WordPress Vulnebility Roundup: agosto de 2019, Parte 1

En la primera mitad de agosto, se revelaron varias vulnerabilidades nuevas para los complementos y temas de WordPress, por lo que queremos informarle. En esta publicación cubrimos las vulnerabilidades recientes de los complementos y temas de WordPress y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Dividimos el resumen de vulnerabilidad de WordPress en cuatro categorías diferentes:
1. WordPress Core
2. complementos de WordPress
3. Temas de WordPress
4. Se rompe por Internet
* Incluimos violaciones en la web, porque es esencial crear conciencia sobre las vulnerabilidades fuera del ecosistema de WordPress. Las operaciones al software del servidor pueden exponer datos confidenciales. Las violaciones de la base de datos pueden exponer las credenciales de los usuarios en su sitio, abriendo la puerta de los atacantes para acceder a su sitio.
Vulnerabilidades básicas de WordPress
No se ha revelado vulnerabilidad de WordPress hasta ahora en agosto de 2019.
Las vulnerabilidades de los complementos de WordPress en agosto se descubrieron algunas vulnerabilidades nuevas para los complementos de WordPress. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo. 1. El caché de WP más rápido

WP WP más rápido Cache versión 0.8.9.5 y abajo es vulnerable a un ataque de directorio de directorio. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 0.8.9.6.
2. Builder emergente

PopUp Builder versión 3.44 y abajo es vulnerable a una inyección SQL. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.45.
3. Suscríbase por correo electrónico y boletines informativos

Los suscriptores de correo electrónico y los boletines de noticias versión 4.1.6 y abajo son vulnerables a un ataque de secuencias de comandos entre sitios. Lo que debo hacer es reparado y debe actualizar a la versión 4.1.7.
4. Miembro final
La versión de Ultimate Miembro 2.0.53 y abajo es vulnerable a un ataque de secuencia de comandos cruzado. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.0.53.
5. Fragmentos de anuncios de madera
Los fragmentos de AD Woody Woody versión 2.2.4 y abajo son vulnerables a la importación de opciones no autorizadas y a los problemas de Storacate XSS que podrían conducir a la explotación de la ejecución del código remoto. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.2.5.
6. Sí
La versión 2.5.0 y abajo es vulnerable a una inyección SQL. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.5.1.
7. El elemento de menú inicia sesión o desconexión
Conectar o desconectar el elemento en el menú de la versión 1.1.1 y abajo es vulnerable a un cambio en opciones inalcanzables. La explotación permitiría a un atacante cambiar el enlace a la URL de autenticación y redirigir a los usuarios a un formulario de autenticación falsa. Después de que un usuario haya completado el formulario de conexión maliciosa, el atacante tendrá sus credenciales para acceder a su sitio.

Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.2.0.
8. El formato
El formato versión 15.0.1 y abajo es vulnerable a una falsificación de demanda entre sitios e inyección HTML. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 15.0.2.9. PPOM para WoCommerce
PPOM para versiones WooCommerce 18.3 y abajo es vulnerable a un ataque almacenado Autenticado de XSS. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 18.4.

10. 301 Redirección de cargador a granel de complementos
301 redirige Addon Bulk Suboderer versión 1.2.4 y abajo es vulnerable a un cambio en las opciones no autorizadas. La operación permite a un usuario no autorizado redirigir todas las páginas a un sitio malicioso. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.2.5.

11. Donaciones nd
Donaciones ND versión 1.3 y abajo es vulnerable a una modificación de las opciones no autorizadas. La explotación permite a un usuario no autorizado regular más configuraciones de WordPress. Esto permitiría al atacante crear un nuevo usuario y luego cambiar el papel del usuario en el administrador.
Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.3.1.
12. Reserva ND
ND Booking versión 2.4 y abajo es vulnerable a un cambio en las opciones no autorizadas. La explotación permite a un usuario no autorizado regular una serie de configuraciones de WordPress y permitir al atacante crear un nuevo usuario y luego cambiar el papel del usuario en el administrador. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.4.2.

13. Cursos de aprendizaje ND
Cursos de aprendizaje ND versión 4.7 y abajo es vulnerable a un cambio en opciones inalcanzables. La explotación permite a un usuario no autorizado regular múltiples configuraciones de WordPress y permitiría al atacante crear un nuevo usuario y luego cambiar el papel del usuario en el administrador. ¿Qué debe hacer?
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 4.8.

14. Joomsport
Joomsport versión 3.3 y abajo es vulnerable a una inyección SQL. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.4.
Temas WordPress 1. Imobiliere 7

Real Estate 7 Versiones 2.9.0 y abajo son vulnerables a una inyección almacenada XSS que permite a un atacante inyectar JavaScript y HTML en la parte delantera de un sitio. Que debes hacer
La vulnerabilidad no ha sido reparada. Elimine el tema hasta que se inicie una actualización con un parche.
Cómo ser proactivo sobre las vulnerabilidades del tema de WordPress y los complementos que ejecutan el software obsoleto es por qué los sitios de WordPress son pirateados. Es crucial que la seguridad de su sitio de WordPress tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez por semana para realizar actualizaciones.


Las actualizaciones automáticas pueden ayudar a sus actualizaciones automáticas son una excelente opción para los sitios web de WordPress que no cambian muy a menudo. La falta de atención a menudo deja estos sitios descuidados y vulnerables a los ataques. Incluso con la configuración de seguridad recomendada, ejecutando un software vulnerable en su sitio. Puede darle al atacante un punto de entrada en su sitio. Usando la gestión de versiones de Security Pro Ithemes, puede activar las actualizaciones automáticas de WordPress para garantizar que reciba los últimos parches de seguridad. Estas configuraciones lo ayudan a proteger su sitio con opciones de actualización automática a nuevas versiones o para mejorar la seguridad del usuario cuando el software del sitio está desactualizado. Actualización de versiones actualizadas.
Actualizaciones de WordPress: instale automáticamente la última versión de WordPress.
Actualizaciones automáticas para complementos: instale automáticamente las últimas actualizaciones para complementos. Esto debe activarse, a menos que mantenga activamente este sitio diario e instale las actualizaciones manualmente poco después del lanzamiento.
Actualizaciones de temas automáticos: instale automáticamente las últimas actualizaciones de temas. Esto debe activarse a menos que su tema tenga personalizaciones de archivos.

Control granular sobre las actualizaciones de complementos y temas: puede tener complementos / temas que desea actualizar manualmente o retrasar la actualización hasta que la versión haya tenido tiempo para resultar estable. Puede elegir personalizado para la posibilidad de atribuir a cada complemento o tema, ya sea la actualización inmediata (activación), no la actualización automática (desactivación) o la actualización con un retraso de una cierta cantidad de días (retraso). Consolidación y alerta sobre problemas críticos
Consolidar el sitio cuando se ejecuta software anticuado, automáticamente agrega protección adicional al sitio cuando no se ha instalado una actualización disponible en un mes. El complemento de seguridad iThemes activará automáticamente una seguridad más estricta cuando no se haya instalado una actualización de un mes. En primer lugar, obligará a todos los usuarios que no tienen dos factores activos a proporcionar un código de autenticación enviado a su correo electrónico antes de iniciar sesión nuevamente. , XML-RPC Pingback y bloquean varios intentos de autenticación para cada solicitud XML-RPC (ambos hará que XML-RPC sea más contra los ataques sin tener que detenerlo por completo).
Busque otros sitios antiguos de WordPress: esto verificará si hay otras instalaciones obsoletas de WordPress en su cuenta de host. Un solo sitio de WordPress con una vulnerabilidad podría permitir a los atacantes comprometer a todos los demás sitios en la misma cuenta de host.
Enviar notificaciones de correo electrónico para problemas que requieren intervención, se envía un correo electrónico a los usuarios a nivel de administrador.
Breaks alrededor de Internet 1. Biostar 2 de la tienda Supreme 27.8 millones Biométrico BioStar 2 de Supreme es una plataforma de seguridad utilizada para asegurar edificios comerciales. Los investigadores de seguridad Noam Rotem, dirigieron el local y VPNmentator han descubierto la base de datos ilimitada que contiene información confidencial sobre las empresas y sus empleados. Después de violar la base de datos, la investigación logró encontrar información personal, nombre de usuario y contraseñas de los empleados. VPNMentor también menciona que su equipo ha puesto sus manos en un millón de registros faciales y de huellas digitales. Vale la pena mencionar que no se sabe si algún actor malicioso podría acceder a la base de datos mal asegurada. El Supremo es un productor mundial de seguridad del Top 50 y debería haberlo sabido mejor que obtener información confidencial no controlada. 2. Actualización de Thompson “irregular” de Paige

En el último resumen de la vulnerabilidad, cubrimos la violación de la base de datos Capital One y el sospechoso sospechoso de Thompson “Eratic”. La Oficina del Fiscal de los Estados Unidos de Seattle dijo que en el servidor que se encuentra en la habitación perturbada, se almacenaron datos robados de más de 30 compañías. La Oficina del Fiscal de los Estados Unidos no ha revelado los nombres de las empresas. Seguiremos esta historia y lo actualizaremos si los nombres de las empresas se hacen públicos. 3. Vulnerabilidad de Microsoft Bluetooth
El parche de seguridad de August Microsoft incluyó una solución para negociar la clave de cifrado de vulnerabilidad Bluetooth. La explotación facilita al atacante la fuerza bruta de la sesión de Bluetooth y descifrar el tráfico entre dispositivos. Asegúrese de aplicar el parche de seguridad de agosto. Un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web Ithemes Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 30 formas de proteger y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress. Con dos autenticación de WordPress, protección de fuerza sin procesar, aplicación de contraseña segura y muchos más, puede agregar una capa de seguridad adicional a su sitio web. FAP más sobre la seguridad de WordPress con 10 consejos clave. Descargue su libro electrónico ahora: una guía de seguridad de WordPress
Descargar ahora
Obtener seguridad
Michael Moore

Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.