WordPress Vulnebility Roundup: octubre de 2020, Parte 2

Algunas nuevas vulnerabilidades para los complementos de WordPress se revelaron en la segunda mitad de octubre. En esta publicación, cubrimos las vulnerabilidades recientes del arado, el tema y el núcleo de WordPress y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. WordPress Vulnerabilidad Roundup se divide en tres categorías diferentes: WordPress Core, WordPress Plugins y WordPress Temas.
En el informe de octubre, Parte 2
WordPress 5.5.2 Se lanzó vulnerabilidades básicas el 29 de octubre e incluyeron 10 remedios de seguridad básicos de WordPress.
Aquí está la lista de remedios de seguridad mencionados en el lanzamiento de WordPress Post 5.5.2.
Solicitudes de diseño reforzadas.
Remedio para desactivar las incorporaciones de spam en los sitios de apagado.
Se ha resuelto un problema de seguridad que podría conducir a un XSS de variables globales.
Se ha remediado un problema de aumentar los privilegios en XML-RPC.
Se ha resuelto un problema relacionado con los privilegios crecientes en relación con la publicación de comentarios a través de XML-RPC.
Se ha resuelto un problema de seguridad en el que un ataque trasero podría conducir a RCE.
Se ha eliminado un método de almacenamiento XSS en Post Slugs.
El método de omitir meta protegido podría eliminarse que podría conducir a la eliminación arbitraria de los archivos.
Se eliminó un método que podría conducir a CSRF.
Las vulnerabilidades se han reparado, así que actualice WordPress a la versión 5.5.2.
Vulnerabilidades de complemento de WordPress 1. Chat en vivo – Asistencia en vivo

Chat en vivo: versiones de asistencia en vivo por debajo de 3.2.0 tienen una vulnerabilidad para falsificar la demanda entre los sitios.
La vulnerabilidad se repara y debe actualizarse a la versión 3.2.0.2. Conversacion rapida
Todas las versiones rápidas de chat tienen vulnerabilidad no autorizada almacenada en sitios de sitios cruzados.

Elimine el complemento hasta que se inicie una solución de seguridad.
3. Creador de temas para niños por Orbisius
Versiones de tema infantil El creador de Orbisius por debajo de 1.5.2 tiene una vulnerabilidad CSRF para modificar / crear archivos arbitrarios.

La vulnerabilidad se repara y debe actualizarse a la versión 1.5.2.
4. Realia
Todas las versiones de Realia tienen un IDOR no autorizado que conduce a la vulnerabilidad después de la eliminación arbitraria.

Elimine el complemento hasta que se inicie una solución de seguridad.
5. Comentar presione
Comentario Presione las versiones a continuación 2.7.2 presenta una vulnerabilidad no autorizada en los scripting de marco cruzado.

La vulnerabilidad se repara y debe actualizarse a la versión 2.7.2.
6. Super Store Finder para WordPress
Super Store Finder para versiones de WordPress por debajo de 6.2 presenta una vulnerabilidad de archivo arbitraria no autorizada.

La vulnerabilidad se repara y debe actualizarse a la versión 6.2.
7. Mapas súper interactivos para WordPress
Los mapas súper interactivos para las versiones de WordPress por debajo de 2.0 tienen una vulnerabilidad para cargar archivos de arbitraje no autorizados.

La vulnerabilidad se repara y debe actualizarse a la versión 2.0.
8. Super Logos Showcase para WordPress
Super Logos Showcase para versiones de WordPress por debajo de 2.3 presenta una vulnerabilidad de archivos de arbitraje no autorizado.

La vulnerabilidad se repara y debe actualizarse a la versión 2.3.

9. Descarga del monitor Simplicidad simple del monitoreo de descarga por debajo de 3.8.9 tiene vulnerabilidades de sitios cruzados no autorizados e inyección de SQL.
La vulnerabilidad se repara y debe actualizarse a la versión 3.8.9.

10. Conectar
Las versiones de inicio de sesión por debajo de 1.6.4 tienen una inyección SQL de vulnerabilidad no autorizada.
La vulnerabilidad se repara y debe actualizarse a la versión 1.6.4.

11. Slider de logotipo de Helios Solutions
Todas las versiones de Helios Solutions Brand Logo Slider tienen una vulnerabilidad autenticada para cargar archivos arbitrarios.
Elimine el complemento hasta que se inicie una solución de seguridad.

12. CM Descargar Administrador
Las versiones de CM Download Manager por debajo de 2.8.0 presenta una vulnerabilidad autenticada entre sitios.
La vulnerabilidad se repara y debe actualizarse a la versión 2.8.0.

13. Calendario de reserva avanzado
Las versiones de calendario de calendario avanzado por debajo de 1.6.2 tienen una inyección de vulnerabilidad no autorizada SQL.
La vulnerabilidad se repara y debe actualizarse a la versión 1.6.2.

Las vulnerabilidades de WordPress no se han reportado vulnerabilidades del tema de WordPress en la segunda mitad de octubre. Consejo de seguridad de octubre: ¿por qué debería registrar la seguridad del revista de seguridad del sitio web debería ser una parte esencial de su estrategia de seguridad de WordPress? ¿Por qué? La grabación y el monitoreo insuficientes pueden conducir a un retraso en la detección de una violación de seguridad. ¡La mayoría de los estudios de violación muestran que el tiempo para detectar una violación es de más de 200 días! Este período de tiempo permite que un atacante viole otros sistemas, modifique, robe o destruya más datos. Por esta razón, el “registro insuficiente” ha aterrizado en los primeros 10 riesgos de seguridad de las aplicaciones web OWASP. WordPress Security Jurna tiene más ventajas en su estrategia de seguridad general, ayudándole:
Identificar y detener el comportamiento malicioso.
Actividad en el sitio que puede advertirle sobre una violación.
Evalúa cuánto daño se ha causado.
Ayuda a reparar un sitio pirateado.
Si su sitio está pirateado, querrá tener la mejor información para ayudarlo en una investigación y recuperación rápidas. La buena noticia es que IThemes Security Pro puede ayudarlo a implementar el registro del sitio web. Las revistas de seguridad de WordPress de Ithemes Security Pro siguen todas estas actividades del sitio para usted:
Brucar WordPress rompe ataques
Cambios de archivo
Escaneos de malware
Actividad del usuario
Las estadísticas en sus revistas se muestran en un tablero de seguridad de WordPress en tiempo real, que puede ver en el tablero del administrador de WordPress. Consular esta publicación de reflexión de características, donde desglosamos todos los pasos de adición de la revista. De WordPress Security en su sitio web utilizando IThemes Security Pro. Vea cómo funciona un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web Ithems Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 50 formas de asegurar y proteger su sitio contra las vulnerabilidades comunes de seguridad de WordPress. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web.
Obtener ithemes Security Pro
Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.