Informe de vulnerabilidad de WordPress: diciembre de 2021, Parte 1

Los complementos y los temas vulnerables son la razón principal por la cual los sitios de WordPress están rotos. El informe de vulnerabilidad de WordPress semanal de WordCan desarrollado por WPSCAN cubre el complemento reciente de WordPress, el tema principal y las vulnerabilidades, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una clasificación de gravedad baja, media, alta o crítica. La divulgación responsable e informes de vulnerabilidades es una parte integral del mantenimiento de la comunidad de WordPress. Comparta esta publicación a sus amigos para ayudar a transmitir la palabra y hacer que WordPress sea más seguro para todos.
El contenido del informe del 1 de diciembre de 2021
Hosting de WordPress: godaddy pirateado
Las vulnerabilidades básicas de WordPress
Vulnerabilidades en el complemento de WordPress
1. LOGOTO CAROUSEL
2. El estado del orden personalizado Ni WoCommerce
3. WCFM
4. Formularios del Everest
5. Estadísticas de visitantes de WP (tráfico real)
6. Donaciones felicitaciones
7. Icegrama
8. Blog2Social
9. suscripciones pagas pro
10. Editor de roles de usuario de WPFront
11. Tickera
12. WP Guppy
13. Conexión simple JWT
14. MICRED
15. Oculta mi WP
16. Asistencia extraordinaria: WordPress Helpdesk & Assistance Plugin
17. Muestra metadatos de publicación
18. Icono de redes sociales flotantes
19. Tarjeta de invitado de Gwolle
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Obtenga IThemes Security Pro con monitoreo de seguridad del sitio web 24/7
¿Le gustaría que este informe se entregue en su casilla de correo electrónico cada semana?
Suscríbete al correo electrónico semanal
Hosting de WordPress: godaddy pirateado
En una divulgación de seguridad publicada el 21 de noviembre de 2021, GoDaddy dice que hasta 1.2 millones de clientes activos e inactivos fueron expuestos después de que los piratas informáticos han obtenido acceso a la plataforma de alojamiento de WordPress. Escribí una publicación para desempacar algunos de los detalles del reciente hack. Godaddy, cómo afectar a nuestros clientes y nuestras recomendaciones sobre qué hacer si es un cliente de alojamiento de WordPress.
Leer la publicación
Las vulnerabilidades básicas de WordPress
La última versión de WordPress Nucleus es 5.8.2. Como la mejor práctica, ¡siempre asegúrese de ejecutar la última versión básica de WordPress!
Vulnerabilidades en el complemento de WordPress
En esta sección, se revelaron las últimas vulnerabilidades del complemento de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de la versión, si se corrige el grado de gravedad.
1. LOGOTO CAROUSEL
Plugin: logotipo vulnerabilidad del carrusel: contribuyente+ secuencia de comandos de sitios cruzados parcheado en la versión: 3.4.2 Puntuación de gravedad: medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.4.2.
Complemento: logotipo vulnerabilidad del carrusel: acceso privado no autorizado a la publicación parchada en la versión: 3.4.2 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.4.2.
2. El estado del orden personalizado Ni WoCommerce
Plugin: Ni WoCommerce Vulnerabilidad de estado de pedido personalizado: inyección de suscriptor+ SQL parcheado en la versión: 1.9.7 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.9.7.
3. WCFM
Plugin: Vulnerabilidad de WCFM: inyección SQL no autorizado parcheado en la versión: 3.4.12 Puntuación de gravedad: Se correge marevulnerabilidad, por lo que debe actualizarse a la versión 3.4.12.

4. Formularios del Everest
Plugin: Everest Forms Vulnerabilidad: Escrituras reflejadas entre sitios parcheados en: 1.8.0 Puntuación de gravedad: Medio ambiente
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.8.0.

5. Estadísticas de visitantes de WP (tráfico real)
Complemento: estadísticas de visitantes de WP (tráfico real) Vulnerabilidad: suscriptor+ inyección SQL parcheada en la versión: 4.8 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.8.

6. Donaciones felicitaciones
Plugin: Donaciones Felicitaciones Vulnerabilidad: Eliminar artículos arbitrarios a través de CSRF parcheado en la versión: 3.1.2 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.1.2.

7. Icegrama
Plugin: Vulnerabilidad de hielo: Escrituras reflejadas entre sitios parchados en la versión: 2.0.5 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.0.5.

8. Blog2Social
Plugin: Blog2Social Vulnerabilidad: Escrituras reflejadas entre sitios parchados en la versión: 6.8.7 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 6.8.7.

9. suscripciones pagas pro
Plugin: suscripciones pagas Vulnerabilidad: Escrituras reflejadas entre sitios parchados en la versión: 2.6.6 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.6.6.

10. Editor de roles de usuario de WPFront
Plugin: WPFront User Role Vulnerabilidad Editor: Escrituras reflejadas entre sitios parcheados en la versión: 3.2.1.1184 Puntuación de gravedad: el medio se correge, por lo que debe actualizarse a la versión 3.2.1.11184.
11. Tickera

Plugin: Vulnerabilidad de Tickera: Escrituras entre sitios almacenados no autorizados en la versión: 3.4.8.3 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.4.8.3.
12. WP GPPY Plugin: WP Guppy Vulnerabilidad: Divulgación Sensible parcheado en la versión: 1.3 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.3.
13. Conexión simple JWT
Plugin: Vulnerabilidad de conexión JWT simple: incierta creación de parche en la versión: 3.3.0 Puntuación de gravedad: Low
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.3.0.
14. MICRED

Plugin: Vulnerabilidad MyCred: Escrituras reflejadas entre sitios parcheados en la versión: 1.7.8 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.7.8.
15. Ocultar mi complemento WP: Ocultar mi vulnerabilidad de WP: complemento de complemento incapacitante inalcanzable en la versión: 6.2.4 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 6.2.4.

Plugin: ocultar mi vulnerabilidad WP: inyección SQL no autorizado parcheado en la versión: 6.2.4 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 6.2.4.
16. Asistencia extraordinaria: WordPress Helpdesk & Assistance Plugin
Plugin: Awesome Support-WordPress HelpDesk y Vulnerabilidad Plugin: Escrituras reflejadas entre sitios parcheados en: 6.0.7 Puntuación de gravedad: Se corrige Marevulnerabilidad, por lo que debe actualizarse a la versión 6.0.7.
17. Muestra metadatos de publicación
Plugin: Muestra los metadatos de la publicación de vulnerabilidad: contribuyente+ secuencia de comandos de sitios cruzados parcheados en la versión: 1.5.0 Puntuación de gravedad: medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.5.0.
18. Icono del complemento de redes sociales flotantes: icono de las redes sociales flotantes Vulnerabilidad: Administrador+ scripts entre sitios almacenados corregidos en la versión: no se conocen remedios cerrados con puntaje: bajo
Esta vulnerabilidad no ha sido corregida. Este complemento ha estado cerrado desde el 27 de octubre de 2021. Desinstalar y eliminar.

19. Tarjeta de invitado de Gwolle
Plugin: Gwolle Vivis Vulnerabilidad: Escrituras reflejadas entre sitios parchados en la versión: 4.2.0 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.2.0.
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Como puede ver en este informe, cada semana se revelan muchos complementos y temas de WordPress cada semana. Sabemos que puede ser difícil mantenerse al día con cada revelación de las vulnerabilidades informadas, por lo que la seguridad de los complementos lo ayuda a asegurarse de que su sitio no ejecute un tema, complemento o un WordPress básico con vulnerabilidad conocida.

1. Instale el complemento de seguridad ITHEMS IThemes Security Pro fortalece su sitio de WordPress en las formas más comunes en que los sitios web son pirateados. Con más de 30 formas de asegurar su sitio en un solo complemento de uso fácil.2. Active el escaneo del sitio para verificar que existan vulnerabilidades conocidas La función de administrar el ITHEMS Security Pro integra con el escaneo del sitio para proteger su sitio. Los temas vulnerables, los conceptos básicos de WordPress y las versiones base se actualizarán automáticamente.
3. Active Detección de cambio de archivo La clave para identificar rápidamente una violación de seguridad es monitorear los cambios de archivo en su sitio. La función de detección de detección de archivos escaneará los archivos de su sitio web y le advertirá cuando aparezca los cambios en su sitio.
Obtenga iThems Security Pro con el monitoreo de la seguridad del sitio web de seguridad de seguridad de ITHEMS 24/7, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio de vulnerabilidad de seguridad de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar capas de seguridad adicionales a su sitio.
Escáner de sitios para vulnerabilidades y temas de complementos
Detección de cambios de archivo
El tablero de la seguridad del sitio en tiempo real
Revistas de seguridad de WordPress
Dispositivos de confianza

recaptcha
Protección con fuerza bruta
Autenticación con dos factores
Enlaces de inicio de sesión mágicos
El privilegio de la escalada
La verificación y el rechazo de las contraseñas comprometidas obtienen iThemes Security Pro