Informe de vulnerabilidad de WordPress: diciembre de 2021, Parte 2

Los complementos y los temas vulnerables son la razón principal por la cual los sitios de WordPress están rotos. El informe de vulnerabilidad de WordPress semanal de WordCan desarrollado por WPSCAN cubre el complemento reciente de WordPress, el tema principal y las vulnerabilidades, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una clasificación de gravedad baja, media, alta o crítica. La divulgación responsable e informes de vulnerabilidades es una parte integral del mantenimiento de la comunidad de WordPress. Comparta esta publicación a sus amigos para ayudar a transmitir la palabra y hacer que WordPress sea más seguro para todos.
Contenido del informe del 8 de diciembre de 2021
Noticias de WordPress: fuga de datos de Guar
Las vulnerabilidades básicas de WordPress
Vulnerabilidades en el complemento de WordPress
1. Gerente de eventos
2. Respuesta rica de la estrella de mar
3. Tyebot
4. Formulario de contacto y formulario para clientes potenciales Elementor Builder
5. Descargar gerente
6. WP RSS Agggigator
7. Butotizer – botón de acción flotante inteligente
8. Registro de correo de WP
9. estético
10. Formulario de contacto con Captcha
11. Soporte extraordinario
12. Foros de Asgaros
13. Cache de Litespeed
14. Video conferencia con zoom
15. Booster for WooCommerce
16. Paquete de amplificación de velocidad
17. OMGF
18. Caos
19. Motor de viaje WP
20. Descargar monitor
21. Préstamo de computadora / calculadora hipotecaria
22. Variantes de muestras de WooCommerce
23. ADS AFILIADOS CLICKBANK
24. Campos personalizados avanzados
25. Canto
26. Galería todo en uno
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Obtenga IThemes Security Pro con el monitoreo de seguridad del sitio web 24/7 que este informe se entrega a su casilla de correo electrónico cada semana.
Suscríbete al correo electrónico semanal
Noticias de WordPress: fuga de datos de Guar
Esta semana, se violó Gravatar, un servicio global para avatares únicos, aunque Gravatar asegura que no hubo hack.
Hola a todos, nos gustaría confirmar que la gravatar no ha sido pirateada y que no se ha violado ningún protocolo de seguridad: para obtener más información, visite: https://t.co/hhiq5wkt – gravar.com (@gravatar) diciembre 7, 2021
Los datos fueron raspados, lo que no representa una violación porque las contraseñas y otra información privada no fueron tomadas. En cambio, la información disponible para el público se recopiló de una manera que normalmente no es fácil de obtener. Teóricamente, alguien debe conocer el nombre de usuario del usuario de Gravatar para acceder a la dirección de correo electrónico de ese usuario. El raspado permitió al atacante descargar el nombre de usuario y los correos electrónicos al mismo tiempo.
Las vulnerabilidades básicas de WordPress
La última versión de WordPress Nucleus es 5.8.2. Como la mejor práctica, ¡siempre asegúrese de ejecutar la última versión básica de WordPress!
Vulnerabilidades en el complemento de WordPress
En esta sección, se revelaron las últimas vulnerabilidades del complemento de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de la versión, si se corrige el grado de gravedad. 1. Gerente de eventos
Plugin: Administrador de eventos de vulnerabilidad: inyección admin+ sql parcheada en la versión: 5.9.8 Puntuación de gravedad: entorno

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.9.8.Plus: Vulnerabilidad del Administrador de eventos: Scripting de sitios cruzados (XSS) parcheado en la versión: 5.9.8 Puntuación de gravedad: baja
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.9.8.
2. Respuesta rica de la estrella de mar
Plugin: revisiones enriquecidas de la vulnerabilidad de la estrella de mar: Admin+ inyección SQL parcheada en la versión: 1.9.6 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.9.6.

3. complemento de tipo Tipo: Vulnerabilidad de Typebot: Administrador+ Script Cross de almacenamiento parcheado en la versión: 1.4.3 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.4.3.
4. Formulario de contacto y formulario para clientes potenciales Elementor Builder
Plugin: Formulario de contacto y clientes potenciales Forma de formulario Vulnerabilidad: Escrituras entre sitios almacenados no autorizados en la versión: 1.6.4 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.6.4.

5. Descargar gerente
Plugin: Vulnerabilidad Descargar Administrador: Suscriptor+ Scripting de sitios cruzados parcheado en la versión: 3.2.22 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.2.22.

6. WP RSS Agggigator
Complemento: suscriptor+ vulnerabilidad de secuencias de comandos de sitios cruzados: inyección admin+ sql parcheada en la versión: 4.19.3 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.19.3.

7. Butotizer – botón de acción flotante inteligente
Plugin: Buttonizer-Intelligent Floating Action Botton Vulnerabilidad: Administrador+ Escrituras entre sitios almacenados parcheados: 2.5.5 Puntuación de gravedad: Scatvulnerability se correge, por lo que debe actualizarse a la versión 2.5.5.
8. Registro de correo de WP

Plugin: WP Mail Registro Vulnerabilidad: Redux Excepcionado parcheado en la versión: 1.10.0 Puntuación de gravedad: entorno
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.10.0.
9. Estrella del complemento: vulnerabilidad estética: CSRF en los scripts almacenados entre sitios corregidos en la versión: no se conoce la puntuación del complemento cerrado con remedio: alto

Esta vulnerabilidad no ha sido corregida. Este complemento ha estado cerrado desde el 20 de noviembre de 2021. Desinstalar y eliminar.
10. Formulario de contacto con CaptCha Plugin: Formulario de contacto con CaptCha Vulnerabilidad: CSRF en scripts almacenados entre sitios corregidos en la versión: no se conoce la puntuación del complemento cerrado con remedio: alto
Esta vulnerabilidad no ha sido corregida. Este complemento ha estado cerrado desde el 26 de noviembre de 2021. Desinstalar y eliminar.
11. Soporte extraordinario
Plugin: Vulnerabilidad de asistencia extraordinaria: Escrituras reflejadas entre sitios parchados en la versión: 6.0.7 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 6.0.7.
12. Foros de Asgaros

Plugin: Vulnerabilidad de los foros de Asgaros: Administrador+ Escrituras entre sitios almacenados parcheados en: 1.15.14 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.15.14.
13. Cache de Litespeed

Plugin: Litespeed Cache Vulnerabilidad: Verificación de paso de cheques IP en XSS Almacenamiento no autorizado parcheado en la versión: 4.4.4 Puntuación de gravedad: Se corrige marevulnerabilidad, por lo que debe actualizarse a la versión 4.4.4.
Plugin: Litespeed Cache Vulnerabilidad: Admin+ refleja secuencias de comandos de sitios cruzados parcheados en la versión: 4.4.4 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.4.4.

14. Video conferencia con zoom
Plugin: Video conferencia con zoom de vulnerabilidad: Escrituras reflejadas entre sitios parchados en la versión: 3.8.16 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.8.16.
15. Booster for WooCommerce
Plugin: refuerzo para la vulnerabilidad de WooCommerce: scripts cruzados reflejados en el módulo de facturación PDF parcheado en la versión: 5.4.9 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.4.9.
Plugin: refuerzo para la vulnerabilidad de WooCommerce: scripts cruzados reflejados en el módulo parchado general en la versión: 5.4.9 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.4.9.

Plugin: refuerzo para la vulnerabilidad de WooCommerce: scripts cruzados reflejados en el módulo de flujo XML para productos parchados: 5.4.9 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.4.9.
16. Paquete de amplificación de velocidad
Complemento: paquete de vulnerabilidades de refuerzo de velocidad: admin+ inyección SQL parcheada en la versión: 4.3.3.1 Puntuación de gravedad: medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.3.3.1.17. OMGF
Plugin: Vulnerabilidad de OMGF: Administrador+ eliminación de la carpeta arbitraria cruzando la ruta parcheada en la versión: 4.5.12 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.5.12.

18. Caos
Plugin: Vulnerabilidad de CAOS: Administrador+ eliminación de la carpeta arbitraria cruzando la ruta parcheada en la versión: 4.1.9 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.1.9.

19. Motor de viaje WP

Plugin: WP Travel Engine Vulnerabilidad: Editor+ Scripting de sitios cruzados de almacenamiento parcheado en la versión: 5.3.1 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.3.1.

20. Descargar monitor
Plugin: descargar vulnerabilidad del monitor: inyección admin+ sql parcheada en la versión: 4.4.5 Puntuación de gravedad: medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.4.5.

21. Préstamo de computadora / calculadora hipotecaria
Plugin: hipotecas / préstamo de préstamo de calculadora Préstamo: contribuyente+ secuencia de comandos de sitios cruzados parcheados en la versión: 1.5.17 Puntuación de gravedad: Medio ambiente
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.5.17.

22. Variantes de muestras de WooCommerce
Plugin: muestras de variación para la vulnerabilidad de WooCommerce: suscriptor+ secuencia de comandos de sitios cruzados parcheados en la versión: 2.1.2 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.1.2.

23. ADS AFILIADOS CLICKBANK CLUGIN: ADS AFILIADOS Vulnerabilidad de ClickBank: CSRF en los scripts almacenados entre sitios corregidos en la versión: no se ha corregido una gran puntuación de complemento cerrado con remedios: se ha corregido una gran vulnerabilidad. Este complemento se ha cerrado desde el 1 de diciembre de 2021. Desinstalar y eliminar.
Complemento: anuncios afiliados Vulnerabilidad de clickbank: administrador+ scripts entre sitios almacenados corregidos en la versión: no se conoce la puntuación del complemento cerrado con remedio: bajo
Esta vulnerabilidad no ha sido corregida. Este complemento se ha cerrado desde el 1 de diciembre de 2021. Desinstalar y eliminar.

24. Campos personalizados avanzados
Plugin: Vulnerabilidad avanzada de campos personalizados: suscriptor+ arbitrariedad ACF/grupos de campo Vista y campos Move parcheado en la versión: 5.11 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.11.
25. Canto
Plugin: Vulnerabilidad de Canto: SSRF ciega no autorizado parcheado en la versión: no hay remedio conocido de gravedad: medio
Esta vulnerabilidad no ha sido corregida. Desinstale y borre el complemento hasta que se libere un parche.
26. Galería todo en uno

Plugin: Galería de vulnerabilidad todo en uno: Admin+ incluyendo el parche local en la versión: 2.5.0 Puntuación de gravedad: Low
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.5.0.
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables

Como puede ver en este informe, cada semana se revelan muchos complementos y temas de WordPress cada semana. Sabemos que puede ser difícil mantenerse al día con cada revelación de las vulnerabilidades informadas, por lo que la seguridad de los complementos lo ayuda a asegurarse de que su sitio no ejecute un tema, complemento o un WordPress básico con vulnerabilidad conocida .1 .1. Instale el complemento de seguridad ITHEMS IThemes Security Pro fortalece su sitio de WordPress en las formas más comunes en que los sitios web son pirateados. Con más de 30 formas de asegurar su sitio en un solo complemento fácil de usar.
2. Active el escaneo del sitio para verificar que existan vulnerabilidades conocidas La gestión del ITHEMS Security Pro está integrada con el escaneo del sitio para proteger su sitio. Los temas vulnerables, los conceptos básicos de WordPress y las versiones base se actualizarán automáticamente.
3. Active Detección de cambio de archivo La clave para identificar rápidamente una violación de seguridad es monitorear los cambios de archivo en su sitio. La función de detección de detección de archivos escaneará los archivos de su sitio web y le advertirá cuando aparezca los cambios en su sitio.

Obtenga iThems Security Pro con el monitoreo de la seguridad del sitio web de seguridad de seguridad de ITHEMS 24/7, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio de vulnerabilidad de seguridad de WordPress.Con WordPress, autenticación de dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar capas de seguridad adicionales al escáner de su sitio para vulnerabilidades y temas de complementos
Detección de cambios de archivo
El tablero de la seguridad del sitio en tiempo real
Revistas de seguridad de WordPress
Dispositivos de confianza
recaptcha
Protección con fuerza bruta
Autenticación con dos factores

Enlaces de inicio de sesión mágicos
El privilegio de la escalada
Verificación y rechazo de contraseñas comprometidas
Obtener ithemes Security Pro