WordPress Vulnerabilidad Breviar: junio de 2019, Parte 2

Se han revelado nuevas vulnerabilidades del tema de complemento y WordPress en la última mitad de junio, por lo que queremos informarle. Dividimos el resumen de vulnerabilidad de WordPress en cuatro categorías diferentes:
1. Vulnerabilidades básicas de WordPress
2. Vulnerabilidades de complementos de WordPress
3. Vulnerabilidades del tema de WordPress
4. Se rompe por Internet
* Incluimos violaciones en la web, porque es esencial crear conciencia sobre las vulnerabilidades fuera del ecosistema de WordPress. Las operaciones al software del servidor pueden exponer datos confidenciales. Las violaciones de la base de datos pueden exponer las credenciales de los usuarios en su sitio, abriendo la puerta de los atacantes para acceder a su sitio.
Vulnerabilidades básicas de WordPress
Las vulnerabilidades de WordPress no se revelaron en junio de 2019.
Las vulnerabilidades de los complementos de WordPress se han descubierto varias vulnerabilidades nuevas para los complementos de WordPress. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo. 1. Chat Messenger Chat Messenger

El chat de cliente de Messenger Plugin, versión 1.2 y abajo, es vulnerable a un ataque para falsificar solicitudes entre sitios. La vulnerabilidad permitirá que un atacante cambie algunas de las configuraciones del sitio de WordPress. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.3.
2. Consejo de Asistencia – Oficina de Chat y Asistencia Ayuda y chat

Consejo de Asistencia – Oficina de Chat y Asistencia El complemento de soporte y chat, versión 1.2.8 y abajo, es vulnerable a un ataque de secuencias de comandos de sitios cruzados. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.2.9.3. SEO por matemáticas de rango
El complemento SEO de Rank Math, versión 1.0.26 y abajo, es vulnerable a un ataque de secuencia de comandos de sarga cruzada. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.0.27.
4. Plugin para miembros de WP-Members
El complemento de membresía de membresía WP, versión 3.2.7 y debajo, es vulnerable a un ataque de falsificación de solicitud de sitio cruzado. La vulnerabilidad permitirá que un atacante cree, edite y elimine nuevos campos.

Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.2.8.1.
5. Gerente de bienes raíces
El complemento del administrador de bienes raíces es vulnerable a un ataque que actualiza la configuración arbitraria del complemento. La falta de autorización y las verificaciones de CSRF en el AJAX Save_admin_settings () es la causa de la vulnerabilidad. Que debes hacer

WordPress.org cerró el complemento del Administrador de bienes raíces, así que elimine el complemento y busque un reemplazo.
6. Lionscripts: IP Blocker Lite
El complemento Lionescripts: IP Blocker Lite, versión 10.3 y abajo, es vulnerable a un ataque para falsificar solicitudes entre sitios que podrían conducir a ataques de carga de archivos arbitrarios.

Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 10.5.
7. WebP Express
El complemento Web Express, versiones 0.14.10 y debajo, es vulnerable a una multitud de ataques, falsificación entre sitios, carga de archivos arbitrarios, scripts entre sitios, ataques de acceso no autorizados. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 0.14.11.
8. Importar usuarios de CSV con meta
Importar usuarios de CSV con Meta Plugin, versión 1.14.1.2 y abajo, son vulnerables a una secuencia de comandos de sitios cruzados.

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.14.1.3.
9. Rechace toda la pantalla de protección
El complemento niega todo el firewall, versión 1.14.1.2 y abajo, es vulnerable a un ataque para falsificar las solicitudes entre los sitios. La vulnerabilidad permitiría que un atacante elimine el Denegar todo del .htaccess y haga que el complemento sea innecesariamente. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.14.1.3.

10. Facebook para WooCommerce
El complemento de Facebook para WooCommerce, versión 1.9.12 y debajo, es vulnerable a un ataque para falsificar solicitudes entre sitios.
La vulnerabilidad permitirá que un atacante cambie algunas de las configuraciones del sitio de WordPress. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.9.15.
11. Enlaces de enlaces bonitos cortos: el mejor complemento para WordPress siguiendo
Los enlaces cortos de Pretty Links Plugin, versión 2.1.9 y abajo, son vulnerables a una secuencia de comandos de sitios cruzados y un ataque de inyección de CSV. La vulnerabilidad permitiría que un atacante inyecte el código malicioso en el tablero de WordPress. La vulnerabilidad permitirá que un atacante cambie algunas de las configuraciones del sitio de WordPress.
Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.1.10.
12. Extensión sinusoidal para Elementor
La extensión del complemento elemental, versión 2.1.9 y debajo, es vulnerable a un ataque a la inclusión de archivos locales. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.1.10.13. Formulario de contacto de CP con PayPal

El formulario de contacto de CP con el complemento PayPal, versión 1.3.01 y debajo, es vulnerable a un ataque de secuencia de comandos de protección cruzada. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.3.02.
14. Comparte esta imagen

El complemento compartir esta imagen, versión 1.19 y abajo, es vulnerable a un ataque de secuencias de comandos de sitios cruzados. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.2.0.
15. Anuncios de WP

El complemento ADS por WP es vulnerable a un ataque entre los sitios de falsificación de demanda. Que debes hacer
WordPress.org ha cerrado el complemento de los anuncios WP, así que retire el complemento y busque un reemplazo.
16. Verificación de correo electrónico del usuario para WooCommerce

El complemento de verificación de correo electrónico del usuario para WooCommerce, versión 3.3.0 y abajo, es vulnerable a una falsificación de demanda entre sitios que conducen a una actualización de opción.
Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.4.0.


17. Búsqueda avanzada de Woo
El complemento de búsqueda WOO avanzado, versión 1.6.8 y debajo, es vulnerable a una solicitud de falsificación entre sitios que conducen a un ataque de script entre sitios. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.70.
18. ACF: mejor búsqueda

Plugin ACF: Mejor búsqueda, versión 3.3.0 y abajo, es vulnerable a un ataque entre los sitios de falsificación de demanda. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.3.1.
19. Widget Logicplogin Widget Logic, versión 5.9.0 y abajo, es vulnerable a una solicitud de falsificación entre sitios que conducen a un ataque de ejecución de código remoto. Danne Witz informó que los atacantes podrían hacer que los usuarios de la administración agregen código malicioso a los widgets personalizados de la barra lateral, lo que lleva al código remoto. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 5.10.2.
Vulnerabilidades del tema de WordPress
No se revelaron vulnerabilidades del tema de WordPress en junio de 2019.

Cómo ser proactivo sobre las vulnerabilidades del tema de WordPress y los complementos que ejecutan el software obsoleto es por qué los sitios de WordPress son pirateados. Es crucial que la seguridad de su sitio de WordPress tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez por semana para realizar actualizaciones. Actualizaciones automáticas Usando la función de administración de versiones de Security Pro Ithemes, puede activar las actualizaciones automáticas de WordPress para garantizar que reciba los últimos parches de seguridad. Las actualizaciones automáticas son una excelente opción para sitios web que no cambian muy a menudo. La falta de atención requerida generalmente deja estos sitios descuidados y vulnerables a los ataques.
Actualizaciones de gestión de versiones
Automatice las actualizaciones de WordPress: todas las actualizaciones de WordPress se instalan automáticamente cuando están disponibles.
Actualizaciones automáticas para complementos: todas las actualizaciones para arados se instalan automáticamente cuando están disponibles.
Temas de actualizaciones automáticas: todas las actualizaciones de temas se instalan automáticamente cuando están disponibles. Use esto si ha colocado las personalizaciones del tema en el tema de un niño, para no anular sus personalizaciones actualizando al padre. Retrasa la actualización hasta que la versión tuviera tiempo para resultar estable. Puede elegir personalizado para la posibilidad de atribuir a cada complemento o tema, ya sea la actualización inmediata (activación), no la actualización automática (desactivación) o la actualización con un retraso de una cierta cantidad de días (retraso).

Fortalecer y alertar sobre problemas críticos
Consolidar el sitio cuando ejecute software obsoleto: el complemento de seguridad ITHEMS activará automáticamente una seguridad más estricta cuando no se haya instalado una actualización de un mes. En primer lugar, obligará a todos los usuarios que no tienen dos factores activos a proporcionar un código de autenticación enviado a su correo electrónico antes de iniciar sesión nuevamente. , XML-RPC Pingback y bloquean varios intentos de autenticación para cada solicitud XML-RPC (ambos hará que XML-RPC sea más contra los ataques sin tener que detenerlo por completo).
Busque otros sitios antiguos de WordPress: esto verificará si hay otras instalaciones obsoletas de WordPress en su cuenta de host. Un solo sitio de WordPress con una vulnerabilidad podría permitir a los atacantes comprometer a todos los demás sitios en la misma cuenta de host.
Enviar notificaciones por correo electrónico para problemas que requieren intervención, se envía un correo electrónico a los usuarios a nivel de administrador. Calefacción alrededor de Internet 1. Defecto de interfaz de comando de Kubernetes
Kubectl es una interfaz de línea de comandos de Kubernetes, el contenedor de código abierto creado por Google, y tiene una vulnerabilidad fea bastante reciente. El comando Kubectl CP podría activar el cruce de un director para que un contenedor malicioso pueda reemplazar o crear archivos en la estación de trabajo de los usuarios. Asegúrese de actualizar Kubectl a una versión reparada. 2. La NASA está pirateada

Se ha comprometido un dispositivo de Raspberry PI no autorizado que se ha conectado a los servidores de laboratorio de propulsión de chorro. Después de atacar con éxito el dispositivo Raspberry Pi, los piratas informáticos pudieron acceder a otros sistemas, incluida la gama de redes de espacio profundo. La historia destaca la importancia de la seguridad de cada dispositivo en su red 3. Netflix encuentra vulnerabilidades de Linux y FreeBSD
El servicio de transmisión de Netflix requiere una infraestructura inmensa, herramientas fuertes y personas talentosas. Puede ver a Branden Gregg en la resolución de problemas de Minecraft en tiempo real o puede visitar el Centro de software Netflix de código abierto para ver que Netflix es tanto una empresa tecnológica como una empresa de entretenimiento. Ahora que sabe que Netflix es una compañía de tecnología, no debería sorprender que hayan descubierto y revelado tres vulnerabilidades. Los dos Linux y One FreeBSD son toda la referencia del servicio basado en TCP. Puede encontrar una explicación detallada para vulnerabilidades y soluciones alternativas en GitHub desde Netflix. Un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web Ithemes Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 30 formas de proteger y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress. Con dos autenticación de WordPress, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web. Obtenga iThemes Security Promichael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.