WordPress Vulnebility Roundup: noviembre de 2019, Parte 2

Algunas nuevas vulnerabilidades de complemento y tema de WordPress se revelaron en la segunda mitad de noviembre, por lo que queremos informarle. En esta publicación cubrimos las vulnerabilidades recientes del complemento de WordPress, el tema y el núcleo y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. WordPress Vulnerabilidad Roundup se divide en cuatro categorías diferentes:
1. WordPress Core
2. complementos de WordPress
3. Temas de WordPress
4. Se rompe por Internet
Nota: Puede pasar al diagrama de resumen de la vulnerabilidad para la segunda parte de noviembre de 2019 que se enumera a continuación.
Vulnerabilidades básicas de WordPress
No se reveló una vulnerabilidad de WordPress en la segunda mitad de noviembre de 2019.
Vulnerabilidades del complemento de WordPress Se han descubierto varias vulnerabilidades nuevas del complemento de WordPress en noviembre. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo. 1. Shared Social Sassy

Sassy Social Share Versión 3.3.3 y abajo es vulnerable a un ataque de secuencia de comandos cruzado. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.3.4.
2. Mantenimiento de WP

WP Mantenimiento Versión 5.0.5 y abajo es vulnerable a una solicitud de falsificación de sitios cruzados para un ataque almacenado por scripts de sitio cruzado. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 5.0.6.
3. Jetpack

Las versiones de JetPack 5.1-7.9 tienen una vulnerabilidad en el código corto de código de incrustación. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarla a la versión 7.9.1. Pruebas de WordPress
En la segunda mitad de noviembre, no se revelaron nuevas vulnerabilidades del tema de WordPress.
Cómo ser proactivo sobre las vulnerabilidades del tema de WordPress y los complementos que ejecutan el software obsoleto es por qué los sitios de WordPress son pirateados. Es crucial que la seguridad de su sitio de WordPress tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez por semana para realizar actualizaciones.
Las actualizaciones automáticas pueden ayudar a sus actualizaciones automáticas son una excelente opción para los sitios web de WordPress que no cambian muy a menudo. La falta de atención a menudo deja estos sitios descuidados y vulnerables a los ataques. Incluso con la configuración de seguridad recomendada, ejecutando un software vulnerable en su sitio. Puede darle al atacante un punto de entrada en su sitio. Usando la gestión de versiones de Security Pro Ithemes, puede activar las actualizaciones automáticas de WordPress para garantizar que reciba los últimos parches de seguridad. Estas configuraciones lo ayudan a proteger su sitio con opciones de actualización automática a nuevas versiones o para aumentar la seguridad del usuario cuando el software del sitio está desactualizado.
Opciones para actualizar la gestión de versiones

Actualizaciones de WordPress: instale automáticamente la última versión de WordPress.
Actualizaciones automáticas para complementos: instale automáticamente las últimas actualizaciones para complementos. Esto debe activarse, a menos que mantenga activamente este sitio diario e instale las actualizaciones manualmente poco después del lanzamiento.
Actualizaciones de temas automáticos: instale automáticamente las últimas actualizaciones de temas. Esto debe activarse a menos que su tema tenga personalizaciones de archivos.
Control granular sobre las actualizaciones de complementos y temas: puede tener complementos / temas que desea actualizar manualmente o retrasar la actualización hasta que la versión haya tenido tiempo para resultar estable. Puede elegir personalizado para la posibilidad de atribuir a cada complemento o tema, ya sea la actualización inmediata (activación), no la actualización automática (desactivación) o la actualización con un retraso de una cierta cantidad de días (retraso).
Fortalecer y alertar sobre problemas críticos
Consolidar el sitio cuando se ejecuta software anticuado, automáticamente agrega protección adicional al sitio cuando no se ha instalado una actualización disponible en un mes. El complemento de seguridad iThemes activará automáticamente una seguridad más estricta cuando no se haya instalado una actualización de un mes. En primer lugar, obligará a todos los usuarios que no tienen dos factores activos a proporcionar un código de autenticación enviado a su correo electrónico antes de iniciar sesión nuevamente. , XML-RPC Pingback y bloquean varios intentos de autenticación para cada solicitud XML-RPC (ambos hará que XML-RPC sea más contra los ataques sin tener que detenerlo por completo).
Busque otros sitios antiguos de WordPress: esto verificará si hay otras instalaciones obsoletas de WordPress en su cuenta de host. Un solo sitio de WordPress con una vulnerabilidad podría permitir a los atacantes comprometer a todos los demás sitios en la misma cuenta de host.
Enviar notificaciones por correo electrónico para problemas que requieren intervención, se envía un correo electrónico a los usuarios a nivel de administrador. ¿Gestas más sitios de WP? Actualice los complementos, los temas y el núcleo a la vez desde el tablero de sincronización ITHEMS
Ithemes Sync es nuestro tablero central para ayudarlo a administrar más sitios de WordPress. Desde el tablero de sincronización, puede ver las actualizaciones disponibles para todos sus sitios y luego actualizar los complementos, los temas y un solo clic. También puede recibir notificaciones diarias por correo electrónico cuando hay una nueva versión de actualización disponible.
Pruebe la sincronización gratuita durante 30 días. Obtenga más información


Los descansos en Internet incluyen violaciones en la web, porque es esencial estar al tanto de las vulnerabilidades fuera del ecosistema de WordPress. Las operaciones al software del servidor pueden exponer datos confidenciales. Las violaciones de la base de datos pueden exponer las credenciales de los usuarios en su sitio, abriendo la puerta de los atacantes para acceder a su sitio.

1. Violación de T-Mobile
T-Mobile es la última compañía que ha sido víctima de una violación de datos. El equipo de seguridad cibernética de T-Mobile descubrió que un atacante ha obtenido acceso no autorizado a datos relacionados con T-Mobile prepago. El equipo de seguridad logró revocar el acceso del atacante. Afortunadamente, los datos financieros, los números de seguro social o las contraseñas no se vieron comprometidos. Sin embargo, los atacantes habrían tenido acceso a nombres, direcciones de facturación, números de teléfono y números de cuenta. Si es un cliente de T-Mobile prepago, puede comunicarse con la asistencia de T-Mobile a 1-800-T-Mobile. WordPress Vulnerabilidades para noviembre de 2019, Parte 2
Escribe

Vulnerabilidad
Reparar
Medio
En la segunda mitad de octubre de 2019 no se revelaron vulnerabilidades centrales de WordPress.
complementos
Sassy Social Share Versión 3.3.3 y abajo es vulnerable a un ataque de secuencia de comandos cruzado.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.3.4.
WP Mantenimiento Versión 5.0.5 y abajo es vulnerable a una solicitud de falsificación de sitios cruzados para un ataque almacenado por scripts de sitio cruzado.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 5.0.6.
Las versiones de JetPack 5.1-7.9 tienen una vulnerabilidad en el código corto de código de incrustación.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 7.9.1.
Un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web Ithemes Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 30 formas de proteger y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress.Con WordPress, autenticación en dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web.Obtenga la seguridad de Ithemesmichael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros.Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems.Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas.Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.