WordPress Vulnebility Roundup: diciembre de 2020, Parte 2

Se revelaron nuevas vulnerabilidades del complemento y los temas de WordPress en la segunda mitad de diciembre. Esta publicación cubre las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. WordPress Vulnerabilidad Roundup se divide en tres categorías diferentes: WordPress Core, WordPress Plugins y WordPress Temas.
En diciembre, la Parte 2 informe
Vulnerabilidades básicas de WordPress
Este mes no se revelaron nuevas vulnerabilidades básicas de WordPress.
La última versión del núcleo de WordPress es actualmente 5.6. Como la mejor práctica de seguridad de WordPress, asegúrese de ejecutar la última versión del núcleo de WordPress.
Vulnerabilidades del complemento de WordPress 1. DiveBook

Las versiones de DiveBook por debajo de 1.1.4 tienen una verificación de autorización incorrecta, la inyección SQL no autorizada y las vulnerabilidades de XSS reflejadas no autorizadas.
Elimine el complemento hasta que se inicie una solución de seguridad.
2. Pagelayer

Las versiones de Pagelayer por debajo de 1.3.5 tienen múltiples vulnerabilidades reflejadas en los sitios.
La vulnerabilidad se repara y debe actualizarse a la versión 1.3.5.
3. Exclusión de categoría final

Las versiones exclusivas de categoría a continuación son 1.2 que muestran una vulnerabilidad entre los sitios de demanda de falsificación.
La vulnerabilidad se repara y debe actualizarse a la versión 1.2.
4. Pro

Las versiones de Directorios Pro por debajo de 1.3.46 han autenticado la vulnerabilidad reflejada en el sitio del sitio cruzado.
La vulnerabilidad se repara y debe actualizarse a la versión 1.3.46.
5. Mantenimiento total

Las versiones totales de mantenimiento por debajo de 1.14.10 tienen vulnerabilidades para descargar datos confidenciales y descarga de reserva no autorizada. La vulnerabilidad se repara y debe actualizarse a la versión 1.14.10.
6. Marco de Rodux
Las versiones de Rodux Framework por debajo de 4.1.21 tienen vulnerabilidad CSRF Nonce Validation Bypass.

La vulnerabilidad se repara y debe actualizarse a la versión 4.1.21.
7. Formulario de contacto 7
Las versiones del Formulario de contacto 7 por debajo de 5.3.2 tienen una vulnerabilidad sin restricciones al cargar los archivos.

La vulnerabilidad se repara y debe actualizarse a la versión 5.3.2.
8. Botones de distribución de redes sociales simples
Las versiones simples de la parte de las redes sociales por debajo de 3.2.1 tienen una vulnerabilidad no autorizada reflejada en el sitio web de secuencias de comandos entre sitios.

La vulnerabilidad se repara y debe actualizarse a la versión 3.2.1.
9. Envira Gallery Lite
Las versiones de Envira Gallery Lite por debajo de 1.8.3.3 tienen una vulnerabilidad autenticada almacenada en varios sitios.

La vulnerabilidad se repara y debe actualizarse a la versión 1.8.3.3.
10. Limite los intentos de conexión recargados
Las pruebas de conexión limitantes Las versiones recargadas por debajo de 2.16.0 tienen una vulnerabilidad de derivación para limitar la tasa de autenticación de los scripts y la tasa de conexión autenticada en los sitios.

La vulnerabilidad se repara y debe actualizarse a la versión 2.16.0.
Vulnerabilidades del tema de WordPress 1. ListingPro
2.6.1 Las versiones ListingPro tienen una vulnerabilidad de instalación / activación / desactivación y desactivación de datos confidenciales no autorizados del complemento arbitrario. Se repara la vulnerabilidad y debe actualizarse a la versión 2.6.1.

Consejo de seguridad de diciembre: ¿Por qué necesita un usuario universal para obtener ayuda cada vez que crea un nuevo usuario en su sitio web? Agregue otro punto de entrada que un hacker pueda explotar. Pero probablemente necesitará necesitar ayuda externa para su sitio web, como cuando busque asistencia o después de contratar a un contratista independiente. Necesita una forma segura y segura de agregar acceso temporal del administrador a su sitio web. Dar acceso externo a su sitio web: sus opciones incorrectas típicas generalmente tienen dos opciones para proporcionar acceso externo a su sitio web … y nadie es genial.

1 Por qué compartir las credenciales del administrador es una idea terrible
Seguridad reducida: si comparte las credenciales de su usuario, deberá deshabilitar dos factores para permitir que la persona que usa sus credenciales se conecte. Google ha distribuido en su blog que el uso de la autenticación en dos factores o la verificación de dos pasos puede detener el 100% de los ataques automáticos de bot. Deshabilitar la autenticación de dos factores, incluso por un corto período de tiempo, reduce drásticamente la seguridad de su sitio web.
Inconsciente: compartir sus credenciales requiere el cambio de contraseña. Si olvida cambiar su contraseña, hay una o más personas que tienen acceso de administrador a su sitio cuando lo deseen. Cree un usuario separado para la tecnología de asistencia, aunque crear un nuevo usuario de administrador nuevo para el especialista en asistencia es mejor que compartir la acreditación del administrador, sin embargo, no es excelente.
¿Por qué es terrible crear un usuario para la tecnología de asistencia?
Aumento de la vulnerabilidad: la creación de un nuevo usuario de administrador agrega otro punto de entrada que podría explotarse. Si no tiene una política de contraseña, la tecnología de asistencia podría elegir una contraseña débil, lo que hace que sus datos de inicio de sesión de WordPress sean más vulnerables al ataque.
Inconveniente: la transición a través del proceso de configuración de un nuevo usuario siempre que necesite ayuda al aire libre lleva mucho tiempo. Debe crear el nuevo usuario y luego recordar eliminarlo cuando ya no necesite acceso a su sitio web. Es una buena práctica de seguridad de WordPress eliminar a los usuarios no utilizados de su sitio web.
Dar acceso externo a su sitio web: la mejor manera en que la escalada de privilegios de seguridad iThemes le permitirá dar al usuario capacidades adicionales temporalmente.
Privilege Escalation facilita y seguramente crear un usuario universal que pueda proporcionar a cualquier desarrollador externo o técnicas de asistencia que necesiten acceso temporal a su sitio web. Con la escalada de privilegios, puede crear un nuevo usuario y llamarlo ayuda y brindarle el papel de un usuario de suscriptor. La próxima vez que tenga que proporcionar acceso temporal a su sitio web, puede evitar que el usuario de asistencia de un administrador. Revisaremos cómo hacer esto más adelante en la publicación, pero primero, hablemos de por qué el privilegio es una mejor manera de dar acceso a su sitio web. Por qué es mejor aumentar los privilegios
Fácil: no tiene que crear un nuevo usuario cada vez que tenga que dar acceso a su sitio web.
Automático: los privilegios de creciente duran solo 24 horas. Después de 24 horas, el usuario pierde automáticamente todos los privilegios adicionales. No debe recordar eliminar a los usuarios o cambiar sus contraseñas.
Sin sacrificios de seguridad: puede continuar solicitando a este usuario de asistencia universal que use el método de correo electrónico con dos factores para conectarse, lo que significa que tiene el mismo nivel de seguridad que otros usuarios de administración. Debido a que el rol real del actor es un suscriptor, no se arriesgue a dejarlo en su sitio web.
Cómo utilizar el privilegio de los privilegios en iThemes Security Pro para comenzar, active la escalada de los privilegios en la página principal de la configuración de seguridad.
Puede crear un nuevo usuario y llamarlo ayuda y darle el papel de un usuario de suscriptor. La próxima vez que necesite proporcionar acceso temporal a su sitio web, explore la página del perfil de usuario de asistencia. Acture la dirección de correo electrónico para permitir que la asistencia externa solicite una nueva contraseña. Luego desplácese hacia abajo hasta que vea la configuración temporal de los privilegios. Haga clic en Configuración de configuración de roles temporales y seleccione Administrador. El usuario ahora tendrá acceso al administrador durante las próximas 24 horas.
Si no necesitan 24 horas completas, puede revocar la subida de los privilegios en la página del perfil del usuario. Si necesita más de 24 horas, puede establecer el número exacto de días que necesita en los días de campo.
Vea cómo funciona un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web Ithems Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 50 formas de asegurar y proteger su sitio contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web. Obtener ithemes Security Pro
Michael Moore

Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros.Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems.Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas.Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.