Informe de vulnerabilidad de WordPress: noviembre de 2021, Parte 2

Los complementos y los temas vulnerables son la razón principal por la cual los sitios de WordPress están rotos. El informe de vulnerabilidad de WordPress semanal de WordCan desarrollado por WPSCAN cubre el complemento reciente de WordPress, el tema principal y las vulnerabilidades, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una clasificación de gravedad baja, media, alta o crítica. La divulgación responsable e informes de vulnerabilidades es una parte integral del mantenimiento de la comunidad de WordPress. Comparta esta publicación a sus amigos para ayudar a transmitir la palabra y hacer que WordPress sea más seguro para todos.
Contenido del informe del 10 de noviembre de 2021
Las vulnerabilidades básicas de WordPress
Vulnerabilidades en el complemento de WordPress
1. La galería del concurso
2. Verifique y grabe su correo electrónico
3. BSK PDF Manager
4. Computadora de costo elegante
5. Página de la tienda WP
6. IBTANA – Suplementos para productos de comercio electrónico
7. WP RSS Agggigator
8. Generados de bloques
9. Correo electrónico antes de descargar
10. MICRED
11. Google Maps fácil
12. Mi calendario
13. Ariforms Form Builder
14. WP DSGVO Instruments
15. WP All Import
16. WPS oculta la autenticación
17. WP Google Fonts
18. Gerente de eventos de WooCommerce
19. AutomatorWP
20. Slider de logotipo y exhibición
21. La lista de precios elegantes
22. problemas de WP
23. Lista de hoteles
24. Correo electrónico del rastreador
25. Formulario de contacto de supsstic
26. Menú de restaurantes MotoPress
27. Redirección de SEO
28. Tutor LMS
29. Formularios ninja
30. Registros para el calendario de eventos
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables.
¿Le gustaría que este informe se entregue en su casilla de correo electrónico cada semana?
Suscríbete al correo electrónico semanal
Las vulnerabilidades básicas de WordPress
La última versión de WordPress Nucleus es 5.8.1. Como la mejor práctica, ¡siempre asegúrese de ejecutar la última versión básica de WordPress!
Vulnerabilidades en el complemento de WordPress
En esta sección, se revelaron las últimas vulnerabilidades del complemento de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de la versión, si se corrige el grado de gravedad. 1. La galería del concurso
Plugin: Galería de concursos de vulnerabilidad: suscriptor+ divulgación de correo electrónico parcheado en: 13.1.0.7 Puntuación de gravedad: Medio ambiente

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 13.1.0.7.
Plugin: Galería de concursos de vulnerabilidad: carece de controles de acceso para la divulgación de inyección SQL / correo electrónico no autorizada en: 13.1.0.6 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 13.1.0.6.
2. Verifique y registre el correo electrónico del complemento: Verifique y registre el correo electrónico de vulnerabilidad: Escrituras reflejadas entre sitios parchados en: 1.0.4 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.0.4.
3. BSK PDF Manager del complemento: BSK PDF Vulnerabilidad Manager: Admin+ SQL Inyección parcheada en la versión: 3.1.2 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.1.2.4. Elegante
Complemento: elegante costo de la computadora Vulnerabilidad: suscriptor+ AJAX llama no autorizadas a XSS Storaed parcheado en la versión: 7.0.4 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 7.0.4.

5. Página de la tienda WP
Plugin: Vulnerabilidad de la página de la tienda WP: Administrador+ scripts entre sitios almacenados parcheados en: 1.2.8 Puntuación de gravedad: entorno
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.2.8.

6. IBTANA – Suplementos para productos de comercio electrónico
Plugin: Supplementos de IBTANA para productos de comercio electrónico Vulnerabilidad: Escrituras reflejadas entre sitios parcheados en la versión: 0.2.4 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 0.2.4.

7. WP RSS Agggigator
Plugin: WP RSS Agggigator Vulnerabilidad: Administrador+ Escrituras entre sitios almacenados parcheados en: 4.19.2 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.19.2.

8. Generados de bloques
Plugin: Generateblocks Vulnerabilidad: contribuyente+ scripting de sitios cruzados de almacenamiento parcheado en la versión: 1.4.0 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.4.0.

9. Correo electrónico antes de descargar
Plugin: correo electrónico antes de descargar vulnerabilidad: Admin+ inyección SQL parcheada en la versión: 6.8 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 6.8.

10. MICRED
Plugin: Vulnerabilidad MyCred: Inyección de suscriptor+ SQL parcheada en la versión: 2.3 Puntuación de gravedad: Se corrige marevulnerabilidad, por lo que debe actualizarse a la versión 2.3.
11. Google Maps fácil

Plugin: Google Maps Vulnerabilidad fácil: Administrador+ Escrituras entre sitios almacenados parcheados: 1.10.1 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.10.1.
12. Mi calendario

Plugin: mi calendario de vulnerabilidad: suscriptor+ refleja secuencias de comandos de sitios cruzados parcheados en la versión: 3.2.18 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.2.18.
13. Ariforms Form Builder

Plugin: Ariforms Form Builder Vulnerabilidad: Administrador+ Escrituras entre sitios almacenados parcheados: 1.5 Puntuación de gravedad: baja
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.5.
14. WP DSGVO Instruments

Plugin: WP DSGVO Herramientas Vulnerabilidad: Deleción arbitraria no autorizada parcheada en la versión: 3.1.24 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.1.24.
15. WP All Import

Plugin: WP All Vulnerabilidad de importación: Administrador+ Escrituras entre sitios almacenados parcheados en: 3.6.3 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.6.3.
16. WPS oculta la autenticación

Plugin: WPS oculta la autenticación de vulnerabilidad: derivación protectora con cabeceo de referencia en la versión: 1.9.1 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.9.1.
17. WP Google Fontsplin: WP Google Fonts Vulnerabilidad: Escrituras reflejadas entre sitios parcheados en: 3.1.5 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.1.5.
18. Gerente de eventos de WooCommerce
Plugin: Administrador de eventos para la vulnerabilidad de WooCommerce: Importación no autorizada de elementos de plantilla arbitraria parcheado en la versión: 3.5.3 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.5.3.
Plugin: Administrador de eventos para la vulnerabilidad de WooCommerce: Restablecimiento de opciones arbitrarias no autorizadas parcheadas en la versión: 3.5.3 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.5.3.

19. AutomatorWP
Plugin: Automatorwp Vulnerabilidad: falta de autorización y escalada de privilegios parchados en la versión: 1.7.6 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.7.6.
20. Slider de logotipo y exhibición
Plugin: Slider de logotipo y vulnerabilidad de exhibición: Configuración de actualización para el editor parcheado en la versión: 1.3.37 Puntuación de gravedad: Low

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.3.37.
21. La lista de precios elegantes
Plugin: Lista de precios elegantes de vulnerabilidad: imágenes arbitrarias no autorizadas parcheadas en la versión: 6.9.0 Puntuación de gravedad: Medio ambiente

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 6.9.0.

Plugin: Lista de precios elegantes de vulnerabilidad: suscriptor+ carga de imagen arbitraria parcheada en la versión: 6.9.1 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 6.9.1.22. Problemas de WP

Plugin: Vulnerabilidad de problemas de WP: Actualización de configuración de complemento parchado no autorizado en la versión: 2.11.0 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.11.0.
23. Lista de hoteles de complementos: Lista de hoteles Vulnerabilidad: Escrituras entre sitios almacenados autenticado en la versión: 1.3.3 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.3.3.
24. Complemento de correo electrónico del rastreador: vulnerabilidad del correo electrónico del rastreador: Escrituras reflejadas entre sitios parchados en la versión: 5.2.6 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.2.6.
25. Formulario de contacto de supsstic
Plugin: Formulario de contacto de la vulnerabilidad supsística: Administrador+ scripts entre sitios almacenados parcheados en: 1.7.20 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.7.20.
26. Menú de restaurantes MotoPress
Plugin: MOTOPESS Restaurant Menú Vulnerabilidad: Administrador+ script de almacenamiento cruzado parcheado en la versión: 2.4.2 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.4.2.

27. Redirección de SEO
Plugin: Redirección de vulnerabilidad de SEO: suscriptor+ inyección SQL parcheada en la versión: 8.2 Puntuación de gravedad: Medio ambiente
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 8.2.

28. Tutor LMS
Plugin: LMS Vulnerabilidad del tutor: Escrituras reflejadas entre sitios parcheados en: 1.9.11 Puntuación de gravedad: Se corrige medio, por lo que debe actualizarse a la versión 1.9.11.
29. Formularios ninja

Plugin: Ninja Forms Vulnerabilidad: Admin+ Inyección SQL parcheada en la versión: 3.6.4 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.6.4.
30. Registros para el calendario de eventos

Plugin: Registros para el calendario de eventos de vulnerabilidad: Escrituras reflejadas entre sitios parchados en la versión: 2.7.5 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.7.5.
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables

Como puede ver en este informe, cada semana se revelan muchos complementos y temas de WordPress cada semana. Sabemos que puede ser difícil mantenerse al día con cada revelación de las vulnerabilidades informadas, por lo que la seguridad de los complementos lo ayuda a asegurarse de que su sitio no ejecute un tema, complemento o un WordPress básico con vulnerabilidad conocida.
1. Instale el complemento de seguridad ITHEMS IThemes Security Pro fortalece su sitio de WordPress en las formas más comunes en que los sitios web son pirateados. Con más de 30 formas de asegurar su sitio en un solo complemento fácil de usar.
2. Active el escaneo del sitio para verificar que existan vulnerabilidades conocidas La gestión del ITHEMS Security Pro está integrada con el escaneo del sitio para proteger su sitio. Los temas vulnerables, los conceptos básicos de WordPress y las versiones base se actualizarán automáticamente a usted3. Monitor Los cambios de archivo CHEIA para identificar rápidamente una violación de seguridad es monitorear los cambios de archivo en su sitio. La función de detección de archivos en Ithemes Security Pro escaneará los archivos de su sitio web y le advertirá cuando ocurran cambios en su sitio

Obtenga iThems Security Pro con el monitoreo de su sitio web de seguridad de seguridad de WordPress las 24 horas, los 7 días de la semana, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio de vulnerabilidad de seguridad de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar capas de seguridad adicionales a su sitio.
Escáner de sitios para vulnerabilidades y temas de complementos
Detección de cambios de archivo
El tablero de la seguridad del sitio en tiempo real
Revistas de seguridad de WordPress
Dispositivos de confianza
recaptcha

Protección con fuerza bruta
Autenticación con dos factores
Enlaces de inicio de sesión mágicos
El privilegio de la escalada
Verificación y rechazo de contraseñas comprometidas
Obtener ithemes Security Pro