WordPress Vulnebility Roundup: abril de 2020, Parte 1

Se revelaron nuevas vulnerabilidades de complemento y tema de WordPress en la primera mitad de abril, por lo que queremos informarle. En esta publicación cubrimos las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. WordPress Vulnerabilidad Roundup se divide en cuatro categorías diferentes:
Núcleo de WordPress
Complementos de WordPress
Temas de WordPress
Las vulnerabilidades básicas de WordPress no se han revelado vulnerabilidades de WordPress en 2020. Las vulnerabilidades de complementos de WordPress se han descubierto algunas vulnerabilidades nuevas para los complementos de WordPress. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo.
1. Presione para el corredor de IDX

Impress para IDX Broker debajo de la versión 2.6.2 tiene una posterior creación, modificación / eliminación y autenticación de secuencias de comandos de sitios cruzados (XSS) a través de vulnerabilidades sin protección “IDX_UPDATE_RECAPTCHA_KY”.
Las vulnerabilidades se han reparado y deben actualizarse a la versión 2.6.2.
2. Banners CM Pop-Up para WordPress

Las pancartas de CM emergentes para versiones de WordPress por debajo de 1.4.11 tienen una vulnerabilidad XSS autenticada.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.4.11.
3. Rango matemático

Las versiones de Matemáticas de rango por debajo de 1.0.4.1 Presente vulnerabilidades en la creación y privilegio de redireccionamiento.
Las vulnerabilidades se han reparado y deben actualizarse a la versión 1.4.1.
4. LIBTERLMS

Las versiones de LifterLMS por debajo de 3.37.15 tienen una vulnerabilidad para escribir los archivos arbitrarios.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.37.15.5. Creador de páginas de elementor
Las versiones de Elemor Page Builder a continuación 2.9.6 tienen una vulnerabilidad autenticada en el modo Safalation seguro.

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.9.6.
6. LearnDash
Las versiones LearnDash por debajo de 3.1.6 tienen una inyección de vulnerabilidad no autorizada SQL.

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.1.6.
7. Autenticación por Auth0
La autenticación por versiones Auth0 por debajo de 4.0.0 tiene múltiples vulnerabilidades.

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 4.0.0.
8. WordPress WP-Advanced-Search
Las versiones de WordPress WP-Avanced-Search a continuación 3.3.6 tienen una inyección SQL de vulnerabilidad no autorizada.

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.3.6.
9. Formulario de contacto 7 DatePicker
Todas las versiones de contacto Formulario 7 DatePicker tienen una vulnerabilidad autenticada almacenada en sitios de sitios cruzados.

Elimine el complemento, se cerró en el almacén de complementos WordPress.org mientras esperaba la revisión.
10. Art-Picture-Gallery
Todas las versiones de Galery Art-Picture tienen una vulnerabilidad para cargar archivos de arbitraje no autorizados.

Elimine el complemento, se cerró en el almacén de complementos WordPress.org mientras esperaba la revisión.
11. Última información modificada de WP
Las últimas versiones de información modificadas de WP por debajo de 1.6.6 tienen una vulnerabilidad XSS autenticada.

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.6.6.
12. WP Lead Plus X
Todas las versiones WP Lead Plus X muestran una vulnerabilidad para falsificar las solicitudes entre los sitios. Elimine el complemento hasta que se lance un parche.

13. Gutenberg final completa
La final se complete para las versiones de Gutenberg por debajo de 1.14.8 tienen una vulnerabilidad para modificar la configuración autenticada.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.14.8.

14. Klarna Checkout para WooCommerce
El pago de Klarna para las versiones de WooCommerce por debajo de 2.0.10 tiene una vulnerabilidad autenticada para desactivar, activar e instalar el complemento arbitrario.
15. Tickera – Boleto de WordPress

Versiones de Tickera: la venta de boletos de eventos de WordPress por debajo de 3.4.6.9 tienen una vulnerabilidad no autorizada a la exposición de datos confidenciales.

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.4.6.9.

16. Encuesta receptiva
Todas las versiones de encuestas receptivas han interrumpido la autenticación y la falta de control de capacidad en las llamadas AJAX.
Elimine el complemento, se cerró en el almacén de complementos WordPress.org mientras esperaba la revisión.

17. Biblioteca de medios asistente
Las versiones del Asistente de la Biblioteca de Medios por debajo de 2.82 tienen vulnerabilidades para incluir el almacenamiento autenticado de las Escrituras de Sittle y las vulnerabilidades limitadas para incluir archivos locales no autorizados.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.82.

Los temas de WordPress no se han revelado las vulnerabilidades del tema en abril de 2020.
Cómo ser proactivo sobre las vulnerabilidades del tema de WordPress y los complementos que ejecutan el software obsoleto es por qué los sitios de WordPress son pirateados. Es crucial que la seguridad de su sitio de WordPress tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez por semana para realizar actualizaciones. Las actualizaciones automáticas pueden ayudar a sus actualizaciones automáticas son una excelente opción para los sitios web de WordPress que no cambian muy a menudo. La falta de atención a menudo deja estos sitios descuidados y vulnerables a los ataques. Incluso con la configuración de seguridad recomendada, ejecutar un software vulnerable en su sitio. Puede proporcionar al atacante a un punto de entrada en su sitio. Al utilizar la gestión de versiones de Security Pro Ithemes, puede activar las actualizaciones automáticas de WordPress para asegurarse de recibir las últimas últimas parches de seguridad. Estas configuraciones lo ayudan a proteger su sitio con opciones de actualización automática a nuevas versiones o para aumentar la seguridad del usuario cuando el software del sitio está desactualizado.
Opciones para actualizar la gestión de versiones
Actualizaciones de WordPress: instale automáticamente la última versión de WordPress.
Actualizaciones automáticas para complementos: instale automáticamente las últimas actualizaciones para complementos. Esto debe activarse, a menos que mantenga activamente este sitio diario e instale las actualizaciones manualmente poco después del lanzamiento.

Actualizaciones de temas automáticos: instale automáticamente las últimas actualizaciones de temas. Esto debe activarse a menos que su tema tenga personalizaciones de archivos.
Control granular sobre las actualizaciones de complementos y temas: puede tener complementos / temas que desea actualizar manualmente o retrasar la actualización hasta que la versión haya tenido tiempo para resultar estable. Puede elegir personalizado para la posibilidad de atribuir a cada complemento o tema, ya sea la actualización inmediata (activación), no la actualización automática (desactivación) o la actualización con un retraso de una cierta cantidad de días (retraso). Consolidación y alerta sobre problemas críticos
Consolidar el sitio cuando se ejecuta software anticuado, automáticamente agrega protección adicional al sitio cuando no se ha instalado una actualización disponible en un mes. El complemento de seguridad iThemes activará automáticamente una seguridad más estricta cuando no se haya instalado una actualización de un mes. En primer lugar, obligará a todos los usuarios que no tienen dos factores activos a proporcionar un código de autenticación enviado a su correo electrónico antes de iniciar sesión nuevamente. , XML-RPC Pingback y bloquean varios intentos de autenticación para cada solicitud XML-RPC (ambos hará que XML-RPC sea más contra los ataques sin tener que detenerlo por completo).
Busque otros sitios antiguos de WordPress: esto verificará si hay otras instalaciones obsoletas de WordPress en su cuenta de host. Un solo sitio de WordPress con una vulnerabilidad podría permitir a los atacantes comprometer a todos los demás sitios en la misma cuenta de host.
Enviar notificaciones de correo electrónico para problemas que requieren intervención, se envía un correo electrónico a los usuarios a nivel de administrador.
¿Gestionar más sitios de WP? Actualice los complementos, los temas y el núcleo a la vez desde el tablero de sincronización de sincronización ITheme es nuestro tablero central para ayudarlo a administrar más sitios de WordPress. Desde el tablero de sincronización, puede ver las actualizaciones disponibles para todos sus sitios y luego actualizar los complementos, los temas y un solo clic. También puede recibir notificaciones diarias por correo electrónico cuando hay una nueva versión de actualización disponible.
Pruebe la sincronización gratuita durante 30 días. Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web.
Obtenga más información sobre la seguridad de WordPress con 10 consejos clave. Descargue su libro electrónico ahora: una guía de seguridad de WordPress
Descargar ahora
Michael Moore

Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.