Informe de vulnerabilidad de WordPress: mayo de 2021, Parte 1

Los complementos y los temas vulnerables son la razón # 1 por la cual los sitios de WordPress son pirateados. Este informe cubre las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una gravedad baja, media, alta o crítica. La divulgación responsable y los informes de vulnerabilidad es una parte integral de la comunidad de la comunidad de WordPress. Comparta esta publicación a sus amigos para ayudarlo a obtener la palabra y hacer que WordPress sea más seguro para todos.
En el informe del 1 de mayo
Vulnerabilidades básicas de WordPress
No se ha revelado una nueva vulnerabilidad básica de WordPress hasta ahora en mayo de 2021.
WordPress 5.7.1 se lanzó el 15 de abril de 2021. Esta versión de seguridad y mantenimiento incluye 26 remedios de errores además de dos remedios de seguridad. Debido a que esta es una versión de seguridad de WordPress, es aconsejable actualizar sus sitios de inmediato. Vulnerabilidades de complemento de WordPress
1. Acymailing

Vulnerabilidad: Redirección abierta parcheada en la versión: 7.5.0 Severidad: promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 7.5.0+.
2. Dar WP

Vulnerabilidad: Sitios de Cross Writles almacenados autenticados parcheados en la versión: 2.10.4 Gravedad: Promedio
La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.10.4+.
3. Descargar gerente

Vulnerabilidad: Cambiar la configuración del complemento a través de CSRF parcheado en la versión: 3.1.22 Gravedad: Vulnerabilidad promedio: Uso no autorizado del Administrador de activos parcheado en la versión: 3.1.23 Gravedad: Alta vulnerabilidad: Carga del archivo PHP4 autenticado en la versión: 3.1.19 Severidad: CriticVulnerabilidad se repara, por lo que debe actualizarse a la versión 3.1.23+.
4. Protección contra spam, antispam, firewall de CleanTalk
Vulnerabilidad: inyección SQL invisible para persianas parcheadas en la versión: 5.153.4 Gravedad: Gran

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 5.153.4+.
5. Revisiones de clientes de WP
Vulnerabilidad: Sitios de Cross Writles almacenados autenticados parcheados en la versión: 3.5.6 Gravedad: Promedio

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 3.5.6+.
Vulnerabilidades del tema de WordPress 1. Vulnerabilidad de GO: inyección SQL invisible para ciego parcheado en la versión: 2.1 Gravedad: Critic
Vulnerabilidad: Escrituras entre sitios reflejados parcheados en la versión: 2.1 Gravedad: Genial

La vulnerabilidad se repara, por lo que debe actualizarse a la versión 2.1+.
Una nota sobre la divulgación responsable podría estar preguntándose por qué se revelaría una vulnerabilidad si les dan a los piratas informáticos una exploit de ataque. Bueno, es muy común que un investigador de seguridad encuentre e informe la vulnerabilidad del desarrollador de software. Con la divulgación responsable, el informe inicial del investigador se pone en privado a los desarrolladores de la compañía que posee el software, pero con el acuerdo de que los detalles completos se publicarán una vez que se haya puesto a disposición un parche. Para vulnerabilidades de seguridad significativas, podría haber un ligero retraso en la revelación de la vulnerabilidad, para dar a más personas para la corrección. Si este término no se respeta, el investigador puede revelar públicamente la vulnerabilidad para presionar al desarrollador para que emita un parche. La divulgación pública de una vulnerabilidad y la aparente introducción de una vulnerabilidad de cero días, un tipo de vulnerabilidad que no tiene parche y se explota en la naturaleza, puede parecer contraproducente. Pero, es la única palanca que un investigador tiene para presionar al desarrollador para remediar la vulnerabilidad.
Si un hacker descubrió la vulnerabilidad, podría usar en silencio la exploit y causar daños al usuario final (este es usted), mientras que el desarrollador de software permanece contenido al dejar vulnerabilidad sin correcciones. El Proyecto Zero de Google tiene una guía similar cuando se trata de revelar vulnerabilidades. Publican los detalles completos de la vulnerabilidad después de 90 días, si se reparó o no la vulnerabilidad. Cómo proteger su sitio web de WordPress de complementos y temas vulnerables del escáner de complementos IThemes Security Pro es otra forma de asegurar y proteger el sitio web de WordPress para la primera causa de todos los hacks de software: complementos obsoletos y temas con temas. Vulnerabilidades conocidas. El sitio del escáner verifica su sitio web por vulnerabilidades conocidas y aplica automáticamente un parche si está disponible. Esos 3 tipos de vulnerabilidad de WordPress
Vulnerabilidades de WordPress
Las vulnerabilidades del complemento
Vulnerabilidades temáticas
Para activar el escaneo del sitio en las nuevas instalaciones, explore la configuración de IThems Security Pro y haga clic en el botón de activación en el módulo de escaneo del sitio.
Para activar un escaneo de sitio manual, haga clic en el botón Escanear ahora en el widget de escaneo del sitio ubicado en la barra lateral derecha.
Los resultados del escaneo del sitio se mostrarán en widget.
Si el escaneo del sitio detecta una vulnerabilidad, haga clic en el enlace de vulnerabilidad para ver la página de detalles.

En la página de vulnerabilidad del sitio de escaneo, verá si hay un remedio disponible para la vulnerabilidad. Si hay un parche disponible, puede hacer clic en el botón de actualización del complemento para aplicar el sitio web. Puede haber un retraso entre el momento en que hay un parche disponible y la vulnebilidad de seguridad iThemes se actualiza para reflejar el remedio. En este caso, puede desactivar la notificación para no recibir alertas de vulnerabilidad. Importante: no debe desactivar una notificación de vulnerabilidad hasta que haya confirmado que la versión actual incluye remedio de seguridad o si la vulnerabilidad no afecta a su sitio.

Ithemes Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 50 formas de asegurar y proteger el sitio contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web.

Obtener ithemes Security Pro

Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.