Informe de vulnerabilidad de WordPress: noviembre de 2021, Parte 1

Los complementos y los temas vulnerables son la razón principal por la cual los sitios de WordPress están rotos. El informe de vulnerabilidad de WordPress semanal de WordCan desarrollado por WPSCAN cubre el complemento reciente de WordPress, el tema principal y las vulnerabilidades, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una clasificación de gravedad baja, media, alta o crítica. La divulgación responsable e informes de vulnerabilidades es una parte integral del mantenimiento de la comunidad de WordPress. Comparta esta publicación a sus amigos para ayudar a transmitir la palabra y hacer que WordPress sea más seguro para todos.
El contenido del informe del 3 de noviembre de 2021
Las vulnerabilidades básicas de WordPress
Vulnerabilidades en el complemento de WordPress
1. más reseñas
2. La galería de diapositivas
3. Niño principal WP
4. Catálogo de productos comerciales electrónicos de WordPress
5. multilingv multilingüe Falang
6. Gerente de lecciones de video
7. Verificación de ortografía de WP
8. Comercio electrónico: autenticación de dos factores
9. Maz Charger
10. La puerta de edad
11. Publicación duplicada
12. Notificación
13. Director comercial de conexión
14. Tags de medios
15. Acerca de la caja del autor
16. suscripciones y suscripciones de PayPal
17. Acepte donaciones con PayPal
18. Eventos fáciles de PayPal
19. Muestra cualquier cosa
20. Gerente de trabajo de JS
21. Cambio de bloque en la fecha y hora
22. Formularios ninja
23. Exportación de archivos adjuntos de WP
24. Control de texto Slider en la publicación
25. Hashthemes Demoporter
26. Registros para el calendario de eventos
27. Junta de WP
28. Optinmonster
29. NEXTSCRIPTS: auto-cobro para redes sociales
30. Smash Balloon Social Post Feed31. Wp-pro-quis
32. Formulario de contacto de supsstic
33. WP-Stats
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Obtenga IThemes Security Pro con monitoreo del sitio web 24/7
¿Le gustaría que este informe se entregue en su casilla de correo electrónico cada semana?
Suscríbete al correo electrónico semanal
Las vulnerabilidades básicas de WordPress
La última versión de WordPress Nucleus es 5.8.1. Como la mejor práctica, ¡siempre asegúrese de ejecutar la última versión básica de WordPress!
Vulnerabilidades en el complemento de WordPress
En esta sección, se revelaron las últimas vulnerabilidades del complemento de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de la versión, si se corrige el grado de gravedad. 1. más reseñas
Complemento: revisiones más vulnerabilidad: suscriptor+ revisiones DOS parcheadas en la versión: 1.2.14 Puntuación de gravedad: Bajo

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.2.14.
2. La galería de diapositivas
Plugin: Galería de presentación de vulnerabilidad: Administrador+ Escrituras entre sitios almacenados parcheados en: 1.7.4 Puntuación de gravedad: Bajo

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.7.4.
3. Niño principal WP
Plugin: MainWP Vulnerabilidad infantil: Admin+ SQL Inyección parcheada en la versión: 4.1.8 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.1.8.
4. Catálogo de productos comerciales electrónicos de WordPress
Plugin: Catálogo de productos de comercio electrónico para la vulnerabilidad de WordPress: Escrituras reflejadas entre sitios parcheados en la versión: 3.0.39 Puntuación de gravedad: Se corrige Marevulnerabilidad, por lo que debe actualizarse a la versión 3.0.39.

5. multilingv multilingüe Falang
Plugin: Phalang multilingüe para Vulnerabilidad de WordPress: Escrituras reflejadas entre sitios parcheados en la versión: 1.3.18 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.3.18.

6. Gerente de lecciones de video
Plugin: Vulnerabilidad Video de video Manager: Administrador+ Escrituras entre sitios almacenados parcheados: 1.7.2 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.7.2.

7. Verificación de ortografía de WP
Plugin: WP Vulnerabilidad de verificación de ortografía: Escrituras reflejadas entre sitios parchados en la versión: 9.3 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 9.3.

8. Comercio electrónico: autenticación de dos factores
Complemento: autenticación comercial electrónica en dos factores de vulnerabilidad: Escrituras reflejadas entre sitios parcheados en: 1.0.5 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.0.5.

9. Maz Charger
Plugin: Vulnerabilidad de Maz Loader: eliminación arbitraria del cargador por CSRF parcheado en la versión: No hay remedio conocido de gravedad: alto
Esta vulnerabilidad no ha sido corregida. Desinstale y borre el complemento hasta que se libere un parche.

10. La puerta de edad
Plugin: Vulnerabilidad de la puerta de edad: Configuración de importación no autorizada parcheada en la versión: 2.17.1 Puntuación de gravedad: CriticVulnerabilidad se correge, por lo que debe actualizarse a la versión 2.17.1.
11. Publicación duplicada

Plugin: Vulnerabilidad duplicada de poste: inyección SQL parcheada en la versión: 1.2.0 Puntuación de gravedad: medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.2.0.
12. Notificación

Plugin: Notificación de vulnerabilidad: Administrador+ Escrituras entre sitios almacenados parcheados en: 8.0.0 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 8.0.0.
13. Director comercial de conexión

Plugin: Director de Negocios de Conexión de Vulnerabilidad: Inyección Admin+ CSV parcheada en la Versión: 9.7 Puntuación de gravedad: Medio ambiente
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 9.7.
14. Media-Tags Plugin: Media-Tags Vulnerabilidad: Administrador+ Escrituras entre sitios almacenados corregidos en la versión: No se conoce el complemento cerrado de remedio: bajo

Esta vulnerabilidad no ha sido corregida. Este complemento ha estado cerrado desde el 28 de septiembre de 2021. Desinstalar y eliminar.
15. Acerca de la caja del autor
Plugin: Acerca de la vulnerabilidad de la caja del autor: contribuyente+ secuencia de comandos de sitio cruzado parcheado en la versión: 1.0.2 Puntuación de gravedad: Medio ambiente
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.0.2.
16. suscripciones y suscripciones de PayPal

Plugin: suscripciones y suscripciones para la vulnerabilidad de PayPal: scripts cruzados reflejados a través de los parámetros de la página parcheada: 1.1.3 Puntuación de gravedad: se correge marevulnerabilidad, por lo que debe actualizarse a la versión 1.1.3.
17. Acepte donaciones con PayPal
Plugin: Acepte donaciones con vulnerabilidad de PayPal: scripts cruzados reflejados a través de los parámetros de la página parcheados en la versión: 1.3.1 Puntuación de gravedad: alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.3.1.
18. Eventos fáciles de PayPal
Plugin: PayPal Eventos de vulnerabilidad fácil: scripts cruzados reflejados a través de los parámetros de la página parcheados en: 1.1.2 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.1.2.
19. Muestra cualquier cosa
Plugin: ventana emergente Anything Vulnerabilidad: contribuyente+ scripting de sitios cruzados de almacenamiento parcheado en la versión: 2.0.4 Puntuación de gravedad: alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.0.4.
20. Gerente de trabajo de JS
Plugin: JS Job Manager Vulnerabilidad: Instalación/activación no autorizada del complemento arbitrario en la versión: 1.1.9 Puntuación de gravedad: Critic

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.1.9.
21. Cambio de bloque en la fecha y hora
Complemento: cambio de bloque en la vulnerabilidad de la fecha y la hora: autorización parchada faltante en la versión: 1.12 Puntuación de gravedad: entorno

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.12.
22. Formularios ninja
Plugin: Ninja Form Vulnerabilidad: Inyección Admin+ SQL parcheada en la versión: 3.6.4 Puntuación de gravedad: Se corrige medio, por lo que debe actualizarse a la versión 3.6.4.

23. Exportación de archivos adjuntos de WP
Plugin: Vulnerabilidad de exportación de archivos adjuntos de WP: descarga de inalcanzable parcheado en la versión: 0.2.4 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 0.2.4.

24. Control de texto Slider en la publicación

Plugin: Contenido de texto Slide en la vulnerabilidad posterior: Escrituras entre sitios almacenados autenticados (XSS) parcheado en la versión: 6.9 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 6.9.

25. Hashthemes Demoporter
Plugin: Hashthemes Demoporter Vulnerabilidad: Control inadecuado del acceso al Blog parcheado Restablecimiento: 1.1.2 Puntuación de gravedad: crítico
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.1.2.

26. Registros para el calendario de eventos
Plugin: Registros para el calendario de eventos de vulnerabilidad: Escrituras reflejadas entre sitios parchados en la versión: 2.7.5 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.7.5.

27. Junta de WP
Plugin: Vulnerabilidad WP de la placa MANG: inyección SQL parcheada en la versión: 1.6.9 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.6.9.

28. Optinmonster
Plugin: OptinMonster Vulnerabilidad: Puntos finales finales parcheado en la versión: 2.6.5 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.6.5.29. NEXTSCRIPTS: autogestivo para redes sociales

Plugin: NEXTSCRIPTS: Auto-Poster para redes sociales Vulnerabilidad: Escrituras reflejadas entre sitios parcheados en la versión: 4.3.21 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.3.21.
30. Smash Balloon Social Post Feed

Plugin: Smash Balloon Social Post Feed Vulnerabilidad: suscriptor+ actualización de la configuración arbitraria del complemento en XSS almacenado parcheado en la versión: 4.0.1 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.0.1.
31. Plugin WP-Pro-Quiz: Vulnerabilidad WP-Pro-Quiz: Limpieza arbitraria a través de CSRF corregido en la versión: no se conoce la puntuación del complemento cerrado con remedio: medio

Esta vulnerabilidad no ha sido corregida. Este complemento ha sido cerrado a partir del 17 de julio de 2020. Desinstalar y eliminar.
32. Formulario de contacto de supsstic
Plugin: Formulario de contacto de la vulnerabilidad supsística: Administrador+ scripts entre sitios almacenados parcheados en la versión: no se conoce una puntuación de gravedad: bajo

Esta vulnerabilidad no ha sido corregida. Desinstale y borre el complemento hasta que se libere un parche.
33. WP-Stats
Plugin: WP-States Vulnerabilidad: CSRF en scripting de sitios cruzados (XSS) parcheado en la versión: 2.52 Puntuación de gravedad: Alto
Este complemento no se ha probado con las últimas 3 versiones principales de WordPress. Es posible que ya no se mantenga o se acepte y puede tener problemas de compatibilidad cuando se usa con versiones más recientes de WordPress.
Esta vulnerabilidad no ha sido corregida. Desinstale y elimine el complemento hasta que se lance un parche. Cómo proteger su sitio web de WordPress de complementos y temas vulnerables

Como puede ver en este informe, cada semana se revelan muchos complementos y temas de WordPress cada semana. Sabemos que puede ser difícil mantenerse al día con cada revelación de las vulnerabilidades informadas, por lo que la seguridad de los complementos lo ayuda a asegurarse de que su sitio no ejecute un tema, complemento o un WordPress básico con vulnerabilidad conocida.
1. Instale el complemento de seguridad ITHEMS IThemes Security Pro fortalece su sitio de WordPress en las formas más comunes en que los sitios web son pirateados. Con más de 30 formas de asegurar su sitio en un solo complemento fácil de usar.
2. Active el escaneo del sitio para verificar que existan vulnerabilidades conocidas La gestión del ITHEMS Security Pro está integrada con el escaneo del sitio para proteger su sitio. Los temas vulnerables, los conceptos básicos de WordPress y las versiones base se actualizarán automáticamente.

3. Los cambios en el monitor de cambios CHEIA para la identificación rápida de una violación de seguridad es monitorear los cambios de archivo en su sitio. La función de detección de detección de archivos escaneará los archivos de su sitio web y le advertirá cuando aparezcan los cambios en su sitio.
Obtenga iThems Security Pro con el monitoreo de su sitio web de seguridad de seguridad de WordPress las 24 horas, los 7 días de la semana, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio de vulnerabilidad de seguridad de WordPress.Con WordPress, autenticación de dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar capas de seguridad adicionales al escáner de su sitio para vulnerabilidades y temas de complementos
Detección de cambios de archivo
El tablero de la seguridad del sitio en tiempo real
Revistas de seguridad de WordPress
Dispositivos de confianza
recaptcha
Protección con fuerza bruta

Autenticación con dos factores
Enlaces de inicio de sesión mágicos
El privilegio de la escalada
Verificación y rechazo de contraseñas comprometidas
Obtener ithemes Security Pro