Informe de vulnerabilidad de WordPress: mayo de 2021, Parte 3

Los complementos y los temas vulnerables son la razón # 1 por la cual los sitios de WordPress son pirateados. El informe semanal de vulnerabilidad de WordPan ofrecido por WPSCan cubre las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una gravedad baja, media, alta o crítica. La divulgación responsable y los informes de vulnerabilidad es una parte integral de la comunidad de la comunidad de WordPress. Comparta esta publicación a sus amigos para ayudarlo a obtener la palabra y hacer que WordPress sea más seguro para todos.
En el informe del 3 de mayo
Vulnerabilidades básicas de WordPress Esta semana, vi una versión de seguridad de WordPress 5.7.2, con un problema de seguridad que afecta las versiones de WordPress entre 3.7 y 5.7. Si aún no se ha actualizado en 5.7, todas las versiones de WordPress de 3.7 también se han actualizado para remediar una inyección de objetos en el problema de seguridad PHPMailer. 1. WordPress Security Versión 5.7.2 Vulnerabilidad: inyección de objetos en PHPMailer parcheado en la versión: 5.7.2 Puntuación de gravedad: Medio
La vulnerabilidad ha sido reparada, por lo que debe actualizar todos sus sitios hoy en WordPress 5.7.2.
Vulnerabilidades de complemento de WordPress
1. Galería de fotos

Plugin: Vulnerabilidad de la galería de fotos: scripts de sitio cruzado autenticado por el título de la galería parchada en la versión: 1.5.67 Gravedad: promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.5.67+.
2. Programa semanal

Plugin: Vulnerabilidad semanal del programa: Escrituras de sitios cruzados almacenadas autenticadas parcheadas en la versión: 3.4.3 Puntuación de gravedad: Se repara el medio, por lo que debe actualizarse a la versión 3.4.3+.
3. Soporte externo
Complemento: vulnerabilidad de soporte externo: carga de archivos de arbitraje parcheados en la versión: 1.0.34 Puntuación de gravedad: crítico

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.0.34+.
4. WP Super Cache
Plugin: WP Super Cache Vulnerabilidad: Ejecución autenticada del código de distancia parcheado en la versión: 1.7.3 Puntuación de gravedad: Alto

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.7.3+.
5. Copia de seguridad de la base de datos para el complemento de WordPress: copia de seguridad de la base de datos para vulnerabilidad de WordPress: Escrituras cruzadas persistentes parcheadas en la versión: 2.4 Puntuación de gravedad: Medium
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.4+.
Vulnerabilidades de WordPress Tema 1. Tema mediana: Vulnerabilidad mediana: Scripts reflejados no autorizados corregidos en la versión: No hay remedio conocido de gravedad: Medio
Esta vulnerabilidad no ha sido reparada. Desinstale y elimine el tema hasta que se lance un parche.
2. Listo
Tema: Vulnerabilidad de Listo: Vulnerabilidades múltiples XSS y XFS parcheados en la versión: 1.6.11 Puntuación de gravedad: Medio

Vulnerabilidad: Vulnerabilidades múltiples IDOR autenticado parcheado en la versión: 1.6.11 SeverityScore: Medium
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.6.11+.
3. Bello
Tema: Lista Vulnerabilidad: XSS y XFS autenticado parcheado en la versión: 1.6.0 Puntuación de gravedad: Medium: XSS y XFS reflejados no autorizados parcheados en la versión: 1.6.0 SeverityScore: Vulnerabilidad mediana: inyección SQL Unseen para parcheado en la versión: 1.6. 0. SeverityScore: crítico

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 1.6.0+.

Una nota sobre la divulgación responsable podría estar preguntándose por qué se revelaría una vulnerabilidad si les dan a los piratas informáticos una exploit de ataque. Bueno, es muy común que un investigador de seguridad encuentre e informe la vulnerabilidad del desarrollador de software.
Con la divulgación responsable, el informe inicial del investigador se pone en privado a los desarrolladores de la compañía que posee el software, pero con el acuerdo de que los detalles completos se publicarán una vez que se haya puesto a disposición un parche. Para vulnerabilidades de seguridad significativas, podría haber un ligero retraso en la revelación de la vulnerabilidad, para darle tiempo a más personas a la corrección. El investigador de seguridad puede proporcionar una fecha límite para que el desarrollador de software responda al informe o proporcione un parche. Si este término no se respeta, el investigador puede revelar públicamente la vulnerabilidad para presionar al desarrollador para que emita un parche.
La divulgación pública de una vulnerabilidad y la aparente introducción de una vulnerabilidad de cero días, un tipo de vulnerabilidad que no tiene parche y se explota en la naturaleza, puede parecer contraproducente. Pero, es la única palanca que un investigador tiene para presionar al desarrollador para remediar la vulnerabilidad. Si un hacker descubrió la vulnerabilidad, podría usar en silencio la exploit y causar daños al usuario final (este es usted), mientras que el desarrollador de software permanece contenido al dejar vulnerabilidad sin correcciones. El Proyecto Zero de Google tiene una guía similar cuando se trata de revelar vulnerabilidades. Publican los detalles completos de la vulnerabilidad después de 90 días, ya sea que se haya reparado o no la vulnerabilidad. Cómo proteger su sitio web de WordPress de los arados y temas vulnerables El escáner de complementos de seguridad Pro Security es otra forma de asegurar y proteger el sitio web de WordPress para el sitio web de WordPress para el sitio web para el sitio web de WordPress para el sitio web para el sitio web de WordPress Primera causa de todos los hacks de software: complementos y temas obsoletos con vulnerabilidades conocidas. Sitio del escáner Consulte su sitio en busca de vulnerabilidades conocidas y aplica automáticamente un parche si está disponible. Los 3 tipos de vulnerabilidades de WordPress verificados
Vulnerabilidades de WordPress
Las vulnerabilidades del complemento
Vulnerabilidades temáticas
Para activar el escaneo del sitio en las nuevas instalaciones, explore la configuración de IThems Security Pro y haga clic en el botón de activación en el módulo de escaneo del sitio.
Para activar un escaneo de sitio manual, haga clic en el botón Escanear ahora en el widget de escaneo del sitio ubicado en la barra lateral derecha.
Los resultados del escaneo del sitio se mostrarán en widget. Si el escaneo del sitio detecta una vulnerabilidad, haga clic en el enlace de vulnerabilidad para ver la página de detalles.
En la página de vulnerabilidad del sitio de escaneo, verá si hay un remedio disponible para la vulnerabilidad. Si hay un parche disponible, puede hacer clic en el botón de actualización del complemento para aplicar el sitio web.

Puede haber un retraso entre el momento en que hay un parche disponible y la vulnebilidad de seguridad iThemes se actualiza para reflejar el remedio. En este caso, puede deshabilitar la notificación para no recibir alertas de vulnerabilidad.

Importante: no debe desactivar una notificación de vulnerabilidad hasta que haya confirmado que la versión actual incluye un remedio de seguridad o si la vulnerabilidad no afecta a su sitio.

Ithemes Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 50 formas de asegurar y proteger el sitio contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web.

Obtener ithemes Security Pro
Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.