WordPress Vulnerabilidad Breviar: julio de 2019, Parte 2

Las nuevas vulnerabilidades de complementos de WordPress se han revelado en la última mitad de julio, por lo que queremos informarle. Dividimos el resumen de vulnerabilidad de WordPress en cuatro categorías diferentes:
1. WordPress Core
2. complementos de WordPress
3. Temas de WordPress
4. Se rompe por Internet
* Incluimos violaciones en la web, porque es esencial crear conciencia sobre las vulnerabilidades fuera del ecosistema de WordPress. Las operaciones al software del servidor pueden exponer datos confidenciales. Las violaciones de la base de datos pueden exponer las credenciales de los usuarios en su sitio, abriendo la puerta de los atacantes para acceder a su sitio.
Vulnerabilidades básicas de WordPress
No se ha revelado la vulnerabilidad de WordPress hasta ahora en julio de 2019.
Vulnerabilidades de complementos de WordPress Se descubrieron algunas nuevas vulnerabilidades para complementos de WordPress en julio. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo. 1. OneSignal – Push Web Notificaciones

OneSignal: las versiones de notificaciones push web 1.17.5 y abajo son vulnerables a un ataque XSS almacenado. Que debes hacer
La vulnerabilidad no ha sido reparada. Elimine el complemento hasta que los desarrolladores inicien una actualización con un parche.
2. Migración WP All-in-One

La versión 6.97 y las posteriores versiones de migración de WP todo en uno son vulnerables a un ataque almacenado de XSS autenticado. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 7.0.
3. WPS oculta la autenticación

WPS oculta las versiones de inicio de sesión 1.5.2.2 y abajo tiene un error que le permite acceder a la página de autenticación de WordPress. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.5.3. También verifique nuestros 5 mejores mitos de seguridad de WordPress. Cambiar la URL de conexión no es tan segura como podría pensar y puede causar más problemas de los que vale la pena.
4. Galería de fotos de 10Web
La Galería de Photo de 10Web versión 1.5.30 y debajo del complemento es vulnerable a una inyección SQL. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.5.31.
5. Suscríbase por correo electrónico y boletines informativos
Envíe un correo electrónico a suscriptores y boletines de noticias versión 4.1.7 y debajo del complemento consulte una inyección SQL. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 4.1.8.
6. Formulario de contacto y complemento SMTP para WordPress
El formulario de contacto y el complemento SMTP para WordPress versión 1.5.1 y abajo son vulnerables a una falsificación de demanda de sitios cruzados y inyección HTML.

Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.5.2.
7. Formularios del Everest
Everest Forms versión 1.4.9 y debajo del complemento es vulnerable a una inyección SQL. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.5.0.
8. Imágenes adaptativas para WordPress
Las imágenes adaptativas para WordPress versión 0.6.66 y debajo del complemento son vulnerables a un ataque a la inclusión y eliminación de archivos locales. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 0.6.67.
9. Administrador de banner anunciado
Avened Banner Manager versión 5.2 y debajo del complemento es vulnerable a una inyección SQL autenticada. Lo que debo hacer es reparado y debe actualizar a la versión 5.3.

10. Formulario de contacto 7 Extensión de texto dinámico
Formulario de contacto 7 Extensión de complemento dinámico Versión 2.0.2.1 y abajo es vulnerable a un ataque de secuencias de comandos de sitios cruzados. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.0.3.

11. Blog2Social: Social Media Auto Post & Scheduler
Blog2Social: Social Media Auto Post & Scheduler versión 5.5.0 y debajo del complemento es vulnerable a una inyección SQL.
Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 5.6.0.
12. Miembro simple
La simple versión de membresía 3.8.4 y abajo es vulnerable a un ataque de falsificación de demanda entre sitios. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.8.5.

13. Formulario de contacto avanzado 7 db
Formulario de contacto avanzado 7 DB versión 1.6.1 y debajo del complemento es vulnerable a una inyección SQL. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.7.1.

14. Pronto la página del mod y mantenimiento
Pronto, la página y las versiones del modo de mantenimiento 1.8.0 y abajo son vulnerables a un ataque almacenado no autorizado de XSS. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 11.8.2.

15. WordPress Shoppores Ultra Simple WordPress
WordPress Ultra Simple PayPal Shopping Cart versión 4.4 y abajo es vulnerable a una solicitud de falsificación de los sitios y verificar el tipo de archivo.
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 4.5.

16. Suscripción RSS para categorías específicas

La categoría RSS especifica la versión 4.4 de suscripción y a continuación es vulnerable a una solicitud de falsificación de los sitios y verificar el tipo de archivo.
Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 4.5.

17. Reserva en el horario del horario
Versión 1.1.45 y por debajo del tiempo de programación del complemento de reserva es vulnerable a un ataque de secuencias de comandos de sitios cruzados. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.1.46.
Temas de WordPress

No hay nuevas vulnerabilidades temáticas en la segunda mitad de julio.
Cómo ser proactivo sobre las vulnerabilidades del tema de WordPress y los complementos que ejecutan el software obsoleto es por qué los sitios de WordPress son pirateados. Es crucial que la seguridad de su sitio de WordPress tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez por semana para realizar actualizaciones.
Las actualizaciones automáticas pueden ayudar a sus actualizaciones automáticas son una excelente opción para los sitios web de WordPress que no cambian muy a menudo. La falta de atención a menudo deja estos sitios descuidados y vulnerables a los ataques. Incluso con la configuración de seguridad recomendada, ejecutando un software vulnerable en su sitio. Puede darle al atacante un punto de entrada en su sitio. Usando la gestión de versiones de Security Pro Ithemes, puede activar las actualizaciones automáticas de WordPress para garantizar que reciba los últimos parches de seguridad. Estas configuraciones lo ayudan a proteger su sitio con opciones de actualización automática a nuevas versiones o para mejorar la seguridad del usuario cuando el software del sitio está desactualizado. Actualización de versiones actualizadas.
Actualizaciones de WordPress: instale automáticamente la última versión de WordPress.
Actualizaciones automáticas para complementos: instale automáticamente las últimas actualizaciones para complementos. Esto debe activarse, a menos que mantenga activamente este sitio diario e instale las actualizaciones manualmente poco después del lanzamiento.
Actualizaciones de temas automáticos: instale automáticamente las últimas actualizaciones de temas. Esto debe activarse a menos que su tema tenga personalizaciones de archivos.

Control granular sobre las actualizaciones de complementos y temas: puede tener complementos / temas que desea actualizar manualmente o retrasar la actualización hasta que la versión haya tenido tiempo para resultar estable. Puede elegir personalizado para la posibilidad de atribuir a cada complemento o tema, ya sea la actualización inmediata (activación), no la actualización automática (desactivación) o la actualización con un retraso de una cierta cantidad de días (retraso). Consolidación y alerta sobre problemas críticos
Consolidar el sitio cuando se ejecuta software anticuado, automáticamente agrega protección adicional al sitio cuando no se ha instalado una actualización disponible en un mes. El complemento de seguridad iThemes activará automáticamente una seguridad más estricta cuando no se haya instalado una actualización de un mes. En primer lugar, obligará a todos los usuarios que no tienen dos factores activos a proporcionar un código de autenticación enviado a su correo electrónico antes de iniciar sesión nuevamente. , XML-RPC Pingback y bloquean varios intentos de autenticación para cada solicitud XML-RPC (ambos hará que XML-RPC sea más contra los ataques sin tener que detenerlo por completo).
Busque otros sitios antiguos de WordPress: esto verificará si hay otras instalaciones obsoletas de WordPress en su cuenta de host. Un solo sitio de WordPress con una vulnerabilidad podría permitir a los atacantes comprometer a todos los demás sitios en la misma cuenta de host.
Enviar notificaciones de correo electrónico para problemas que requieren intervención, se envía un correo electrónico a los usuarios a nivel de administrador.
Breaks en Internet 1. La violación de los datos de Capital One compromete a más de 100 millones “erráticos” Thompson, ex empleado de AWS, ha pirateado una información del cliente de AWS Storing One. Una vez que el hacker conocido como Erratic ha obtenido acceso al servidor, logró obtener información sobre más de 100 millones de clientes de Capital One. La mayoría de los datos que pudo recopilar no eran críticos, como el nombre, las direcciones de correo electrónico y las direcciones físicas. Dicho esto, no debemos minimizar la gravedad de la violación. Paige “Erratic” Thompson logró obtener 1 millón de números de seguro social canadiense, 140,000 números de seguro social y 80,000 números de cuentas bancarias. Tener el nombre, la dirección y el número de seguro social de alguien es todo lo que necesita para robar su identidad y comenzar algunos préstamos en su nombre. La violación de Capital One es solo una de las muchas violaciones que podrían haberse evitado. El servidor AWS ha sido configurado incorrectamente, lo que permitió al hacker acceder a los datos confidenciales del cliente. También se evitó la violación de Equifax que volvió a las noticias. Todo lo que Equifax tenía que hacerse era aplicar un parche de seguridad que se liberó tres meses antes de ser atacado. Hay una desafortunada lección para aprender de Capital One:

Si comparte su información personal en línea, debe esperar que alcancen una violación de datos. Un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web Ithemes Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 30 formas de proteger y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress. Con dos autenticación de WordPress, protección de fuerza sin procesar, aplicación de contraseña segura y muchos más, puede agregar una capa de seguridad adicional a su sitio web. FAP más sobre la seguridad de WordPress con 10 consejos clave. Descargue su libro electrónico ahora: una guía de seguridad de WordPress
Descargar ahora
Obtener seguridad
Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.