WordPress Vulnebility Roundup: junio de 2019, primera parte

Este mes se han revelado nuevas vulnerabilidades de complemento y tema de WordPress, por lo que queremos informarle. Dividimos el resumen de vulnerabilidad de WordPress en cuatro categorías diferentes:
1. WordPress Core
2. complementos de WordPress
3. Temas de WordPress
4. Se rompe por Internet
* Incluimos violaciones en la web, porque es esencial crear conciencia sobre las vulnerabilidades fuera del ecosistema de WordPress. Las operaciones al software del servidor pueden exponer datos confidenciales. Las violaciones de la base de datos pueden exponer las credenciales de los usuarios en su sitio, abriendo la puerta de los atacantes para acceder a su sitio.
Vulnerabilidades básicas de WordPress
Las vulnerabilidades de WordPress no se revelaron en junio de 2019.
Las vulnerabilidades de los complementos de WordPress se han descubierto varias vulnerabilidades nuevas para los complementos de WordPress. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo. 1. Estadísticas de WP

El complemento de estadísticas de WP, versión 12.6.5 y debajo, es vulnerable a un ataque de guión entre sitios. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 12.6.6.1.
2. suscripciones pagas Pro

El complemento para suscripciones pagas 2.0.5 y las versiones posteriores es vulnerable a una redirección invalidado. El complemento usó WP_ Redirect WP_ Redirect en lugares donde debería haber usado WP_ Safe _Redirect. Usar wp_safe_redirect () evita que se concesionan los redireccionamientos a otros hosts,
Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.0.6.
3. Slider de Crelly

Crelly Slider, versión 1.3.4 y abajo, es vulnerable a un ataque vulnerable de carga de archivo de arbitraje no autorizado. La vulnerabilidad ha permitido a los suscriptores cargar y ejecutar un script potencialmente malicioso. Lo que debo hacer es reparado y debe actualizar a la versión 1.3.5.
4. Pesmet
Biscuit versión 1.0.1 y debajo presentó tres vulnerabilidades diferentes este mes. El complemento era vulnerable a un ataque XXS y a la solicitud de falsificación entre sitios

Si un atacante aprovechara las vulnerabilidades, podría haber cambiado las migas de pan. Que debes hacer
Las vulnerabilidades se han reparado y deben actualizarse a la versión 1.0.3.
5. Descargas digitales ligeras
Descargas digitales fáciles de versión 2.9.16 y abajo es vulnerable a un ataque XSS almacenado. La vulnerabilidad podría permitirse un sitio de secuencias de comandos cruzados en direcciones IP para revistas. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.9.16.
6. Manager de descarga de WordPress
WordPress Descargar Administrador de la versión 2.9.96 y a continuación tiene vulnerabilidades de higiene de entrada con la plantilla de correo electrónico y la configuración del paquete.

Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.9.97.
7. Gerente de afiliados
El gerente de los afiliados versión 2.6.5 y abajo es vulnerable a un ataque entre los sitios de falsificación de demanda. Al complemento le falta las verificaciones de seguridad apropiadas y el no cess en la configuración. El campo Nonce se utiliza para validar el hecho de que el contenido de la aplicación de formulario proviene del sitio actual y no en otros lugares.

Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.6.6.8. Videos de YT conectados
Los videos de YT correlacionados, versión 1.9.8 y abajo, son vulnerables a un ataque entre los sitios de falsificación de demanda y el ataque XSS. Al complemento le faltaba el no cess y la higiene adecuados.
Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.9.9.
9. WP Google Maps
WP Google Maps versión 7.11.27 y abajo es vulnerable a un ataque de falsificación de demanda entre sitios. Al formulario de configuración para la acción de publicación del administrador le faltaba un Nonce. El campo Nonce se utiliza para validar el hecho de que el contenido de la aplicación de formulario proviene del sitio actual y no en otros lugares. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 7.11.28.

Los temas de WordPress no se han revelado vulnerabilidades del tema de WordPress en junio de 2019.
Cómo ser proactivo sobre las vulnerabilidades del tema de WordPress y los complementos que ejecutan el software obsoleto es por qué los sitios de WordPress son pirateados. Es crucial que la seguridad de su sitio de WordPress tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez por semana para realizar actualizaciones.
Actualizaciones automáticas Usando la función de administración de versiones de Security Pro Ithemes, puede activar las actualizaciones automáticas de WordPress para garantizar que reciba los últimos parches de seguridad. Las actualizaciones automáticas son una excelente opción para sitios web que no cambian muy a menudo. La falta de atención a menudo deja estos sitios descuidados y vulnerables a los ataques.
Versión de actualizaciones de administración, verso automatizado de WordPress, todas las actualizaciones de WordPress se instalan automáticamente cuando están disponibles.

Actualizaciones automáticas para complementos: todas las actualizaciones para arados se instalan automáticamente cuando están disponibles.

Temas de actualizaciones automáticas: todas las actualizaciones de temas se instalan automáticamente cuando están disponibles. Use esto si ha colocado las personalizaciones del tema en el tema de un niño, para no sobrescribir sus personalizaciones actualizando su tema principal.
Control granular sobre las actualizaciones de complementos y temas: puede tener complementos / temas que desea actualizar manualmente o retrasar la actualización hasta que la versión haya tenido tiempo para resultar estable. Puede elegir personalizado para la posibilidad de atribuir a cada complemento o tema, ya sea la actualización inmediata (activación), no la actualización automática (desactivación) o la actualización con un retraso de una cierta cantidad de días (retraso).
Fortalecer y alertar sobre problemas críticos
Consolidar el sitio cuando ejecute software obsoleto: el complemento de seguridad ITHEMS activará automáticamente una seguridad más estricta cuando no se haya instalado una actualización de un mes. En primer lugar, obligará a todos los usuarios que no tienen dos factores activos a proporcionar un código de autenticación enviado a su correo electrónico antes de iniciar sesión nuevamente. , XML-RPC Pingback y bloquean varios intentos de autenticación para cada solicitud XML-RPC (ambos hará que XML-RPC sea más contra los ataques sin tener que detenerlo por completo).
Busque otros sitios antiguos de WordPress: esto verificará si hay otras instalaciones obsoletas de WordPress en su cuenta de host. Un solo sitio de WordPress WordPress con una vulnerabilidad podría permitir a los atacantes comprometer a todos los demás sitios en la misma cuenta de host. Notificaciones de correo electrónico, por problemas que requieren intervención, se envía un correo electrónico a los usuarios a nivel de administrador.

Descansa Internet 1. Evernote Chrome Extension Clipper
El Equipo de Investigación de Guardio descubrió que la extensión de Chripper Web Chriper Evernote es vulnerable a un ataque universal de XSS. La vulnerabilidad podría permitir que un atacante tenga acceso a correos electrónicos personales, redes sociales y otra información personal. La extensión Evernote incluyó un error de codificación que permitió a alguien evitar la característica de seguridad del aislamiento del sitio de Chrome. Ahora el atacante puede redirigir el tráfico a un sitio malicioso y obligar a Evernote a inyectar código malicioso y robar información privada. La extensión fue reparada el 4 de junio.
Guardio creó un video que muestra la prueba del concepto. 2. Veo y neovim
Los editores de texto Terminal VIM antes de la versión 8.1.1365 y no vamos a la versión 0.3.6 son vulnerables a un ataque bastante feo en el código arbitrario. El uso de atacantes de vulnerabilidad podría ejecutar comandos no autorizados que conducen a un número casi ilimitado de actividades dañinas. Armin Razmjou, el investigador de seguridad que descubrió la vulnerabilidad, incluyó un concepto sobre GitHub. Tenga en cuenta que el software obsoleto es por qué los sitios son pirateados. Cada vulnerabilidad que se ha revelado en lo que va del mes ha sido reparada. Dejando el software más antiguo en su sitio web, dejará vulnerable para atacar. Un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web Ithemes Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 30 formas de proteger y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress. Con dos autenticación de WordPress, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web. Obtenga iThemes Security Promichael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.