WordPress Vulnebility Roundup: octubre de 2019, Parte 1

En la primera mitad de octubre, se revelaron varias vulnerabilidades nuevas para los complementos y temas de WordPress, por lo que queremos informarle. En esta publicación cubrimos las vulnerabilidades recientes de los complementos y temas de WordPress y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Dividimos el resumen de vulnerabilidad de WordPress en cuatro categorías diferentes:
1. WordPress Core
2. complementos de WordPress
3. Temas de WordPress
4. Se rompe por Internet
* Incluimos violaciones en la web, porque es esencial crear conciencia sobre las vulnerabilidades fuera del ecosistema de WordPress. Las operaciones al software del servidor pueden exponer datos confidenciales. Las violaciones de la base de datos pueden exponer las credenciales de los usuarios en su sitio, abriendo la puerta de los atacantes para acceder a su sitio.
WordPress Core Security WordPress 5.2.3 Actualización y abajo tiene más vulnerabilidades:
Escrituras entre sitios
Publicaciones no autorizadas
Scripting de sitio cruzado que conduce a una inyección de JavaScript
Envenenamiento por caché json
Solicitud de solicitud falsa en el lado del servidor
Validación con respecto al administrador.
Que debes hacer
Las vulnerabilidades se han reparado y deben actualizarse a la versión 5.2.4.
Vulnerabilidades de complementos de WordPress Varias vulnerabilidades nuevas para complementos de WordPress se descubrieron en octubre. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo.
1. Seguridad y firewall WP todo en uno

Todo en One WP Security & Firewall versión 4.4.1 y abajo tiene una redirección abierta que expone la página de conexión “oculta”. Si aún confía en un inicio de sesión “oculto” para garantizar que su inicio de sesión de WordPress, es hora de actualizar sus métodos. Consulte las 5 reglas simples para la seguridad de la conexión de WordPress. Lo que debo hacer es repararse y debe actualizarlo en la versión 4.4.2.
2. fabricante emergente
PopUp Maker versión 1.8.12 y abajo tiene una vulnerabilidad de autenticación interrumpida. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.8.13.
3. Sincronización
ITHEMES SYNC Versión 2.0.17 y abajo tiene una vulnerabilidad insuficiente para validar la clave segura. La vulnerabilidad podría conducir a un compromiso completo de un sitio de WordPress, así que confirme que su sitio ejecuta la versión 2.0.18 ¿Qué debe hacer?

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.0.18.
4. Descargue complementos y temas desde el tablero
Descargue complementos y temas de la versión 1.5.0 del tablero y a continuación es vulnerable a un ataque XSS no autorizado. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.6.0.
5. WPDatatatables
WPDATATABLE Versión 2.0.7 y abajo es vulnerable a un ataque de scripting y inyección SQL de sitios cruzados. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.0.8.
6. Google Analytics de Lara
Google Analytics 2.0.4 y las versiones posteriores de LARA son vulnerables a un ataque autenticado almacenado en varios sitios. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.0.5.7. Exportar usuarios a CSV
La exportación de usuarios en la versión CSV 1.3 y a continuación presenta una vulnerabilidad del acceso a CSV no autorizado.
Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.4.
8. Plugin SoundPress
SoundPress Plugin versión 2.2.0 y abajo es vulnerable a un ataque de secuencias de comandos de sitios cruzados. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.4.

Temas de WordPress
No se reveló vulnerabilidad del tema en el primer semestre de octubre de 2019.
Cómo ser proactivo sobre las vulnerabilidades del tema de WordPress y los complementos que ejecutan el software obsoleto es por qué los sitios de WordPress son pirateados. Es crucial que la seguridad de su sitio de WordPress tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez por semana para realizar actualizaciones.
Las actualizaciones automáticas pueden ayudar a sus actualizaciones automáticas son una excelente opción para los sitios web de WordPress que no cambian muy a menudo. La falta de atención a menudo deja estos sitios descuidados y vulnerables a los ataques. Incluso con la configuración de seguridad recomendada, ejecutando un software vulnerable en su sitio. Puede darle al atacante un punto de entrada en su sitio. Usando la gestión de versiones de Security Pro Ithemes, puede activar las actualizaciones automáticas de WordPress para garantizar que reciba los últimos parches de seguridad. Estas configuraciones lo ayudan a proteger su sitio con opciones de actualización automática a nuevas versiones o para mejorar la seguridad del usuario cuando el software del sitio está desactualizado. Actualización de versiones actualizadas.
Actualizaciones de WordPress: instale automáticamente la última versión de WordPress.
Actualizaciones automáticas para complementos: instale automáticamente las últimas actualizaciones para complementos. Esto debe activarse, a menos que mantenga activamente este sitio diario e instale las actualizaciones manualmente poco después del lanzamiento.

Actualizaciones de temas automáticos: instale automáticamente las últimas actualizaciones de temas. Esto debe activarse a menos que su tema tenga personalizaciones de archivos.
Control granular sobre las actualizaciones de complementos y temas: puede tener complementos / temas que desea actualizar manualmente o retrasar la actualización hasta que la versión haya tenido tiempo para resultar estable. Puede elegir personalizado para la posibilidad de atribuir a cada complemento o tema, ya sea la actualización inmediata (activación), no la actualización automática (desactivación) o la actualización con un retraso de una cierta cantidad de días (retraso). Consolidación y alerta sobre problemas críticos
Consolidar el sitio cuando se ejecuta software anticuado, automáticamente agrega protección adicional al sitio cuando no se ha instalado una actualización disponible en un mes. El complemento de seguridad iThemes activará automáticamente una seguridad más estricta cuando no se haya instalado una actualización de un mes. En primer lugar, obligará a todos los usuarios que no tienen dos factores activos a proporcionar un código de autenticación enviado a su correo electrónico antes de iniciar sesión nuevamente. , XML-RPC Pingback y bloquean varios intentos de autenticación para cada solicitud XML-RPC (ambos hará que XML-RPC sea más contra los ataques sin tener que detenerlo por completo).
Busque otros sitios antiguos de WordPress: esto verificará si hay otras instalaciones obsoletas de WordPress en su cuenta de host. Un solo sitio de WordPress con una vulnerabilidad podría permitir a los atacantes comprometer a todos los demás sitios en la misma cuenta de host.
Enviar notificaciones de correo electrónico para problemas que requieren intervención, se envía un correo electrónico a los usuarios a nivel de administrador.

Se rompe en Internet 1. Hackers que usan GIF para atacar a Drupal
Akami, una compañía de investigación de seguridad, notó un aumento en los ataques que incorporan códigos maliciosos en los archivos .gif. La buena noticia es que Drupal remedió esta vulnerabilidad hace más de un año. La mala noticia es que los sitios mal mantenidos aún no se han actualizado. La razón número uno por la cual los ataques maliciosos tienen éxito se debe al software obsoleto. No sea el tipo / galería cuyo sitio se ve comprometido por una actualización de un año. Actualice su sitio web 2. La vulnerabilidad de la señal permite a los piratas informáticos escuchar los micrófonos de AndroidGoogle Project Zero ha revelado recientemente una vulnerabilidad en la aplicación de mensajes de señal. La vulnerabilidad se puede usar al llamar al teléfono de alguien usando la aplicación de señal. Durante la llamada telefónica, el hacker tendrá que presionar el botón de desactivado de sonido mientras toca el teléfono objetivo. Al presionar el botón de desactivación de sonido, obligará al dispositivo objetivo a responder a la llamada, permitiendo al atacante escuchar su signo. Después de ser notificado por Bug por Google Project Zero, Signal lanzó rápidamente un parche. La explotación le pidió al atacante que eliminara y modifique el código en la aplicación. Afortunadamente, debido a la dificultad, no hay informes sobre la explotación utilizada en la naturaleza.
Octubre de 2019, Parte 1 Resumen de vulnerabilidad de WordPress
Escribe
Vulnerabilidad


Reparar

Medio
Escrituras entre sitios
Publicaciones no autorizadas
Scripting de sitio cruzado que conduce a una inyección de JavaScript
Envenenamiento por caché json
Solicitud de solicitud falsa en el lado del servidor
Validación con respecto al administrador.
Las vulnerabilidades se han reparado y deben actualizarse a la versión 5.2.4.
complementos
Todo en One WP Security & Firewall versión 4.4.1 y abajo tiene una redirección abierta que expone la página de conexión “oculta”.
PopUp Maker versión 1.8.12 y abajo tiene una vulnerabilidad de autenticación interrumpida.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.8.13
ITHEMES SYNC Versión 2.0.17 y abajo tiene una vulnerabilidad insuficiente para validar la clave segura. La vulnerabilidad podría conducir a un compromiso completo de un sitio de WordPress, así que confirme que su sitio está ejecutando la versión 2.0.18
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.0.18.
Descargue complementos y temas de la versión 1.5.0 del tablero y a continuación es vulnerable a un ataque XSS no autorizado.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.6.0.
WPDATATABLE Versión 2.0.7 y abajo es vulnerable a un ataque de scripting y inyección SQL de sitios cruzados.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.0.8.
Google Analytics 2.0.4 y las versiones posteriores de LARA son vulnerables a un ataque autenticado almacenado en varios sitios.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.0.5.
Exportar usuarios en la versión CSV 1.3 y debajo presenta vulnerabilidad no autorizada en el acceso a CSV.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.4.
temas
No se reveló vulnerabilidad del tema en el primer semestre de octubre de 2019.
No se reveló vulnerabilidad del tema en el primer semestre de octubre de 2019.
Un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web Ithemes Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 30 formas de proteger y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web. Fap más sobre la seguridad de WordPress con 10 consejos clave. Descargue su libro electrónico ahora: una guía de seguridad de WordPress
Descargar ahora
Obtener seguridad
Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.