Informe de vulnerabilidad de WordPress: diciembre de 2021, Parte 3

Los complementos y los temas vulnerables son la razón principal por la cual los sitios de WordPress están rotos. El informe de vulnerabilidad de WordPress semanal de WordCan desarrollado por WPSCAN cubre el complemento reciente de WordPress, el tema principal y las vulnerabilidades, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una clasificación de gravedad baja, media, alta o crítica. La divulgación responsable e informes de vulnerabilidades es una parte integral del mantenimiento de la comunidad de WordPress. Nuevo en este informe: las vulnerabilidades ahora se enumeran en el orden del número de instalaciones activas, en lugar de la fecha de divulgación.
Comparta esta publicación a sus amigos para ayudar a transmitir la palabra y hacer que WordPress sea más seguro para todos.
El contenido del informe del 15 de diciembre de 2021
WordPress News
Las vulnerabilidades básicas de WordPress
Vulnerabilidades en el complemento de WordPress
1. Elementor
2. Updraftplus
3. facturas de WooCommerce PDF y brotes de embalaje
4. Publicar capacidades
5. Chaty gratis
6. Suplementos PowerPack para Elementor
7. Calendario de reserva
8. Feed de fotos sociales 10web
9. Revisiones del sitio
10. Paquete de amplificación de velocidad
11. Solución del mercado multivendor para wooCommerce
12. Ventana modal
13. WP Coder
14. Registro Magic
15. Eventos simplificados
16. Generador de botones
17. Tab – Acordeón, preguntas frecuentes
18. Evaluación con estrellas
19. WPCALC
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Obtenga IThemes Security Pro con monitoreo de seguridad del sitio web 24/7
¿Le gustaría que se entregue este informe a su casilla de correo electrónico cada semana? Suscríbase al correo electrónico semanal
WordPress News
Como el período de compra en línea más concurrido del año está en pleno apogeo, los ciberdelincuentes han estado ocupados con los intentos de “piratear el planeta”. ¡Wordfency ha informado recientemente una ola masiva de ataques dirigidos a 1,6 millones de sitios de WordPress durante 36 horas!
Finalmente, BleepingComputer informó recientemente que los piratas informáticos han instalado Skimmer en complementos aleatorios. Para fortalecer la seguridad de los sitios comerciales electrónicos, le recomendamos que solicite dos factores para todos los usuarios de administradores, active dispositivos confiables, detectar cambios de archivos y que las revistas de seguridad de WordPress se lean y revisen regularmente.
Las vulnerabilidades básicas de WordPress
La última versión de WordPress Nucleus es 5.8.2. Como la mejor práctica, ¡siempre asegúrese de ejecutar la última versión básica de WordPress!
Vulnerabilidades en el complemento de WordPress
En esta sección, se revelaron las últimas vulnerabilidades del complemento de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de la versión, si se corrige el grado de gravedad. 1. Elementor
Plugin: Vulnerabilidad elemental: DOM Instalación activa de escritura de sitios cruzados: más de 5 millones parcheados en la versión: 3.4.8 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.4.8.
2. Updraftplus
Plugin: UpdraftPlus Vulnerabilidad: Escrituras reflejadas entre los sitios de instalación activos: 3+ millones parcheados en la versión: 1.16.66 Puntuación de gravedad: Se corrige marevulnerabilidad, por lo que debe actualizarse a la versión 1.16.66.

3. facturas de WooCommerce PDF y brotes de embalaje
Plugin: PDF WooCommerce facturas y vulnerabilidades de envasado Brotones: Escrituras reflejadas entre sitios de instalación activos: 300.000+ Patchado en la versión: 2.10.5 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.10.5.

4. Publicar capacidades
Plugin: PublishPress Functions Vulnerabilidad: Actualización de opciones arbitrarias no autorizadas para el compromiso del blog Instalación activa: 100,000+ Patchado en la versión: 2.3.1 Puntuación de gravedad: Crítico
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.3.1.

Plugin: PublishPress Capacities Pro Vulnerabilidad: Actualización de opciones arbitrarias no autorizadas para el compromiso de blog parcheado en la versión: 2.3.1 Puntuación de gravedad: crítico
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.3.1.
5. Chaty gratis
Plugin: Vulnerabilidad gratuita de Chaty: Escrituras reflejadas entre sitios de instalación activos: más de 100,000 estatales en la versión: 2.8.3 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.8.3.

Plugin: Chaty Pro Vulnerabilidad: Escrituras reflejadas entre sitios parcheados en la versión: 2.8.2 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.8.2.
6. Suplementos PowerPack para Elementor
Plugin: Suplementos PowerPack para vulnerabilidad elemental: Escrituras reflejadas entre los sitios de instalación activos: más de 60,000+ parcheados en la versión: 2.6.2 Puntuación de gravedad: Se correge la marvulnerabilidad, por lo que debe actualizarse a la versión 2.6.2.
7. Calendario de reserva

Plugin: Calendario de reservas de vulnerabilidades: Escrituras reflejadas entre sitios de instalación activos: más de 60,000+ parcheado en la versión: 8.9.2 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 8.9.2.
8. Feed de fotos sociales 10web

Plugin: 10web Social Photo Feed Vulnerabilidad: reflejar la instalación activa de secuencias de comandos de sitios cruzados (XSS): más de 60.000+ en la versión: 1.4.29 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.4.29.
9. Revisiones del sitio

Plugin: revisa la vulnerabilidad del sitio: Escrituras entre sitios almacenados no autorizados Instalación activa: 40,000+ parcheado en la versión: 5.17.3 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.17.3.
10. Paquete de amplificación de velocidad

Complemento: paquete de vulnerabilidades de refuerzo de velocidad: administrador+ inyección sql instalación activa: 30,000+ parcheado en la versión: 4.3.3.1 Puntuación de gravedad: medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.3.3.1.
11. Solución del mercado multivendor para wooCommerce

Plugin: Solución del mercado multivendor para la vulnerabilidad de WoCommerce: AJAX llama a la instalación no autorizada: 10.000+ parcheado en la versión: 3.8.4 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.8.4.
12. Ventana modal

Plugin: Vulnerabilidad de la ventana modal: RFI que conduce a RCE por CSRF Instalación activa: más de 10,000 parcheados en la versión: 5.2.2 Puntuación de gravedad: Se corrige Marevulnerabilidad, por lo que debe actualizarse a la versión 5.2.2.
13. WP Coder
Plugin: Vulnerabilidad del codificador WP: RFI que conduce a RCE por CSRF Instalación activa: 10,000+ Patchado en la versión: 2.5.2 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.5.2.
14. Registro Magic
Plugin: Registry Vulnerabilidad Magic: Admin+ SQL Injection Instalación activa: 10,000+ parcheado en la versión: 5.0.1.6 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.0.1.6.

Plugin: Registry Vulnerabilidad Magic: Bypass Autenticación de instalación activa: más de 10,000 parcheados en la versión: 5.0.1.8 Puntuación de gravedad: crítico
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.0.1.8.

15. Eventos simplificados
Plugin: Vulnerabilidad de eventos simplificados: suscriptor+ inyección de SQL Instalación activa: más de 6,000 parcheados en la versión: 2.2.36 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.2.36.
16. Generador de botones
Plugin: Generador de botones de vulnerabilidad: RFI que conduce a RCE por CSRF Instalación activa: 5,000+ Patchado en la versión: 2.3.3 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.3.3.
17. Tab – Acordeón, preguntas frecuentes
Plugin: Tab – Acordeón, Preguntas de vulnerabilidad frecuentes: Ajax llama a la instalación no autorizada: 2000+ Patchado en la versión: 1.3.2 Puntuación de gravedad: crítico

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.3.2.
18. Evaluación con estrellas
Plugin: Evaluación con vulnerabilidad de las estrellas: Comentarios rechazando el servicio de instalación activa: 800+ parcheado en la versión: 3.5.1 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.3.2.
19. Complemento WPCALC: Vulnerabilidad de WPCALC: inyección SQL corregida en la versión: No se conoce remediación – Puntuación de complemento cerrado: medio
Esta vulnerabilidad no ha sido corregida. Este complemento se ha cerrado desde el 9 de diciembre de 2021. Desinstalar y eliminar.

Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Como puede ver en este informe, cada semana se revelan muchos complementos y temas de WordPress cada semana. Sabemos que puede ser difícil mantenerse al día con cada revelación de las vulnerabilidades informadas, por lo que la seguridad de los complementos lo ayuda a asegurarse de que su sitio no ejecute un tema, complemento o un WordPress básico con vulnerabilidad conocida.
1. Instale el complemento de seguridad ITHEMS IThemes Security Pro fortalece su sitio de WordPress en las formas más comunes en que los sitios web son pirateados. Con más de 30 formas de asegurar su sitio en un solo complemento fácil de usar.
2. Active el escaneo del sitio para verificar que existan vulnerabilidades conocidas La gestión del ITHEMS Security Pro está integrada con el escaneo del sitio para proteger su sitio. Los temas vulnerables, los conceptos básicos de WordPress y las versiones base se actualizarán automáticamente.
3. Active la detección de cambios de archivo La clave para identificar rápidamente una violación de seguridad es monitorear los cambios de archivo en su sitio. La función de detección de detección de detección de archivos escaneará los archivos de su sitio web y le advertirá cuándo aparecerá en su sitio. . Con WordPress, autenticación de dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar capas de seguridad adicionales a su sitio.
Escáner de sitios para vulnerabilidades y temas de complementos
Detección de cambios de archivo
El tablero de la seguridad del sitio en tiempo real
Revistas de seguridad de WordPress
Dispositivos de confianza

recaptcha
Protección con fuerza bruta
Autenticación con dos factores
Enlaces de inicio de sesión mágicos
El privilegio de la escalada
Verificación y rechazo de contraseñas comprometidas
Obtener ithemes Security Pro