múltiples vulnerabilidades.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.4.1.
Blog2Social: Social Media Auto Post & Scheduler versión 5.8.1 y abajo es vulnerable a un ataque de secuencia de comandos de asco cruzado.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 5.9.
WP Google Review Slider versión 6.1 y abajo es vulnerable a un ataque de inyección SQL autenticado.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 6.2.
El suite de marco de complemento yith de WooCommerce Plugins es vulnerable a un cambio de configuración autenticado.
La vulnerabilidad ha sido reparada y debería actualizarse.
Un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web Ithemes Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 30 formas de proteger y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress. Con dos autenticación de WordPress, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web. Descargue el nuevo libro electrónico: WordPress Security Pocket Guide
Descargar ahora
Obtener ithemes Security Pro
Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.