Informe de vulnerabilidad de WordPress: mayo de 2021, Parte 4

Los complementos y los temas vulnerables son la razón # 1 por la cual los sitios de WordPress son pirateados. El informe semanal de vulnerabilidad de WordPan ofrecido por WPSCan cubre las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una gravedad baja, media, alta o crítica. La divulgación responsable y los informes de vulnerabilidad es una parte integral de la comunidad de la comunidad de WordPress. Comparta esta publicación a sus amigos para ayudarlo a obtener la palabra y hacer que WordPress sea más seguro para todos.
En el informe del 4 de mayo
Regístrese en las actualizaciones semanales de seguridad y noticias semanales de WordPress
Suscríbase ahora
Las vulnerabilidades básicas de WordPress este mes trae una versión de seguridad de WordPress 5.7.2, con un problema de seguridad que afecta las versiones de WordPress entre 3.7 y 5.7. Si aún no se ha actualizado en 5.7, todas las versiones de WordPress de 3.7 también se han actualizado para remediar una inyección de objetos en el problema de seguridad PHPMailer. 1. WordPress Security Versión 5.7.2 Vulnerabilidad: inyección de objetos en PHPMailer parcheado en la versión: 5.7.2 Puntuación de gravedad: Medio
La vulnerabilidad ha sido reparada, por lo que debe actualizar todos sus sitios hoy en WordPress 5.7.2.
Vulnerabilidades de complemento de WordPress
1. Funnel Builder de Cartflows

Plugin: Funnel Builder por Cartflows Vulnerabilidad: Cross Writles Sited Standing Autenticado parchado en la versión: 1.6.13 Gravedad: Promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.6.13+.2. Botones de desplazamiento suave de la página superior / inferior
Plugin: Botones de desplazamiento suave de la página Vulnerabilidad hacia arriba / hacia abajo: Escrituras cruzadas autenticado parcheado en la versión: 1.4 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.4+.
3. Plugin WordPress para imágenes instantáneas
Plugin: Imágenes instantáneas Plugin Vulnerabilidad de WordPress: Escrituras de sitio cruzado autenticado y XFS parcheado en la versión: 4.4.0.1 Puntuación de gravedad: Medio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.4.0.1+.
4. CM Registration Pro Plugin: CM Registry Pro Vulnerabilidad: Objeto de inyección PHP parcheado en la versión: 3.2.1 Puntuación de gravedad: Medio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.2.1+.
5. Plugin WP Oración: WP Oray Vulnerabilidad: Escrituras de sitio cruzado almacenado autenticado parcheado en la versión: 1.6.2 Puntuación de gravedad: Alto
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.6.2+.
6. Estadísticas de WP
Plugin: WP Statistics Vulnerabilidad: inyección SQL no autorizado parcheado en la versión: 13.0.8 Puntuación de gravedad: Alto

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 13.0.8+.
7. complemento de vuelo: Vulnerabilidad de FlightLog: inyección SQL corregida en la versión: No hay remedio conocido de gravedad: alto
Esta vulnerabilidad no ha sido reparada. Desinstale y borre el complemento hasta que se libere un parche.
8. Incorporación de video del complemento: Vulnerabilidad de FlightLog: inyección SQL corregida en la versión: No se ha reparado el remedio conocido de la gravedad: elevar esta vulnerabilidad. Desinstale y borre el complemento hasta que se libere un parche.
Vulnerabilidades del tema de WordPress 1. Servicios de reparación de automóviles Tema: Servicios de reparación de automóvil

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 4.0+.
Una nota sobre la divulgación responsable podría estar preguntándose por qué se revelaría una vulnerabilidad si les dan a los piratas informáticos una exploit de ataque. Bueno, es muy común que un investigador de seguridad encuentre e informe la vulnerabilidad del desarrollador de software.
Con la divulgación responsable, el informe inicial del investigador se pone en privado a los desarrolladores de la compañía que posee el software, pero con el acuerdo de que los detalles completos se publicarán una vez que se haya puesto a disposición un parche. Para vulnerabilidades de seguridad significativas, podría haber un ligero retraso en la revelación de la vulnerabilidad, para darle tiempo a más personas a la corrección. El investigador de seguridad puede proporcionar una fecha límite para que el desarrollador de software responda al informe o proporcione un parche. Si este término no se respeta, el investigador puede revelar públicamente la vulnerabilidad para presionar al desarrollador para que emita un parche.
La divulgación pública de una vulnerabilidad y la aparente introducción de una vulnerabilidad de cero días, un tipo de vulnerabilidad que no tiene parche y se explota en la naturaleza, puede parecer contraproducente. Pero, es la única palanca que un investigador tiene para presionar al desarrollador para remediar la vulnerabilidad. Si un hacker descubrió la vulnerabilidad, podría usar en silencio la exploit y causar daños al usuario final (este es usted), mientras que el desarrollador de software permanece contenido al dejar vulnerabilidad sin correcciones. El Proyecto Zero de Google tiene una guía similar cuando se trata de revelar vulnerabilidades. Publican los detalles completos de la vulnerabilidad después de 90 días, ya sea que se haya reparado o no la vulnerabilidad. Cómo proteger su sitio web de WordPress de complementos y temas vulnerables del escáner de complementos Security Pro es una excelente manera de protegerlo y proteger el sitio web de WordPress de Causa # 1 de todos los hacks de software: complementos y temas obsoletos con vulnerabilidades conocidas. Sitio del escáner Consulte su sitio en busca de vulnerabilidades conocidas y aplica automáticamente un parche si está disponible. 3 tipos de vulnerabilidades de WordPress verificadas por iThemes Security Pro
Vulnerabilidades de WordPress
Las vulnerabilidades del complemento
Vulnerabilidades temáticas
Para activar el escaneo del sitio en las nuevas instalaciones, explore la configuración de IThems Security Pro y haga clic en el botón de activación en el módulo de escaneo del sitio.
Para activar un escaneo de sitio manual, haga clic en el botón Escanear ahora en el widget de escaneo del sitio ubicado en la barra lateral derecha.
Los resultados del escaneo del sitio se mostrarán en widget. Si el escaneo del sitio detecta una vulnerabilidad, haga clic en el enlace de vulnerabilidad para ver la página de detalles.
En la página de vulnerabilidad del sitio de escaneo, verá si hay un remedio disponible para la vulnerabilidad. Si hay un parche disponible, puede hacer clic en el botón de actualización del complemento para aplicar el sitio web.

Puede haber un retraso entre el momento en que hay un parche disponible y la vulnebilidad de seguridad iThemes se actualiza para reflejar el remedio. En este caso, puede deshabilitar la notificación para no recibir alertas de vulnerabilidad.

Importante: no debe desactivar una notificación de vulnerabilidad hasta que haya confirmado que la versión actual incluye un remedio de seguridad o si la vulnerabilidad no afecta a su sitio.

Ithemes Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 50 formas de asegurar y proteger el sitio contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web. Obtener ithemes Security Pro

Siga los informes anteriores de Vulnerabilidad de WordPress para mayo de 2021 ¿Pierde un informe? Aquí están los informes de mayo de 2021.
Mayo de 2021 Parte 3
Mayo de 2021 Parte 2
Mayo de 2021 Parte 1
Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros.Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems.Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas.Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.