Informe de vulnerabilidad de WordPress: noviembre de 2021, Parte 3

Los complementos y los temas vulnerables son la razón principal por la cual los sitios de WordPress están rotos. El informe de vulnerabilidad de WordPress semanal de WordCan desarrollado por WPSCAN cubre el complemento reciente de WordPress, el tema principal y las vulnerabilidades, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una clasificación de gravedad baja, media, alta o crítica. La divulgación responsable e informes de vulnerabilidades es una parte integral del mantenimiento de la comunidad de WordPress. Comparta esta publicación a sus amigos para ayudar a transmitir la palabra y hacer que WordPress sea más seguro para todos.
El contenido del informe del 17 de noviembre de 2021
Las vulnerabilidades básicas de WordPress
1. WordPress
Vulnerabilidades en el complemento de WordPress
1. Registros para el calendario de eventos
2. Autenticaciónwp
3. Interruptor de divisas de WooCommerce
4. Protección segura para copiar y bloquear contenido
5. Bookly
6. Registro de correo electrónico
7. tawk.to chat en vivo
8. Acceso a los datos de WP
9. espectador pdf.js
10. Copia de seguridad y restauración
11. LearnPress
12. Obtenga valores de campo personalizados
13. Paquete de reserva
14. Evaluación del botón similar
15. Formularios de caldera
16. Plantillas iniciales
17. Formulario de contacto por correo electrónico
18. Galería de video – Galería Vimeo y YouTube
19. Publicaciones populares de WordPress
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Obtenga IThemes Security Pro con monitoreo de seguridad del sitio web 24/7
¿Le gustaría que este informe se entregue en su casilla de correo electrónico cada semana?
Suscríbete al correo electrónico semanal
Las vulnerabilidades básicas de la versión más reciente de WordPressa del núcleo de WordPress es 5.8.2. Como la mejor práctica, ¡siempre asegúrese de ejecutar la última versión básica de WordPress!
1. Vulnerabilidad de WordPress: DST Root CA CA X3 expirado parcheado en la versión: 5.8.2 Explicación: WP-Incluye/Certificados/CA-Bundle.Crt El archivo contiene una raíz DST CA x3 que expiró el 30 de septiembre de 2021, planteando una advertencia de seguridad de advertencia de seguridad en algunos casos.
La vulnerabilidad se ha corregido, así que asegúrese de ejecutar WordPress 5.8.2.
Vulnerabilidades en el complemento de WordPress
En esta sección, se revelaron las últimas vulnerabilidades del complemento de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de la versión, si se corrige el grado de gravedad.
1. Registros para el calendario de eventos
Plugin: Registros para el calendario de eventos de vulnerabilidad: inyección SQL no autorizado parcheado en la versión: 2.7.6 Puntuación de gravedad: alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.7.6.
2. Autenticaciónwp
Plugin: LoginWP Vulnerabilidad: Escrituras reflejadas entre sitios parcheados en la versión: 3.0.0.5 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.0.0.5.
3. Interruptor de divisas de WooCommerce
Plugin: Vulnerabilidad al conmutador de divisas de WooCommerce: Escrituras reflejadas entre sitios parcheados en la versión: 1.3.7.1 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.3.7.1.
4. Protección segura para copiar y bloquear contenido
Plugin: Protección segura para copiar y bloquear el contenido de vulnerabilidad: suscriptor+ divulgación de la dirección de correo electrónico parcheada: 2.8.2 Puntuación de gravedad: se correge marevulnerabilidad, por lo que debe actualizarse a la versión 2.8.2.

5. Bookly
Plugin: Vulnerabilidad Bookly: Escrituras entre sitios almacenados por el personal parchado en la versión: 20.3.1 Puntuación de gravedad: Medio ambiente
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 20.3.1.

6. Registro de correo electrónico
Plugin: Vulnerabilidad del diario de correo electrónico: Escrituras reflejadas entre sitios parchados en la versión: 2.4.8 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.4.8.

7. tawk.to chat en vivo
Complemento: tawk.to vulnerabilidad en vivo de chat: monitoreo de suscriptores+ visitante y eliminación a través de parchado en la versión: 0.6.0 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 0.6.0.

8. Acceso a los datos del complemento WP: Vulnerabilidad de acceso a datos de WP: inyección de administrador+ SQL palmada en la versión: 5.0.0 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.0.0.
9. espectador pdf.js
Plugin: PDF.JS Vulnerabilidad del visor: contribuyente+ scripting de sitios cruzados de almacenamiento parcheado en la versión: 2.0.2 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.0.2.

10. Copia de seguridad y restauración
Plugin: Vulnerabilidad de copia de seguridad y restauración: Admin+ arbitrary Wipe de archivo parchado en la versión: No hay remedio conocido de gravedad: medio
Esta vulnerabilidad no ha sido corregida. Desinstale y elimine el complemento hasta que se lance un parche.11. LearnPress

Plugin: LearnPress Vulnerabilidad: inyección de administrador+ SQL parcheada en la versión: 4.1.4 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.1.4.
12. Obtenga valores de campo personalizados

Plugin: Obtener valores de campo personalizados Vulnerabilidad: contribuyente+ secuencias de comandos de sitios cruzados parcheados en la versión: 4.0.1 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.0.1.
13. Paquete de reserva

Plugin: Paquete de reserva de vulnerabilidad: Escrituras reflejadas entre sitios parcheados en la versión: 1.5.11 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.5.11.
14. Evaluación del botón similar

Complemento: botón de evaluación como vulnerabilidad: exportación no autorizada de votos de correo electrónico y divulgación de direcciones parcheadas IP en la versión: 2.6.38 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.6.38.
15. Formularios de caldera

Plugin: Formularios de vulnerabilidad de caldera: Administrador+ Escrituras entre sitios almacenados parcheados en: 1.9.5 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.9.5.
16. Plantillas iniciales

Complemento: plantillas de inicio de vulnerabilidad: contribuyente+ importación de bloque al almacenamiento XSS parcheado en la versión: 2.7.1 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.7.1.
17. Formulario de contacto por correo electrónico

Plugin: Formulario de contacto Vulnerabilidad por correo electrónico: Administrador+ Escrituras entre sitios almacenados parcheados en: 1.3.25 Puntuación de gravedad: Se corrige la escatulnerabilidad, por lo que debe actualizarse a la versión 1.3.25.
18. Galería de video – Galería Vimeo y YouTube
Plugin: Video Gallery-Vimeo Gallery y YouTube Vulnerabilidad: Administrador+ Escrituras entre sitios almacenados parcheados en: 1.1.5 Puntuación de gravedad: Bajo

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.1.5.
19. Publicaciones populares de WordPress
Plugin: publicaciones populares Vulnerabilidad de WordPress: Administrador+ Escrituras entre sitios almacenados parcheados en: 5.3.4 Puntuación de gravedad: Bajo

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.3.4.
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Como puede ver en este informe, cada semana se revelan muchos complementos y temas de WordPress cada semana. Sabemos que puede ser difícil mantenerse al día con cada revelación de las vulnerabilidades informadas, por lo que la seguridad de los complementos lo ayuda a asegurarse de que su sitio no ejecute un tema, complemento o un WordPress básico con vulnerabilidad conocida.

1. Instale el complemento de seguridad ITHEMS IThemes Security Pro fortalece su sitio de WordPress en las formas más comunes en que los sitios web son pirateados. Con más de 30 formas de asegurar su sitio en un solo complemento fácil de usar.
2. Active el escaneo del sitio para verificar que existan vulnerabilidades conocidas La gestión del ITHEMS Security Pro está integrada con el escaneo del sitio para proteger su sitio. Los temas vulnerables, los conceptos básicos de WordPress y las versiones base se actualizarán automáticamente a usted3. Monitor Los cambios de archivo CHEIA para identificar rápidamente una violación de seguridad es monitorear los cambios de archivo en su sitio. La función de detección de archivos en Ithemes Security Pro escaneará los archivos de su sitio web y le advertirá cuando ocurran cambios en su sitio
Obtenga IThemes Security Pro con monitoreo de seguridad del sitio web 24/7
Ithemes Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 50 formas de asegurar y proteger sus vulnerabilidades de seguridad de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar capas de seguridad adicionales a su sitio.
Escáner de sitios para vulnerabilidades y temas de complementos
Detección de cambios de archivo
El tablero de la seguridad del sitio en tiempo real
Revistas de seguridad de WordPress

Dispositivos de confianza
recaptcha
Protección con fuerza bruta
Autenticación con dos factores
Enlaces de inicio de sesión mágicos
El privilegio de la escalada
Verificación y rechazo de contraseñas comprometidas
Obtener ithemes Security Pro