WordPress Vulnebility Roundup: diciembre de 2020, Parte 1

Se revelaron nuevas vulnerabilidades del complemento y los temas de WordPress en la primera mitad de diciembre. Esta publicación cubre las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. WordPress Vulnerabilidad Roundup se divide en tres categorías diferentes: WordPress Core, WordPress Plugins y WordPress Temas.
En diciembre, la Parte 1 informe
Las vulnerabilidades básicas de WordPress este mes no se han revelado nuevas vulnerabilidades básicas. Sin embargo, ayer se lanzó una nueva versión principal del núcleo de WordPress. WordPress 5.6 incluye varias características y mejoras nuevas, así que asegúrese de actualizar.
Vulnerabilidades de complemento de WordPress 1. WPJOBBARD

Las versiones WPJobboard por debajo de 5.7.0 tienen vulnerabilidades de inyección SQL no autorizadas, XSS reflejado y XFS.
La vulnerabilidad se repara y debe actualizarse a la versión 5.7.0.
2. complemento de mapa de Google WP

Las versiones del complemento WP Google Map por debajo de 4.1.4 tienen una inyección SQL autenticada por vulnerabilidad.
La vulnerabilidad se repara y debe actualizarse a la versión 4.1.4.
3. BuddyPress

Versiones de BuddyPress por debajo de 6.4.0 Falta de capacidad de verificación de vulnerabilidad.
La vulnerabilidad se repara y debe actualizarse a la versión 6.4.0.
4. Gerente de eventos

Las versiones de Event Manager por debajo de 5.9.8 tienen una vulnerabilidad de inyección de scripts y inyección SQL de sitios cruzados.
La vulnerabilidad se repara y debe actualizarse a la versión 5.9.8.
5. La puerta de edad

Las versiones de la puerta de edad por debajo de 2.13.5 tienen una vulnerabilidad no autorizada para la redirección abierta. Se repara la vulnerabilidad y debe actualizarse a la versión 2.13.5.
6. Canto
Todas las versiones de canto tienen una vulnerabilidad SSRF no autorizada.

Elimine el complemento hasta que se inicie una solución de seguridad.
7. Generador de perfil
3.3.3 Las versiones de los perfiles tienen 3.3.3 tienen una inyección SQL ciega de vulnerabilidad auténtica.

La vulnerabilidad se repara y debe actualizarse a la versión 2.2.9.
8. suscripciones pagas Pro
Las versiones con suscripciones PRO pagadas por debajo de 2.5.1 tienen una vulnerabilidad autenticada en sitios de sitios cruzados.

La vulnerabilidad se repara y debe actualizarse a la versión 2.5.1.
9. Publicación de cartera
Titfolio publica las versiones por debajo de 1.1.6 Una vulnerabilidad autenticada almacenada en el sitio web de secuencias de comandos de sitios cruzados.

La vulnerabilidad se repara y debe actualizarse a la versión 1.1.6.
10. Easy WP SMTP
Las versiones fáciles de WP SMTP por debajo de 1.4.3 tienen una vulnerabilidad para revelar el solucionador de problemas.

La vulnerabilidad se repara y debe actualizarse a la versión 1.4.3.
Vulnerabilidades del tema de WordPress 1. Wibar
1.2.1 Las versiones de WOBAR tienen una vulnerabilidad autenticada de secuencias de comandos de sitios cruzados.

La vulnerabilidad se repara y debe actualizarse a la versión 1.2.1.
Consejo de seguridad de diciembre: ¿Por qué necesita un usuario universal para obtener ayuda cada vez que crea un nuevo usuario en su sitio web? Agregue otro punto de entrada que un hacker pueda explotar. Pero probablemente necesitará necesitar ayuda externa para su sitio web, como cuando busque asistencia o después de contratar a un contratista independiente. Necesita una forma segura y segura de agregar acceso temporal del administrador a su sitio web. Acceso externo de agrado a su sitio web: sus opciones incorrectas típicas generalmente tienen dos opciones para proporcionar acceso externo en su sitio web … y nadie es excelente.
1 Por qué compartir las credenciales del administrador es una idea terrible

Seguridad reducida: si comparte las credenciales de su usuario, deberá deshabilitar dos factores para permitir que la persona que usa sus credenciales se conecte. Google ha distribuido en su blog que el uso de la autenticación en dos factores o la verificación de dos pasos puede detener el 100% de los ataques automáticos de bot. Deshabilitar la autenticación de dos factores, incluso por un corto período de tiempo, reduce drásticamente la seguridad de su sitio web.
Inconsciente: compartir sus credenciales requiere el cambio de contraseña. Si olvida cambiar su contraseña, hay una o más personas que tienen acceso de administrador a su sitio cuando lo deseen.
2. Cree un usuario separado para la tecnología de asistencia Aunque crear un nuevo usuario de administrador nuevo para el especialista en asistencia es mejor que compartir la acreditación del administrador, no es excelente.
Aumento de la vulnerabilidad: la creación de un nuevo usuario de administrador agrega otro punto de entrada que podría explotarse. Si no tiene una política de contraseña, la tecnología de asistencia podría elegir una contraseña débil, lo que hace que sus datos de inicio de sesión de WordPress sean más vulnerables al ataque.
Inconveniente: la transición a través del proceso de configuración de un nuevo usuario siempre que necesite ayuda al aire libre lleva mucho tiempo. Debe crear el nuevo usuario y luego recordar eliminarlo cuando ya no necesite acceso a su sitio web. Es una buena práctica de seguridad de WordPress eliminar a los usuarios no utilizados de su sitio web.
Dar acceso externo a su sitio web: la mejor manera en que la escalada de privilegios de seguridad iThemes le permitirá dar al usuario capacidades adicionales temporalmente.
Privilege Escalation facilita y seguramente crear un usuario universal que pueda proporcionar a cualquier desarrollador externo o técnicas de asistencia que necesiten acceso temporal a su sitio web. Con la escalada de privilegios, puede crear un nuevo usuario y llamarlo ayuda y brindarle el papel de un usuario de suscriptor. La próxima vez que tenga que proporcionar acceso temporal a su sitio web, puede evitar que el usuario de asistencia de un administrador. Revisaremos cómo hacer esto más adelante en la publicación, pero primero, hablemos de por qué el privilegio es una mejor manera de dar acceso a su sitio web. Por qué es mejor aumentar los privilegios
Fácil: no tiene que crear un nuevo usuario cada vez que tenga que dar acceso a su sitio web.
Automático: los privilegios de creciente duran solo 24 horas. Después de 24 horas, el usuario pierde automáticamente todos los privilegios adicionales. No debe recordar eliminar a los usuarios o cambiar sus contraseñas.
Sin sacrificios de seguridad: puede continuar solicitando a este usuario de asistencia universal que use el método de correo electrónico con dos factores para conectarse, lo que significa que tiene el mismo nivel de seguridad que otros usuarios de administración. Debido a que el rol real del actor es un suscriptor, no se arriesgue a dejarlo en su sitio web.
Cómo utilizar el privilegio de los privilegios en iThemes Security Pro para comenzar, active la escalada de los privilegios en la página principal de la configuración de seguridad.
Puede crear un nuevo usuario y llamarlo ayuda y darle el papel de un usuario de suscriptor. La próxima vez que necesite proporcionar acceso temporal a su sitio web, explore la página del perfil de usuario de asistencia. Acture la dirección de correo electrónico para permitir que la asistencia externa solicite una nueva contraseña. Luego desplácese hacia abajo hasta que vea la configuración temporal de los privilegios. Haga clic en Configuración de configuración de roles temporales y seleccione Administrador. El usuario ahora tendrá acceso al administrador durante las próximas 24 horas.
Si no necesitan 24 horas completas, puede revocar la subida de los privilegios en la página del perfil del usuario. Si necesita más de 24 horas, puede establecer el número exacto de días que necesita en los días de campo.
Vea cómo funciona un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web Ithems Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 50 formas de asegurar y proteger su sitio contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web. Obtener ithemes Security Pro
Michael Moore

Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros.Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems.Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas.Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.