WordPress Vulnebility Roundup: septiembre de 2019, Parte 1

En la primera mitad de septiembre, se revelaron varias vulnerabilidades nuevas para los complementos y temas de WordPress, por lo que queremos informarle. En esta publicación cubrimos las vulnerabilidades recientes de los complementos y temas de WordPress y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Dividimos el resumen de vulnerabilidad de WordPress en cuatro categorías diferentes:
1. WordPress Core
2. complementos de WordPress
3. Temas de WordPress
4. Se rompe por Internet
* Incluimos violaciones en la web, porque es esencial crear conciencia sobre las vulnerabilidades fuera del ecosistema de WordPress. Las operaciones al software del servidor pueden exponer datos confidenciales. Las violaciones de la base de datos pueden exponer las credenciales de los usuarios en su sitio, abriendo la puerta de los atacantes para acceder a su sitio.
Vulnerabilidades básicas de WordPress
La versión de WordPress 5.2.3 se lanzó el 4 de septiembre de 2019 para remediar vulnerabilidades de seguridad más potenciales. Aquí hay un extracto de la publicación de lanzamiento de WordPress 5.2.3.
Correcciones de seguridad en WordPress 5.2.3
Propuestas a Simon Scannell de Rips Technologies para encontrar y revelar dos problemas. El primero, una vulnerabilidad de secuencias de comandos de sitios cruzados (XSS) que se encuentra en las vistas previas de las posiciones por los colaboradores. El segundo fue una vulnerabilidad de secuencias de comandos entre sitios en comentarios almacenados.
Las propuestas a Tim Coen para revelar un problema en el que la validación y el saneamiento de una URL podría conducir a una redirección abierta.
Los accesorios de Anshul Jain para revelar guiones reflejados en sitios durante las cargas de los medios.
Propuestas para Zhouyuan Yang de Fortinet’s Fortiguard Labs, que revelaron una vulnerabilidad que para las secuencias de comandos de sitios cruzados (XSS) en las vistas previas de los códigos cortos. ser encontrado en el tablero.
Propuestas a Soroush Dalili (@IRSDL) del grupo NCC para revelar una higiene de URL que puede conducir a ataques de secuencias de comandos de sitios cruzados (XSS).
Además de los cambios anteriores, también actualizamos JQuey en versiones anteriores de WordPress. Este cambio se ha agregado en 5.2.1 y ahora se lleva a versiones anteriores.
Vulnerabilidades de complementos de WordPress Varias vulnerabilidades nuevas para el complemento de WordPress se han descubierto en septiembre. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo.
1. Galería de fotos de 10web
La Galería de Photo de 10Web versión 1.5.34 y debajo del complemento es vulnerable a una inyección SQL y un ataque de secuencias de comandos de sitios cruzados. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.5.35.
2. Administrador de acceso avanzado
Advanced Acess Manager Versión 5.9.8.1 y abajo incluye una vulnerabilidad al acceso y descarga arbitraria. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 5.9.9.
3. Entradas para eventos
La versión de boleto en el evento 4.10.7.1 y abajo es vulnerable a un CSV de inyección.

Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 4.10.7.2.
4. La búsqueda excluye
La búsqueda excluye la versión 1.2.2 y a continuación es vulnerable a un cambio en la configuración arbitraria. Lo que debo hacer es reparado y debe actualizar a la versión 1.2.4.

5. LIBTERLMS
LIFTERLMS versión 3.34.5 y abajo es vulnerable a la vulnerabilidad de importar opciones no autorizadas. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.2.4.

6. Actualizaciones de contenido
Actualizaciones de contenido La versión 2.0.4 y las versiones posteriores son vulnerables a la vulnerabilidad de tipo cruzado.
Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.0.5.
7. Qwizcards
QWIZCARDS versión 3.36 y abajo es vulnerable a un ataque de ataque reflejado no autorizado. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.37.

8. La lista de verificación
Lista de verificación Versión 1.1.5 y abajo es vulnerable a un ataque no autorizado reflejado en los sitios. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.1.9.

9. Pagos de Spryng para WooCommerce
Los pagos de Spryng para WooCommerce versión 1.6.7 y abajo son vulnerables a un ataque de secuencias de comandos de sitios cruzados. Que debes hacer
Elimine el complemento hasta que se inicie una actualización con un parche.

10. Portrait-achiv.com Photostore
Portrait-Achiv.com Photostore versión 5.0.4 y abajo es vulnerable a un ataque de secuencia de comandos de asco cruzado. Que debes hacer
Elimine el complemento hasta que se inicie una actualización con un parche.

11. Ecpay Logistics para WooCommerce
Ecpay Logistics para WooCommerce versión 1.2.181030 y abajo es vulnerable a un ataque de secuencias de comandos de sitios cruzados. ¿Qué debe hacerse el complemento hasta que se inicie una actualización con un parche?
12. Tecnología de elipse de presencia humana

Ellipsis Human Presence Technology versión 2.0.8 y abajo es vulnerable a un ataque de ataque reflejado no autorizado.
Que debes hacer
Elimine el complemento hasta que se inicie una actualización con un parche.

13. Slickquiz

Slickquiz versión 1.6.7 y abajo es vulnerable a un ataque de scripts y inyección SQL de sitios cruzados. Que debes hacer
Elimine el complemento hasta que se inicie una actualización con un parche.
Temas de WordPress

No se reveló vulnerabilidad del tema de WordPress en la segunda mitad de agosto de 2019.
Cómo ser proactivo sobre las vulnerabilidades del tema de WordPress y los complementos que ejecutan el software obsoleto es por qué los sitios de WordPress son pirateados. Es crucial que la seguridad de su sitio de WordPress tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez por semana para realizar actualizaciones.
Las actualizaciones automáticas pueden ayudar a sus actualizaciones automáticas son una excelente opción para los sitios web de WordPress que no cambian muy a menudo. La falta de atención a menudo deja estos sitios descuidados y vulnerables a los ataques. Incluso con la configuración de seguridad recomendada, ejecutando un software vulnerable en su sitio. Puede darle al atacante un punto de entrada en su sitio. Usando la gestión de versiones de Security Pro Ithemes, puede activar las actualizaciones automáticas de WordPress para garantizar que reciba los últimos parches de seguridad. Estas configuraciones lo ayudan a proteger su sitio con opciones de actualización automática a nuevas versiones o para mejorar la seguridad del usuario cuando el software del sitio está desactualizado. Actualización de versiones actualizadas.
Actualizaciones de WordPress: instale automáticamente la última versión de WordPress.
Actualizaciones automáticas para complementos: instale automáticamente las últimas actualizaciones para complementos. Esto debe activarse, a menos que mantenga activamente este sitio diario e instale las actualizaciones manualmente poco después del lanzamiento.
Actualizaciones de temas automáticos: instale automáticamente las últimas actualizaciones de temas. Esto debe activarse a menos que su tema tenga personalizaciones de archivos.

Control granular sobre las actualizaciones de complementos y temas: puede tener complementos / temas que desea actualizar manualmente o retrasar la actualización hasta que la versión haya tenido tiempo para resultar estable. Puede elegir personalizado para la posibilidad de atribuir a cada complemento o tema, ya sea la actualización inmediata (activación), no la actualización automática (desactivación) o la actualización con un retraso de una cierta cantidad de días (retraso). Consolidación y alerta sobre problemas críticos
Consolidar el sitio cuando se ejecuta software anticuado, automáticamente agrega protección adicional al sitio cuando no se ha instalado una actualización disponible en un mes. El complemento de seguridad iThemes activará automáticamente una seguridad más estricta cuando no se haya instalado una actualización de un mes. En primer lugar, obligará a todos los usuarios que no tienen dos factores activos a proporcionar un código de autenticación enviado a su correo electrónico antes de iniciar sesión nuevamente. , XML-RPC Pingback y bloquean varios intentos de autenticación para cada solicitud XML-RPC (ambos hará que XML-RPC sea más contra los ataques sin tener que detenerlo por completo).
Busque otros sitios antiguos de WordPress: esto verificará si hay otras instalaciones obsoletas de WordPress en su cuenta de host. Un solo sitio de WordPress con una vulnerabilidad podría permitir a los atacantes comprometer a todos los demás sitios en la misma cuenta de host.
Enviar notificaciones de correo electrónico para problemas que requieren intervención, se envía un correo electrónico a los usuarios a nivel de administrador.
Breaks por Internet 1. La cuenta de Twitter de Jack Dorsey ha sido pirateada

Jack Dorsey, CEO Twitter, fue víctima de un ataque SIM Swap. Un intercambio de SIM es cuando un atacante trabaja con su proveedor móvil para llevar su teléfono a otro teléfono. Después de hacerse cargo de su número de teléfono, el actor malicioso puede recibir los códigos SMS con dos factores. Después de que el Grupo de Hackers Hackers de Rishling Tomó el control del número de teléfono móvil de Dorsey, pudieron usar Cloudhopper para enviar tuits. Cloudhopper es una compañía que Twitter ha comprada previamente para facilitar el acceso de tweets a través de mensajes de texto. 2. PhPMyAdMinversion PHP 4.9.0.1 La vulnerabilidad es vulnerable a un nuevo ataque de falsificación de solicitudes de sitios cruzados y es cero. La vulnerabilidad permitirá que un atacante active el ataque CSRF contra un usuario de PhPMyadmin que elimina cualquier servidor de la página de configuración. Asegúrese de actualizar PhPMyAdmin después de lanzar un parche de seguridad. Un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web Ithemes Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 30 formas de proteger y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress. Con dos autenticación de WordPress, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web.
Obtenga consejos simples para una mejor seguridad de WordPress. Descargue el nuevo libro electrónico: WordPress Security Pocket Guide
Descargar ahora
Obtener ithemes Security Pro
Michael Moore

Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros.Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems.Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas.Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.