WordPress Vulnebility Roundup: septiembre de 2019, Parte 2

* Actualizado el 13 de noviembre de 2019 para reflejar la adopción y corrección de las revisiones ricas por revisiones de estrellas de mar. ¡Un agradecimiento especial a las reseñas de Starfish por guardar las críticas ricas en complementos! En la última mitad de septiembre, se revelaron varias vulnerabilidades nuevas para complementos y temas de WordPress, por lo que queremos informarle. En esta publicación cubrimos las vulnerabilidades recientes de los complementos y temas de WordPress y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Dividimos el resumen de vulnerabilidad de WordPress en cuatro categorías diferentes:
1. WordPress Core
2. complementos de WordPress
3. Temas de WordPress
4. Se rompe por Internet
* Incluimos violaciones en la web, porque es esencial crear conciencia sobre las vulnerabilidades fuera del ecosistema de WordPress. Las operaciones al software del servidor pueden exponer datos confidenciales. Las violaciones de la base de datos pueden exponer las credenciales de los usuarios en su sitio, abriendo la puerta de los atacantes para acceder a su sitio. Vulnerabilidades básicas de WordPress
No se reveló una vulnerabilidad de WordPress en la segunda mitad de septiembre de 2019.
Las vulnerabilidades de los complementos de WordPress en agosto se descubrieron algunas vulnerabilidades nuevas para los complementos de WordPress. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo.
1. Fragmentos de anuncios de madera

Woody versión 2.2.8 fragmentos de anuncios y debajo son vulnerables a un ataque de secuencias de comandos de sitios cruzados. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.2.9.
2. Fancybox fácil

Easy Fancybox versión 1.8.17 y abajo es vulnerable a un ataque de secuencias de comandos de sitios cruzados. Lo que debo hacer es reparado y debe actualizar a la versión 1.8.18.
3. Filtros avanzados de productos AJAX
Los filtros de productos avanzados AJAX versión 1.3.6 y abajo son vulnerables a una actualización de la configuración no autorizada. La vulnerabilidad permitiría a un atacante redirigir el tráfico a un sitio malicioso.

Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.3.7.
4. SÍ
La versión 2.5.4 y abajo es vulnerable a un ataque de derivación de autenticación. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.5.5.
5. Distribuidor de automóviles y anuncios clasificados
Motors Car Distanteer y anuncios clasificados Versión 1.4.0 y debajo presentan varias vulnerabilidades, incluida una importación y exportación de configuraciones no autorizadas que conducen a un ataque almacenado por scripts entre sitios. La vulnerabilidad permitiría a un atacante redirigir el tráfico a un sitio malicioso.

Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.4.1.
6. Preguntas frecuentes finales
Ultimate FAQ versión 1.8.24 y abajo es vulnerable a una importación y exportación de configuraciones no autorizadas. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.8.25.
7. Ducks SEO
Delucks SEO versión 2.1.7 y debajo presenta una vulnerabilidad para actualizar opciones no autorizadas. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.1.8.
8. Reseñas ricas
Rich Reviews versión 1.7.4 y abajo tiene una vulnerabilidad para actualizar opciones de complementos inalcanzables. ¿Qué debe hacer?

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.83.
Temas WordPress 9. Solio – Director de Bienes Raíces
SOLIO – Director de bienes raíces La versión 1.1 y abajo tiene una inyección SQL y una vulnerabilidad persistente de reducción cruzada. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.1.1.

10. Nexos – bienes raíces
NEXOS – Real Estate Versión 1.1 y debajo tiene una inyección SQL y una vulnerabilidad persistente de reducción cruzada. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.1.1.

Cómo ser proactivo sobre las vulnerabilidades del tema de WordPress y los complementos que ejecutan el software obsoleto es por qué los sitios de WordPress son pirateados. Es crucial que la seguridad de su sitio de WordPress tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez por semana para realizar actualizaciones.
Las actualizaciones automáticas pueden ayudar a sus actualizaciones automáticas son una excelente opción para los sitios web de WordPress que no cambian muy a menudo. La falta de atención a menudo deja estos sitios descuidados y vulnerables a los ataques. Incluso con la configuración de seguridad recomendada, ejecutar software vulnerable en su sitio puede darle al atacante un punto de entrada en su sitio.
Utilizando las versiones de gestión de Ithemes Security Pro, puede activar las actualizaciones automáticas de WordPress para asegurarse de recibir los últimos parches de seguridad. Estas configuraciones lo ayudan a proteger su sitio con opciones de actualización automática a nuevas versiones o para mejorar la seguridad del usuario cuando el software del sitio está desactualizado. Actualización de versiones actualizadas.
Actualizaciones de WordPress: instale automáticamente la última versión de WordPress.

Actualizaciones automáticas para complementos: instale automáticamente las últimas actualizaciones para complementos. Esto debe activarse, a menos que mantenga activamente este sitio diario e instale las actualizaciones manualmente poco después del lanzamiento.

Actualizaciones de temas automáticos: instale automáticamente las últimas actualizaciones de temas. Esto debe activarse a menos que su tema tenga personalizaciones de archivos.
Control granular sobre las actualizaciones de complementos y temas: puede tener complementos / temas que desea actualizar manualmente o retrasar la actualización hasta que la versión haya tenido tiempo para resultar estable. Puede elegir personalizado para la posibilidad de atribuir a cada complemento o tema, ya sea la actualización inmediata (activación), no la actualización automática (desactivación) o la actualización con un retraso de una cierta cantidad de días (retraso).
Fortalecer y alertar sobre problemas críticos
Consolidar el sitio cuando se ejecuta software anticuado, automáticamente agrega protección adicional al sitio cuando no se ha instalado una actualización disponible en un mes. El complemento de seguridad iThemes activará automáticamente una seguridad más estricta cuando no se haya instalado una actualización de un mes. En primer lugar, obligará a todos los usuarios que no tienen dos factores activos a proporcionar un código de autenticación enviado a su correo electrónico antes de iniciar sesión nuevamente. , XML-RPC Pingback y bloquean varios intentos de autenticación para cada solicitud XML-RPC (ambos hará XML-RPC más fuerte contra ataques sin tener que detenerlo por completo). Esto verificará si hay otras instalaciones obsoletas de WordPress en su cuenta de host. Un solo sitio de WordPress con una vulnerabilidad podría permitir a los atacantes comprometer a todos los demás sitios en la misma cuenta de host.
Enviar notificaciones de correo electrónico para problemas que requieren intervención, se envía un correo electrónico a los usuarios a nivel de administrador.

Se rompe en Internet 1. Doordash
Doordash reveló en una publicación de blog que los datos de 4.9 millones de clientes, comerciantes y empleados se vieron comprometidos durante una violación el 4 de mayo de 2019. La violación incluyó nombres, direcciones de correo electrónico, direcciones físicas, números de teléfono hash y contraseñas.Afortunadamente, no han almacenado contraseñas en el texto simple, por lo que será muy difícil para el atacante descifrar y usar contraseñas.Los últimos 4 dígitos de algunas tarjetas de crédito se han comprometido, pero no se accedió a los números de tarjeta de crédito completos o números de CVV.Desafortunadamente, algunos de los números de permisos de conductores se han incluido en la violación. Si usted es un cliente de Doordash, puede contactarlos en el centro de llamadas dedicado para brindar asistencia a 855–646–4683 2.
El Proyecto Cero de Chrome descubrió y reveló una vulnerabilidad en la extensión del último paso para Chrome y Opera. La vulnerabilidad permitiría que un sitio web malicioso genere una ventana emergente y omite do_popuprist () para obtener las acreditaciones de la última cuenta conectada usando LastPass. No hay evidencia de que esta vulnerabilidad haya sido explotada en la naturaleza y LastPass ha lanzado un parche para las versiones de Chrome y el trabajo de su extensión. La vulnerabilidad destaca la importancia de usar la autenticación de dos factores y me entusiasma más con el futuro sin contraseña. Un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web Ithemes Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 30 formas de proteger y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress. Con dos autenticación de WordPress, protección de fuerza sin procesar, aplicación de contraseña segura y muchos más, puede agregar una capa de seguridad adicional a su sitio web. FAP más sobre la seguridad de WordPress con 10 consejos clave. Descargue su libro electrónico ahora: una guía de seguridad de WordPress
Descargar ahora
Obtener seguridad

Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.