WordPress Vulnerabilidad Breviar: octubre de 2019, Parte 2

En la segunda mitad de octubre, se revelaron varias vulnerabilidades nuevas para complementos y temas de WordPress, por lo que queremos informarle. En esta publicación cubrimos las vulnerabilidades recientes de los complementos y temas de WordPress y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Dividimos el resumen de vulnerabilidad de WordPress en cuatro categorías diferentes:
1. WordPress Core
2. complementos de WordPress
3. Temas de WordPress
4. Se rompe por Internet
* Incluimos violaciones en la web, porque es esencial crear conciencia sobre las vulnerabilidades fuera del ecosistema de WordPress. Las operaciones al software del servidor pueden exponer datos confidenciales. Las violaciones de la base de datos pueden exponer las credenciales de los usuarios en su sitio, abriendo la puerta de los atacantes para acceder a su sitio.
Nota: Puede pasar al diagrama de resumen de la vulnerabilidad para la segunda parte de octubre de 2019 que se enumera a continuación. Vulnerabilidades básicas de WordPress
No se reveló una vulnerabilidad de WordPress en la segunda mitad de octubre de 2019.
Vulnerabilidades de complementos de WordPress Varias vulnerabilidades nuevas para complementos de WordPress se descubrieron en octubre. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo. 1. SEO todo en un paquete

El SEO, todo en una versión 3.2.6 y debajo, es vulnerable a un ataque almacenado por las Escrituras de sitios cruzados. Un atacante deberá usar un usuario autenticado para explotar la vulnerabilidad. Si el atacante tiene acceso a un usuario administrador, podría realizar el código PHP y comprometer el servidor.
Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.2.7.
2. Verificador de enlaces roto

Broken Link Checker versión 1.11.8 y abajo es vulnerable a un ataque de scripts de sitios cruzados. Que debes hacer
Desinstale y elimine el complemento. Administrar WP no mantiene activamente el complemento y no lanzará un parche.
3. Gerente de eventos

El evento del administrador versión 5.9.5 y abajo es vulnerable a un ataque almacenado por scripts de sitio cruzado. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 5.9.6.
4. Ley de la UE sobre cookies

La versión 3.0.6 de la ley de cookies de la UE y a continuación es vulnerable a un ataque de secuencias de comandos de sitios cruzados. La vulnerabilidad permitirá que un atacante introduzca HTML y JavaScript arbitrary para cambiar la configuración de color de la fuente, el color de fondo y la “desactivación de cookies” de texto en el complemento. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.1.
5. Minimizar la velocidad rápida

Velocity Fast Minify Versión 2.7.6 y abajo tiene una vulnerabilidad que permitiría a un atacante autenticado descubrir la ruta completa de la instalación de WordPress. Una vulnerabilidad en el camino completo en sí no es crítica. Sin embargo, conocer el camino de la raíz proporcionaría a un atacante la información necesaria para aprovechar otras vulnerabilidades más severas.
Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.7.7.
6. Syntaxhighlighter evolucionó

SyntaxhighLighter Evolution versión 3.5.0 y abajo es vulnerable a un ataque de secuencias de comandos de sitios cruzados. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.5.1.7. WP HTML CORREO
WP HTML CORREO Versión 2.9.0.3 y abajo es vulnerable a un ataque de inyección HTML. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.9.1.
8. facturas en rodajas
Facturas en rodajas Versión 3.8.2 y abajo tiene múltiples vulnerabilidades. Las vulnerabilidades incluyen una inyección SQL autenticada, scripts de sitios cruzados autenticados, divulgando información no autorizada que permita el acceso a las facturas y la falta de falsificación de aplicaciones y autenticación de sitios cruzados.

Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.8.4.
9. Magnet de complemento del plomo Zoho CRM
Zoho CRM Lead Magnet Plugin versión 1.6.9 es vulnerable a un ataque autenticado por secuencias de comandos de sitios cruzados. La vulnerabilidad permitiría que un atacante realice códigos maliciosos en el navegador de un usuario. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.6.9.1.
10. Sobre el autor
Acerca de la versión del autor 1.3.9 y abajo es vulnerable a un ataque a los sitios. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.4.0.
11. Plantillas de correo electrónico
Plantillas de correo electrónico La versión 1.3 y el siguiente son vulnerables a un ataque de inyección HTML. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.3.1.
12. Groundhogg
La versión de Groundhogg 1.3.11.3 y abajo es vulnerable a un ataque autenticado por scripts de inyección de sitios cruzados y SQL. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.0.9.11.13. Plantilla de correo electrónico de WP
Plantilla de correo electrónico de WP versión 2.2.10 y abajo es vulnerable a un ataque de inyección HTML. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.2.11.

Temas WordPress 14. injob
La versión injob 3.3.7 y abajo es vulnerable a un ataque de secuencia de comandos de sarga cruzada. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.3.8.

Cómo ser proactivo sobre las vulnerabilidades del tema de WordPress y los complementos que ejecutan el software obsoleto es por qué los sitios de WordPress son pirateados. Es crucial que la seguridad de su sitio de WordPress tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez por semana para realizar actualizaciones. Las actualizaciones automáticas pueden ayudar a sus actualizaciones automáticas son una excelente opción para los sitios web de WordPress que no cambian muy a menudo. La falta de atención a menudo deja estos sitios descuidados y vulnerables a los ataques. Incluso con la configuración de seguridad recomendada, ejecutar software vulnerable en su sitio puede darle al atacante un punto de entrada en su sitio.
Utilizando las versiones de gestión de Ithemes Security Pro, puede activar las actualizaciones automáticas de WordPress para asegurarse de recibir los últimos parches de seguridad. Estas configuraciones lo ayudan a proteger su sitio con opciones de actualización automática a nuevas versiones o para aumentar la seguridad del usuario cuando el software del sitio está desactualizado.
Opciones para actualizar la gestión de versiones
Actualizaciones de WordPress: instale automáticamente la última versión de WordPress. Actualizaciones automáticas de complementos: instale automáticamente las últimas actualizaciones para complementos. Esto debe activarse, a menos que mantenga activamente este sitio diario e instale las actualizaciones manualmente poco después del lanzamiento.

Actualizaciones de temas automáticos: instale automáticamente las últimas actualizaciones de temas. Esto debe activarse a menos que su tema tenga personalizaciones de archivos.
Control granular sobre las actualizaciones de complementos y temas: puede tener complementos / temas que desea actualizar manualmente o retrasar la actualización hasta que la versión haya tenido tiempo para resultar estable. Puede elegir personalizado para la posibilidad de atribuir a cada complemento o tema, ya sea la actualización inmediata (activación), no la actualización automática (desactivación) o la actualización con un retraso de una cierta cantidad de días (retraso).
Fortalecer y alertar sobre problemas críticos
Consolidar el sitio cuando se ejecuta software anticuado, automáticamente agrega protección adicional al sitio cuando no se ha instalado una actualización disponible en un mes. El complemento de seguridad iThemes activará automáticamente una seguridad más estricta cuando no se haya instalado una actualización de un mes. En primer lugar, obligará a todos los usuarios que no tienen dos factores activos a proporcionar un código de autenticación enviado a su correo electrónico antes de iniciar sesión nuevamente. , XML-RPC Pingback y bloquean varios intentos de autenticación para cada solicitud XML-RPC (ambos hará XML-RPC más fuerte contra ataques sin tener que detenerlo por completo). Verificará si hay otras instalaciones obsoletas de WordPress en su cuenta de host. Un solo sitio de WordPress con una vulnerabilidad podría permitir a los atacantes comprometer a todos los demás sitios en la misma cuenta de host.
Enviar notificaciones de correo electrónico para problemas que requieren intervención, se envía un correo electrónico a los usuarios a nivel de administrador.


Descansa Internet 1. Vulnerabilidad a la ejecución del código remoto PHP en los servidores NGINX
Si uno de sus sitios está en un servidor NGINX que ha activado PHPM, podría ser vulnerable a un ataque de ejecución de código remoto.
Debe comunicarse con el host inmediatamente para asegurarse de que su servidor esté ejecutando uno de estos PHP 7.11, 7.2.24 o 7.1.33 correctos. Resumen de vulnerabilidad de WordPress para octubre de 2019, Parte 2
Escribe
Vulnerabilidad

Reparar
Medio
En la segunda mitad de octubre de 2019 no se revelaron vulnerabilidades centrales de WordPress.
complementos
El SEO, todo en una versión 3.2.6 y debajo, es vulnerable a un ataque almacenado por las Escrituras de sitios cruzados.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.2.7.
Broken Link Checker versión 1.11.8 y abajo es vulnerable a un ataque de scripts de sitios cruzados.
Retire el complemento. Administrar WP no mantiene activamente el complemento y no lanzará un parche.
El evento del administrador versión 5.9.5 y abajo es vulnerable a un ataque almacenado por scripts de sitio cruzado.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 5.9.6.
La versión 3.0.6 de la ley de cookies de la UE y a continuación es vulnerable a un ataque de secuencias de comandos de sitios cruzados.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.1.
Velocity Fast Minify Versión 2.7.6 y abajo tiene una vulnerabilidad que permitiría a un atacante autenticado descubrir la ruta completa de la instalación de WordPress.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.7.7.
SyntaxhighLighter Evolution versión 3.5.0 y abajo es vulnerable a un ataque de secuencias de comandos de sitios cruzados.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.5.1.
WP HTML CORREO Versión 2.9.0.3 y abajo es vulnerable a un ataque de inyección HTML.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.9.1.
Facturas en rodajas Versión 3.8.2 y abajo tiene múltiples vulnerabilidades. Las vulnerabilidades incluyen una inyección SQL autenticada, scripts de sitios cruzados autenticados, divulgando información no autorizada que permita el acceso a las facturas y la falta de falsificación de aplicaciones y autenticación de sitios cruzados.
La vulnerabilidad se ha reparado y debe actualizarla en la versión 3.8.4.zoho CRM Lead Magnet Plugin La versión 1.6.9 es vulnerable a un ataque autenticado por secuencias de comandos de sitios cruzados.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.6.9.1.
Acerca de la versión del autor 1.3.9 y abajo es vulnerable a un ataque a los sitios.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.4.0.
Plantillas de correo electrónico La versión 1.3 y el siguiente son vulnerables a un ataque de inyección HTML.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.3.1.
La versión de Groundhogg 1.3.11.3 y abajo es vulnerable a un ataque autenticado por scripts de inyección de sitios cruzados y SQL.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.0.9.11.
Plantilla de correo electrónico de WP versión 2.2.10 y abajo es vulnerable a un ataque de inyección HTML.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.2.11.
temas
La versión injob 3.3.7 y abajo es vulnerable a un ataque de secuencia de comandos de sarga cruzada.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.3.8.
Un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web + ahorra con un 35% hasta el 31 de octubre, iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 30 formas de proteger y proteger su sitio vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web.
Ahorre 35% de descuento * en absoluto en Ithems, es decir, cualquier complemento, tema, paquete combinado y adquisición de alojamiento, con el código de cupón Treat 135
Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros.Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems.Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas.Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.