WordPress Vulnebility Roundup: agosto de 2019, Parte 2

En la última mitad de agosto, se revelaron algunas nuevas vulnerabilidades para complementos y temas de WordPress, por lo que queremos informarle. En esta publicación cubrimos las vulnerabilidades recientes de los complementos y temas de WordPress y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Dividimos el resumen de vulnerabilidad de WordPress en cuatro categorías diferentes:
1. WordPress Core
2. complementos de WordPress
3. Temas de WordPress
4. Se rompe por Internet
* Incluimos violaciones en la web, porque es esencial crear conciencia sobre las vulnerabilidades fuera del ecosistema de WordPress. Las operaciones al software del servidor pueden exponer datos confidenciales. Las violaciones de la base de datos pueden exponer las credenciales de los usuarios en su sitio, abriendo la puerta de los atacantes para acceder a su sitio.
Vulnerabilidades básicas de WordPress
Las vulnerabilidades de WordPress no se revelaron en agosto de 2019.
Las vulnerabilidades de los complementos de WordPress en agosto se descubrieron algunas vulnerabilidades nuevas para los complementos de WordPress. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo. 1. Galería NextGen

NextGen Gallery versión 3.2.10 y abajo es vulnerable a una inyección SQL. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.2.11.
2. Formularios de luz para MailChimp

Formularios fáciles para MailChimp versión 6.5.2 y abajo son vulnerables a una inyección de código.
Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 6.5.3.
3. Galería WP Social Feed

WP Social Feed Gallery versión 2.4.7 y abajo carece de controles de autorización apropiados. La vulnerabilidad podría permitir a los usuarios de bajo nivel realizar un ataque de falsificación de sitios cruzados. Lo que debo hacer es reparado y debe actualizar a la versión 2.4.8.
4. Social LikeBox & Feed
Social LikeBox & Feed Versión 2.8.4 y abajo es vulnerable a un ataque para falsificar solicitudes entre sitios y secuencias de comandos.

Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.8.5.
5. Muestras de variación de WooCommerce
Las muestras de variación para WooCommerce versión 1.0.61 y abajo son vulnerables a un ataque de secuencia de comandos de solicitud de sitio cruzado. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.0.62.
6. iconos WP SVG
WP SVG Icons versión 3.2.2 y abajo es vulnerable a una falsificación de la demanda entre sitios que conducen al ataque de ejecución de código remoto. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.2.3.
7. Estimado generador de páginas
Bold Page Builder versión 2.3.1 y abajo es vulnerable a un ataque de gestión de privilegios inadecuado. La vulnerabilidad permite a los usuarios no autorizados realizar tareas que deberían limitarse a los usuarios de los administradores. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.3.2.
8. Importar exportación de usuarios de WordPress
Importar exportación de usuarios de WordPress versión 1.3.1 y abajo es vulnerable a una inyección CSV. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.3.29. UserPro
UserPro versión 4.9.33 y abajo es vulnerable a un ataque de secuencias de comandos de sitios cruzados. Que debes hacer
Elimine el complemento hasta que se inicie una actualización con un parche.

10. Contenido privado de WP Plus
WP Private Content Plus Versión 1.31 y abajo es vulnerable a un ataque a opciones no autorizadas. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.0. A partir del 3 de septiembre, el complemento está cerrado en el almacén WP.org mientras espera el examen.

11. Shapepress DSGVO
Shapepress DSGVO versión 2.2.19 y las versiones posteriores son vulnerables a un ataque de secuencias de comandos y falsificación de sitios cruzados.
Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.2.20.
12. Feed de productos de WooCommerce
WooCommerce Product Feed Versión 3.1.14 y abajo es vulnerable a un ataque de secuencias de comandos de sitios cruzados. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.1.15.

13. El registro de Pies
Registro PIE Versión 3.1.1 y abajo es vulnerable a una inyección SQL. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.1.2.

14. Lista de propiedades de luz
Fácil Lista de propiedades Versión 3.3.5 y abajo es vulnerable a un ataque de secuencias de comandos de sitios cruzados.
Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.4.
15. Handl Utm Grabber
Handl UTM Grabber versión 2.6.4 y abajo es vulnerable a un ataque de falsificación de sitios cruzados. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.6.5.16. Bibliotecario web


Bibliotecario web Versión 3.5.2 y abajo es vulnerable a una inyección SQL. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.5.5.
Temas de WordPress

No se reveló vulnerabilidad del tema de WordPress en la segunda mitad de agosto de 2019.
Cómo ser proactivo sobre las vulnerabilidades del tema de WordPress y los complementos que ejecutan el software obsoleto es por qué los sitios de WordPress son pirateados. Es crucial que la seguridad de su sitio de WordPress tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez por semana para realizar actualizaciones.
Las actualizaciones automáticas pueden ayudar a sus actualizaciones automáticas son una excelente opción para los sitios web de WordPress que no cambian muy a menudo. La falta de atención a menudo deja estos sitios descuidados y vulnerables a los ataques. Incluso con la configuración de seguridad recomendada, ejecutando un software vulnerable en su sitio. Puede darle al atacante un punto de entrada en su sitio. Usando la gestión de versiones de Security Pro Ithemes, puede activar las actualizaciones automáticas de WordPress para garantizar que reciba los últimos parches de seguridad. Estas configuraciones lo ayudan a proteger su sitio con opciones de actualización automática a nuevas versiones o para aumentar la seguridad del usuario cuando el software del sitio está desactualizado.
Opciones para actualizar la gestión de versiones
Actualizaciones de WordPress: instale automáticamente la última versión de WordPress.
Actualizaciones automáticas para complementos: instale automáticamente las últimas actualizaciones para complementos. Esto debe activarse, a menos que mantenga activamente este sitio diario e instale manualmente las actualizaciones poco después del lanzamiento. Realizaciones automáticas del tema: instale automáticamente las últimas actualizaciones. Esto debe activarse a menos que su tema tenga personalizaciones de archivos.

Control granular sobre las actualizaciones de complementos y temas: puede tener complementos / temas que desea actualizar manualmente o retrasar la actualización hasta que la versión haya tenido tiempo para resultar estable. Puede elegir personalizado para la posibilidad de atribuir a cada complemento o tema, ya sea la actualización inmediata (activación), no la actualización automática (desactivación) o la actualización con un retraso de una cierta cantidad de días (retraso).
Fortalecer y alertar sobre problemas críticos
Consolidar el sitio cuando se ejecuta software anticuado, automáticamente agrega protección adicional al sitio cuando no se ha instalado una actualización disponible en un mes. El complemento de seguridad iThemes activará automáticamente una seguridad más estricta cuando no se haya instalado una actualización de un mes. En primer lugar, obligará a todos los usuarios que no tienen dos factores activos a proporcionar un código de autenticación enviado a su correo electrónico antes de iniciar sesión nuevamente. , XML-RPC Pingback y bloquean varios intentos de autenticación para cada solicitud XML-RPC (ambos hará que XML-RPC sea más contra los ataques sin tener que detenerlo por completo).
Busque otros sitios antiguos de WordPress: esto verificará si hay otras instalaciones obsoletas de WordPress en su cuenta de host. Un solo sitio de WordPress WordPress con una vulnerabilidad podría permitir a los atacantes comprometer a todos los demás sitios en la misma cuenta de host. Notificaciones de correo electrónico, por problemas que requieren intervención, se envía un correo electrónico a los usuarios a nivel de administrador.
Descansa Internet 1. NPM elimina el paquete de robo de contraseña

NPM es el administrador de paquetes implícito, una herramienta utilizada para instalar, actualizar, configurar y eliminar el software – de Node.js. NPM anunció la eliminación de BB-Builder del almacén después de distribuirlo implementando un ejecutable de Windows que envió información confidencial a un servidor de distancia. El NPM recomienda eliminar el paquete y girar las claves de seguridad almacenadas en el dispositivo que tenía el paquete instalado. Además, advierten que la eliminación del paquete no puede eliminar todo el software malicioso. 2. Vulnerabilidad mayor descubierta en el software Lenovo preinstalado
Lenovo Solution Center versión 03.12.003 podría permitir que el archivo del diario se escriba en ubicaciones no estándar, lo que lleva a privilegios crecientes. El centro de soluciones de Lenovo se ha depreciado desde abril de 2018. La recomendación de atenuación de Lenovo es eliminar el centro de soluciones y migrar a los diagnósticos de Lenovo Vantage o Lenovo en abril de 2019. Un enchufe de seguridad de WordPress puede ayudar a proteger su sitio Web Ithemes Security Pro, nuestro complemento de seguridad de WordPress , ofrece más de 30 formas de proteger y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress. Con dos autenticación de WordPress, la protección de la fuerza bruta, la aplicación de contraseña segura y muchos más, puede agregar una capa de seguridad adicional a su sitio web. Fap más sobre todas las características de seguridad de WordPress. Descargue el nuevo libro electrónico: guía de configuración de seguridad iThemes
Descargar ahora
Obtener ithemes Security Pro
Michael Moore

Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.