Informe de vulnerabilidad de WordPress: octubre de 2021, Parte 4

Los complementos y los temas vulnerables son la razón principal por la cual los sitios de WordPress están rotos. El informe de vulnerabilidad de WordPress semanal de WordCan desarrollado por WPSCAN cubre el complemento reciente de WordPress, el tema principal y las vulnerabilidades, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una clasificación de gravedad baja, media, alta o crítica. La divulgación responsable e informes de vulnerabilidades es una parte integral del mantenimiento de la comunidad de WordPress. Comparta esta publicación a sus amigos para ayudar a transmitir la palabra y hacer que WordPress sea más seguro para todos.
En el informe del 27 de octubre de 2021
Las vulnerabilidades básicas de WordPress
Vulnerabilidades en el complemento de WordPress
1. Archivos compartidos
2. Redirector QR
3. Rolio liso de la rueda del ratón
4. Insertar páginas
5. Redirección de SEO
6. Donación de PayPal
7. Impresionar para IDX Broker
8. Conexión simple JWT
9. Mis boletos
10. Facturación de clientes a través de facturas de Sprout
11. Registro de correo electrónico
12. Booster de puntaje de rendimiento de WP
13. Integración Active Directory / LDAP Integración
14. tableon
15. Control deslizante de imágenes receptivas, galería de fotos y carrusel
16. Page WP Sitemap
17. Flux
18. útil
19. LearnPress
20. La puesta en escena del contenido
21. muro de pago con fugas
22. Tutor LMS
23. Examen de logotipo con deslizante elegante
24. Formidable Former Builder
25. Descargue el complemento
26. Imágenes a WebP
27. API mstore
28. Descargas digitales ligeras
29. Administrador de acceso avanzado
30. Encuesta de YOP
31. Exportación de archivos adjuntos de WP
32. Texto de SLISOR contenido en la publicación
33. Icegrama
34. Betterlinks
35. LearnDash
36. ImageBoss
37. entrenador
38. MPL-Editura
39. Elementor
40. Shared Social Sassy
41. Registro de pastel
42. Formularios avanzados
43. Captura de temas de demostración de demostración
44. Mensaje de trabajo simple
45. Búsqueda de marfil
46. ​​La puerta de edad
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Obtenga IThemes Security Pro con monitoreo del sitio web 24/7
¿Le gustaría que este informe se entregue en su casilla de correo electrónico cada semana?
Suscríbete al correo electrónico semanal
Las vulnerabilidades básicas de WordPress
La última versión de WordPress Nucleus es 5.8.1 se ha lanzado como una versión de seguridad y mantenimiento. Como la mejor práctica, ¡siempre asegúrese de ejecutar la última versión básica de WordPress!
Vulnerabilidades en el complemento de WordPress
En esta sección, se revelaron las últimas vulnerabilidades del complemento de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de la versión, si se corrige el grado de gravedad. 1. Plugin Archivos compartidos: Vulnerabilidad de archivos compartidos: Administrador+ Escrituras entre sitios almacenados parcheados en la versión: 1.6.61 Puntuación de gravedad: Low
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.6.61.
2. Redirector QR

Plugin: Vulnerabilidad del redirector QR: contribuyente+ scripting de sitios cruzados de almacenamiento parcheado en la versión: 1.6.1 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.6.1.
Plugin: Vulnerabilidad del redirector QR: suscriptor+ actualización de estado de la respuesta de redirección arbitraria en la versión: 1.6 Puntuación de gravedad: medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.6.
3. Vulnerabilidad de desplazamiento suave de la rueda del ratón: actualización de la configuración del complemento a través de CSRF parcheado en la versión: 5.7 Puntuación de gravedad: mediano

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.7.
4. Insertar páginas de complementos: insertar páginas de vulnerabilidad: contribuyente+ acceso arbitrario a publicaciones/páginas parchadas en la versión: 3.7.0 Puntuación de gravedad: medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.7.0.
Plugin: Insertar páginas de vulnerabilidad: contribuyente+ secuencia de comandos de sitio cruzado parcheado en la versión: 3.7.0 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.7.0.
5. Redirección de SEO
Plugin: Redirección de vulnerabilidad de SEO: suscriptor+ inyección SQL parcheada en la versión: 8.2 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 8.2.
6. Donación de PayPal
Plugin: Vulnerabilidad de donación de PayPal: Administrador+ Escrituras entre sitios almacenados parcheados en: 1.3.2 Puntuación de gravedad: Bajo

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.3.2.
7. Impresionar para IDX Broker
Plugin: Impresión para IDX Broker Vulnerabilidad: Escrituras reflejadas entre sitios parchados en la versión: 3.0.6 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.0.6.
8. Conexión simple JWT
Plugin: Vulnerabilidad de conexión JWT simple: actualice la configuración arbitraria cuando se haga cargo del sitio a través de CSRF parcheado en la versión: 3.2.1 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.2.1.9. Mis boletos
Plugin: mis boletos de vulnerabilidad: suscriptor+ inyección SQL parcheada en la versión: 1.8.31 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.8.31.

10. Facturación de clientes a través de facturas de Sprout
Plugin: facturación de clientes a través de la vulnerabilidad de las facturas de Sprout: Administrador+ Escrituras entre sitios almacenados parcheados en la versión: 19.9.7 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 19.9.7.

11. Registro de correo electrónico
Complemento: vulnerabilidad del diario de correo electrónico: inyección admin+ sql parcheada en la versión: 2.4.7 Puntuación de gravedad: medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.4.7.

12. Booster de puntaje de rendimiento de WP
Plugin WP Rendimiento de rendimiento Vulnerabilidad de refuerzo: Cambio de configuración a través de CSRF parcheado en la versión: 2.1 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.1.

13. Integración Active Directory / LDAP Integración
Complemento: integración activa directorio / integración vulnerabilidad LDAP: inyección de suscriptor+ sql parcheado en la versión: 3.6.95 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.6.95.

14. tableon
Plugin: Tableon Vulnerabilidad: Escrituras reflejadas entre sitios parcheados en la versión: 1.0.1 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.0.1.

15. Control deslizante de imágenes receptivas, galería de fotos y carrusel
Plugin: diapositiva de imagen receptiva, galería de fotos y vulnerabilidad del carrusel: clon del control deslizante/guardar/eliminar a través de CSRF parcheado en la versión: 1.3.2 Puntuación de gravedad: el medio se corrige, por lo que debe actualizarse a la versión 1.3.2.
Plugin: diapositiva de imagen receptiva, galería de fotos y vulnerabilidad del carrusel: suscriptor+ acceso arbitrario a la versión en la versión: 1.3.6 Puntuación de gravedad: medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.3.6.
16. Page WP Sitemap
Plugin: página WP Sitemap Vulnerabilidad: Administrador+ Scripting Cross Site Storage Parcheado en la versión: 1.7.0 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.7.0.
17. Flux

Plugin: vulnerabilidad de la corriente: inyección admin+ sql parcheada en la versión: 3.8.2 Puntuación de gravedad: medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.8.2.
18. Complemento útil: Vulnerabilidad útil: Administrador+ scripts entre sitios almacenados parcheados en: 4.4.59 Puntuación de gravedad: Bajo

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.4.59.
19. LearnPress
Plugin: LearnPress Vulnerabilidad: Administrador+ Escrituras entre sitios almacenados parcheados en: 4.1.3.2 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.1.3.2.
20. Entendición del contenido del complemento: Contenido Establecimiento de puestos Vulnerabilidad: Administrador+ Escrituras entre los sitios almacenados corregidos en la versión: No se conocen remedios cerrados CUMNADO CLUGIN: BAJO

Esta vulnerabilidad no ha sido corregida. Este complemento se ha cerrado a partir del 15 de octubre de 2021. Desinstalar y eliminar.21. Muro de pago con fugas
Plugin: Vulnerabilidad de muro de pago con fugas: Administrador+ Escrituras entre sitios almacenados parcheados en la versión: No hay remedio conocido de gravedad: bajo
Esta vulnerabilidad no ha sido corregida. Desinstale y borre el complemento hasta que se libere un parche.
22. Tutor LMS
Plugin: LMS Vulnerabilidad del tutor: Escrituras reflejadas entre sitios parchados en la versión: 1.9.11 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.9.11.
23. Examen de logotipo con deslizante elegante
Plugin: exhibición del logotipo con vulnerabilidad de control deslizante slick: autor+ escrituras almacenadas parcheadas en la versión: 1.2.4 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.2.4.
24. Formidable Former Builder
Plugin: Formidable Form Builder Vulnerabilidad: Escrituras entre sitios almacenados no autorizados en la versión: 4.09.05 Puntuación de gravedad: Low

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.09.05.
25. Descargue el complemento
Plugin: descargar vulnerabilidad del complemento: suscriptor+ complemento de activación arbitraria parcheado en la versión: 1.6.1 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.6.1.
26. Imágenes a WebP
Plugin: Imágenes en la vulnerabilidad de WebP: solicitudes de falto en múltiples sitios (CSRF) parcheado en la versión: 1.9 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.9.
Plugin: Imágenes en la vulnerabilidad de WebP: incluyendo archivos autenticados locales parcheados en la versión: 1.9 Puntuación de gravedad: Scatvulnerabilidad se correge, por lo que debe actualizarse a la versión 1.9.
27. API mstore

Plugin: Mstore API Vulnerabilidad: Carga del archivo PHP no autorizado parcheado en la versión: 3.4.5 Puntuación de gravedad: crítico
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.4.5.
28. Descargas digitales ligeras
Plugin: Light Digital Descargas Vulnerabilidad: Escrituras reflejadas entre sitios parchados en la versión: 2.11.2.1 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.11.2.1.

29. Administrador de acceso avanzado
Plugin: Advanced Access Manager Vulnerabilidad: Administrador+ Escrituras entre sitios almacenados parcheados en: 6.8.0 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 6.8.0.

30. Encuesta de YOP

Plugin: Encuesta de vulnerabilidad de YOP: Escrituras reflejadas entre sitios parchados en: 6.1.2 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 6.1.2.

31. Exportación de archivos adjuntos de WP
Plugin: Vulnerabilidad de exportación de archivos adjuntos de WP: descarga de inalcanzable parcheado en la versión: 0.2.4 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.2.4.

32. Texto de SLISOR contenido en la publicación
Plugin: Contenido de texto Slide en la vulnerabilidad posterior: Escrituras entre sitios almacenados autenticados (XSS) parcheado en la versión: 6.9 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 6.9.33. Hielo

Plugin: Vulnerabilidad de hielo: Administrador+ Escrituras entre sitios almacenados parcheados en: 2.0.3 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.0.3.
34. Betterlinks

Plugin: BetterLinks Vulnerabilidad: Administrador+ Escrituras entre sitios almacenados parcheados en: 1.2.6 Puntuación de gravedad: baja
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.2.6.
35. Learnhash Plugin: LearnDash Vulnerabilidad: carga de archivos arbitrarios no autorizados en la versión: 2.5.4 Puntuación de gravedad: Critic

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.5.4.
36. ImageBoss
Plugin: Vulnerabilidad de imagen: Administrador+ Escrituras entre sitios almacenados parcheados en: 3.0.6 Puntuación de gravedad: baja

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.0.6.
37. entrenador
Plugin: Formador de vulnerabilidad: administrador + scripts cruzados almacenados parcheados en: 1.2.4 Puntuación de gravedad: baja
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.2.4.
38. MPL-Editura

Plugin: MPL-Publisher Vulnerabilidad: Administrador+ Script Cross Storage Parcheado en la versión: 1.30.4 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.30.4.
39. Elementor

Plugin: Vulnerabilidad del elemento: Scripting de sitio cruzado DOM parcheado en la versión: 3.1.4 Puntuación de gravedad: Medio ambiente
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.1.4.40. Sassy social
Plugin: Vulnerabilidad Sassy Social Share: Controles de acceso faltantes en la inyección de objeto PHP parcheado en la versión: 3.3.24 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.3.24.
41. Registro de pastel
Plugin: Vulnerabilidad del registro de PIE: redirección de parche abierto en la versión: 3.7.2.4 Puntuación de gravedad: Medio ambiente

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.7.2.4.
42. Formularios avanzados
Plugin: Formularios avanzados Vulnerabilidad: Suscriptor+ Actualización arbitraria de la dirección de correo electrónico del usuario a través de IDOR parcheado en la versión: 1.6.9 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.6.9.
Complemento: formularios avanzados Vulnerabilidad: suscriptor+ actualización arbitraria de la dirección de correo electrónico del usuario a través de IDOR parcheado en la versión: 1.6.9 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.6.9.

43. Captura de temas de demostración de demostración
Plugin: Captura de temas de demostración Vulnerabilidad de importación: Admin+ Carga arbitraria de archivos parcheados en la versión: 1.8 Puntuación de gravedad: Critic
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.8.

44. Mensaje de trabajo simple
Plugin: Vulnerabilidad simple de la placa de trabajo: Administrador+ Escrituras entre sitios almacenados parcheados en: 2.9.5 Puntuación de gravedad: Low
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.9.5.
45. Búsqueda de marfil
Plugin: Vulnerabilidad de búsqueda de marfil: scripts reflejados entre sitios parcheados en: 4.7 Puntuación de gravedad: Se corrige la marvulnerabilidad, por lo que debe actualizarse a la versión 4.7.

46. ​​La puerta de edad
Plugin: Vulnerabilidad de la puerta de edad: Escrituras entre sitios almacenados autenticados parcheados en la versión: 2.16.4 Puntuación de gravedad: crítico
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.16.4.

Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Como puede ver en este informe, cada semana se revelan muchos complementos y temas de WordPress cada semana. Sabemos que puede ser difícil mantenerse al día con cada revelación de las vulnerabilidades informadas, por lo que la seguridad de los complementos lo ayuda a asegurarse de que su sitio no ejecute un tema, complemento o un WordPress básico con vulnerabilidad conocida.
1. Escanee por las vulnerabilidades conocidas de los sitios web Ithemes Security Pro Plugin Scans Por la razón principal por la cual los sitios de WordPress están rotos: complementos y temas obsoletos con vulnerabilidades conocidas.

2. Actualización automática de versiones seguras La función de administrar el ITHEMS Security Pro está integrado con el escaneo del sitio para proteger su sitio. Los temas vulnerables, los conceptos básicos de WordPress y las versiones base se actualizarán automáticamente.
3. Los cambios en el monitor de cambios CHEIA para la identificación rápida de una violación de seguridad es monitorear los cambios de archivo en su sitio. La función de detección de detección de archivos escaneará los archivos de su sitio web y le advertirá cuando aparezcan los cambios en su sitio web OBBOB ITHEMES SEGURIDAD PRO con el Las 24 horas del día, 24/7, el sitio web de Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio de vulnerabilidad habitual. WordPress Security. Con WordPress, autenticación de dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar capas de seguridad adicionales a su sitio.
Escáner de sitios para vulnerabilidades y temas de complementos

Detección de cambios de archivo
El tablero de la seguridad del sitio en tiempo real
Revistas de seguridad de WordPress
Dispositivos de confianza
recaptcha
Protección con fuerza bruta
Autenticación con dos factores

Enlaces de inicio de sesión mágicos
El privilegio de la escalada
Verificación y rechazo de contraseñas comprometidas
Obtener ithemes Security Pro