Informe de vulnerabilidad de WordPress: enero de 2022, Parte 1

Los complementos y los temas vulnerables son la razón principal por la cual los sitios de WordPress están rotos. El informe de vulnerabilidad de WordPress semanal de WordCan desarrollado por WPSCAN cubre el complemento reciente de WordPress, el tema principal y las vulnerabilidades, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una clasificación de gravedad baja, media, alta o crítica. La divulgación responsable e informes de vulnerabilidades es una parte integral del mantenimiento de la comunidad de WordPress. Nuevo en este informe: las vulnerabilidades ahora se enumeran en el orden del número de instalaciones activas, en lugar de la fecha de divulgación.
¡Comparta esta publicación con sus amigos para ayudar a transmitir la palabra y hacer que WordPress sea más seguro para todos!
El contenido del informe del 5 de enero de 2022
Recapitulación WordPress 2021: 1,263 vulnerabilidades reveladas; 98% de complementos
Las vulnerabilidades básicas de WordPress
Vulnerabilidades en el complemento de WordPress
1. Updraftplus
2. Converter WebP para medios
3. Woof – Filtro de productos de WooCommerce
4. LearnPress
5. Clon de página de WP Página
6. Tipos de archivos adicionales de WP
7. Tutor LMS
8. Página personalizada y página de inicio de sesión
9. Preguntas frecuentemente definitivas
10. Usuario de WP Front y
11. MICRED
12. Efectos de desplazamiento de la imagen Ultimate
13. QUBY
14. Registro mágico
15. Seguimiento de WooCommerce
16. Biblioteca de enlaces
17. Companion Aff
18. Widget Knr Lista de autores
19. Información del usuario de WP Cookie
Vulnerabilidades en el complemento de WordPress: complemento cerrado
20. Labtools
21. Verificación del dominio
22. Visor de Error Journal23. Se han recargado países visitados por WP
24. Cursos de aprendizaje
25. Encuesta perfecta
Vulnerabilidades en el complemento de WordPress: no hay remedio conocido
26. Medios
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Obtenga IThemes Security Pro con monitoreo de seguridad del sitio web 24/7
¿Le gustaría que este informe se entregue en su casilla de correo electrónico cada semana?
Suscríbete al correo electrónico semanal
Recapitulación WordPress 2021: 1,263 vulnerabilidades reveladas; 98% de complementos
En 2021, se revelaron un total de 1.263 vulnerabilidades y temas de complementos. Las vulnerabilidades del complemento de WordPress representaron el 98% de todas las vulnerabilidades reportadas.
Septiembre de 2021 se informó con la mayor cantidad de vulnerabilidades, con un total de 323 vulnerabilidades reveladas solo en ese mes.
Los tipos más comunes de vulnerabilidades de los complementos revelados en 2021 fueron las inyecciones de secuencias de comandos (XSS) y SQL del sitio cruzado. La mayoría de los autores de complementos han lanzado parches, mientras que algunos complementos permanecen cerrados.
Debido al aumento de las revelaciones de vulnerabilidad, cambiamos la frecuencia de la relación de vulnerabilidad cada semana, en lugar de dos veces al mes.
Debido a sus comentarios, comenzamos a enumerar las divulgaciones de complementos en orden o instalaciones activas. También comenzamos a agrupar los complementos después de Free y Pro, con una sección separada para complementos y complementos cerrados para cualquier remedios conocidos.
Las vulnerabilidades básicas de WordPress
La última versión de WordPress Nucleus es 5.8.2. Como la mejor práctica, ¡siempre asegúrese de ejecutar la última versión base de WordPress! Vulnerabilidades en WordPress Plugin
En esta sección, se revelaron las últimas vulnerabilidades del complemento de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, instalaciones activas, número de versión, si se corrige el grado de gravedad. 1. Updraftplus
Plugin: UpdraftPlus Vulnerabilidad: Escrituras reflejadas entre sitios de instalación activos: 3+ millones parcheados en la versión: 1.16.569 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.16.59.

Plugin: UpdraftPlus Vulnerabilidad: Administrador+ Escrituras entre sitios almacenados Instalación activa: 3+ millones parcheados en la versión: 1.6.59 Puntuación de gravedad: baja
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.6.59.
Plugin: UpdraftPlus Vulnerabilidad: Admin+ incluyendo el archivo local Instalación activa: más de 3 millones parcheados en la versión: 1.16.59 Puntuación de gravedad: promedio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.16.59.
2. Converter WebP para medios
Plugin: WebP Converter para la vulnerabilidad de los medios: Redirección abierta inalcanzable: más de 100.000+ parcheado en la versión: 4.0.3 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.0.3.

3. Woof – Filtro de productos de WooCommerce
Plugin: Woof-WooCommerce Vulnerabilidad Products Filtro: Escrituras reflejadas entre los sitios de instalación activos: más de 100,000 parcheados en: 1.2.6.3 Puntuación de gravedad: Se correge la marvulnerabilidad, por lo que debe actualizarse a la versión 1.2.6.3.
4. LearnPress

Plugin: LearnPress Vulnerabilidad: Administrador+ Escrituras entre sitios almacenados Instalación activa: 100,000+ parcheado en la versión: 4.1.3.2 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.1.3.2.
5. Clon de página de WP Página

Plugin: WP Public Página Vulnerabilidad de clonos: Post no autorizado Acceso Instalación activa: 80,000+ Patchado en la versión: 1.2 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.2.
6. Tipos de archivos adicionales WP Plugin: WP Tipos de archivos adicionales Vulnerabilidad: CSRF en scripts almacenados entre sitios de instalación activos: más de 50.000+ en la versión: 0.5.1 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 0.5.1.
7. Tutor LMS
Plugin: LMS Vulnerabilidad del tutor: suscriptor+ script de almacenamiento cruzado Instalación activa: 40,000+ Patchado en la versión: 1.9.12 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.9.12.
Plugin: LMS Vulnerabilidad del tutor: Escrituras reflejadas entre sitios de instalación activos: 40,000+ Patchado en la versión: 1.9.12 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.9.12.
8. Página personalizada y página de inicio de sesión
Plugin: Página de conexión personalizada de tablero y vulnerabilidad: Administrador+ scripts entre sitios almacenados Instalación activa: 40,000+ parcheado en la versión: 7.0 Se corrige la puntuación de gravedad: el medio, por lo que debe actualizarse a la versión 7.0.
9. Preguntas frecuentemente definitivas
Complemento: frecuentemente preguntas finales vulnerabilidad: suscriptor+ creación de preguntas arbitrarias frecuentes Instalación activa: 30.000+ parcheado en la versión: 2.1.2 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.1.2.
10. Usuario de WP Front y
Plugin: WP User Frontand Vulnerabilidad: inyección SQL a scripts reflejados entre sitios de instalación activos: 30,000+ parcheado en la versión: 3.5.26 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.5.26.
11. MICRED
Plugin: Vulnerabilidad MyCred: Escrituras reflejadas entre sitios de instalación activos: 20,000+ parcheado en la versión: 2.4 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.4.
12. Efectos de desplazamiento de la imagen Ultimate
Plugin: Efectos de desplazamiento de imagen Vulnerabilidad Ultimate: Escrituras reflejadas entre sitios de instalación activos: 20,000+ Patchado en la versión: 9.7.1 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 9.7.1.
13. QUBY
Plugin: Qubely Vulnerabilidad: Suscriptor+ Creación de preguntas arbitrarias frecuentes Instalación activa: 10.000+ parcheado en la versión: 1.7.8 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.7.8.
14. Registro mágico
Plugin: Registro de vulnerabilidad mágica: Escrituras reflejadas entre los sitios de instalación activos: más de 10,000 parcheados en la versión: 5.0.1.9 Puntuación de gravedad: Marevulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.0.1.9.

15. Seguimiento de WooCommerce
Complemento: comandos de seguimiento para la vulnerabilidad de WooCommerce: Escrituras reflejadas entre sitios de instalación activos: 10.000+ parcheado en la versión: 1.1.10 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.1.10.

16. Biblioteca de enlaces
Plugin: Vulnerabilidad de la biblioteca de enlaces: Escrituras reflejadas entre sitios de instalación activos: 10,000+ parcheados en la versión: 7.2.8 Puntuación de gravedad: entorno
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 7.2.8.

Plugin: Vulnerabilidad de la biblioteca de enlaces: restablecer la configuración de la biblioteca por CSRF Instalación activa: 10.000+ parcheado en la versión: 7.2.8 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 7.2.8.
Plugin: Vulnerabilidad de la biblioteca de enlaces: eliminación de enlaces arbitrarios inaudidos Instalación activa: más de 10,000 parcheados en la versión: 7.2.8 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 7.2.8.
17. Companion Aff
Plugin: AF Vulnerabilidad complementaria: instalación y activación arbitraria del complemento por CSRF Instalación activa: 9,000+ Patchado en la versión: 1.2.0 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.2.0.
18. Widget Knr Lista de autores
Plugin: KNR Widget Lista de autores Vulnerabilidad: Inyección SQL Instalación no autorizada: 200+ parcheado en la versión: 3.0.0 Puntuación de gravedad: CriticVulnerabilidad se correge, por lo que debe actualizarse a la versión 3.0.0.
19. Información del usuario de WP Cookie

Plugin: WP Cookie Información del usuario del usuario: Admin+ SQL Injection Instalación activa: 200+ parcheado en la versión: 1.0.9 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.0.9.
Vulnerabilidades en el complemento de WordPress: complemento cerrado

En esta sección, las últimas vulnerabilidades de los complementos de WordPress se han revelado en complementos cerrados. Cada lista de complementos incluye el tipo de vulnerabilidad, el grado de gravedad y la fecha de cierre. 20. LabTools Plugin: LabTools Vulnerabilidad: suscriptor+ eliminación arbitraria de la publicación corregida en la versión: No se conoce el remedio – Puntuación de gravedad del complemento cerrado: medio
Esta vulnerabilidad no ha sido corregida. Este complemento se ha cerrado desde el 28 de diciembre de 2021. Desinstalar y eliminar.
21. Verificación del dominio del complemento: Vulnerabilidad Verificación del campo: Escrituras reflejadas entre los sitios corregidos en la versión: no se conoce la puntuación del complemento cerrado con remedio: alto

Esta vulnerabilidad no ha sido corregida. Este complemento se ha cerrado desde el 28 de diciembre de 2021. Desinstalar y eliminar.
22. Visor de la revista de error del complemento: Visnerabilidad Vulnerabilidad Visor: deleción arbitraria del archivo de texto por CSRF corregido en la versión: sin remedio conocido – Puntuación del complemento cerrado: Low
Esta vulnerabilidad no ha sido corregida. Este complemento se ha cerrado a partir del 10 de noviembre de 2021. Desinstalar y eliminar.23. Los países visitados por el WP fueron recargados complementos: los países visitados por el WP han sido recargados vulnerabilidad: Escrituras reflejadas entre sitios parchados en la versión: 3.1.1- Gravedad del tapón cerrado: alta
Esta vulnerabilidad ha sido corregida. Este complemento ha estado cerrado desde el 23 de septiembre de 2021. Desinstalar y eliminar.
24. Cursos de aprendizaje de complementos: cursos de aprendizaje de vulnerabilidad: Administrador+ Escrituras entre sitios almacenados parcheados en la versión: 5.0 Gravedad del enchufe cerrado: bajo
Esta vulnerabilidad ha sido corregida. Este complemento se ha cerrado desde el 8 de octubre de 2021. Desinstalar y eliminar.
25. Encuesta perfecta de complementos: Vulnerabilidad de la encuesta perfecta: AJAX Llamada no autorizada a XSS Storage/Actualización de la encuesta parcheada: 1.5.2 – Gravedad del enchufe cerrado: Alto
Esta vulnerabilidad ha sido corregida. Este complemento se ha cerrado desde el 5 de octubre de 2021. Desinstalar y eliminar.
Plugin: Vulnerabilidad de la encuesta perfecta: AJAX CALLE sin autorización a la configuración de la encuesta parcheada de almacenamiento/actualización de XSS: 1.5.2 – Gravedad del enchufe cerrado: Alto
Esta vulnerabilidad ha sido corregida. Este complemento se ha cerrado desde el 5 de octubre de 2021. Desinstalar y eliminar.
Complemento: vulnerabilidad de la encuesta perfecta: inyección SQL no autorizado parcheado en la versión: 1.5.2 – Gravedad del enchufe cerrado: alto
Esta vulnerabilidad ha sido corregida. Este complemento se ha cerrado desde el 5 de octubre de 2021. Desinstalar y eliminar.
Plugin: Vulnerabilidad de la encuesta perfecta: Escrituras reflejadas entre sitios parcheados en la versión: 1.5.2 Severidad del enchufe cerrado: Mare Esta vulnerabilidad se ha corregido. Este complemento se ha cerrado desde el 5 de octubre de 2021. Desinstalar y eliminar.
Plugin: Vulnerabilidad de la encuesta perfecta: Escrituras entre sitios almacenados no autorizados corregidos en la versión: no se conoce la puntuación del complemento cerrado con remedio: alto
Esta vulnerabilidad ha sido corregida. Este complemento se ha cerrado desde el 5 de octubre de 2021. Desinstalar y eliminar.
Vulnerabilidades en el complemento de WordPress: no hay remedio conocido
En esta sección, las últimas vulnerabilidades de los complementos de WordPress se han revelado en complementos cerrados. Cada lista de complementos incluye el tipo de vulnerabilidad, el grado de gravedad y la fecha de cierre. 26. Medios
Complemento: vulnerabilidad de medios: suscriptor+ inyección de SQL Instalación activa: más de 3.000 parcheados en la versión: no hay remedio conocido de gravedad: alto
Esta vulnerabilidad no ha sido corregida. Desinstale y borre el complemento hasta que se libere un parche.
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Como puede ver en este informe, cada semana se revelan muchos complementos y temas de WordPress cada semana. Sabemos que puede ser difícil mantenerse al día con cada revelación de las vulnerabilidades informadas, por lo que la seguridad de los complementos lo ayuda a asegurarse de que su sitio no ejecute un tema, complemento o un WordPress básico con vulnerabilidad conocida.
1. Instale el complemento de seguridad ITHEMS IThemes Security Pro fortalece su sitio de WordPress en las formas más comunes en que los sitios web son pirateados. Con más de 30 formas de asegurar su sitio en un solo complemento de uso fácil.2. Active el escaneo del sitio para verificar que existan vulnerabilidades conocidas La función de administrar el ITHEMS Security Pro integra con el escaneo del sitio para proteger su sitio. Los temas vulnerables, los conceptos básicos de WordPress y las versiones base se actualizarán automáticamente.
3. Active la detección de cambios de archivo La clave para identificar rápidamente una violación de seguridad es monitorear los cambios de archivo en su sitio. La función de detección de detección de archivos escaneará los archivos de su sitio web y le advertirá cuando aparezca los cambios en su sitio.
Obtenga iThems Security Pro con el monitoreo de la seguridad del sitio web de seguridad de seguridad de ITHEMS 24/7, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio de vulnerabilidad de seguridad de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar capas de seguridad adicionales a su sitio.
Escáner de sitios para vulnerabilidades y temas de complementos

Detección de cambios de archivo
El tablero de la seguridad del sitio en tiempo real
Revistas de seguridad de WordPress
Dispositivos de confianza
recaptcha
Protección con fuerza bruta
El privilegio de la escalada
Verificación y rechazo de contraseñas comprometidas

Obtener ithemes Security Pro