WordPress Vulnebility Roundup: julio de 2019, Parte 1

En la primera mitad de este mes, se revelaron nuevas vulnerabilidades para los complementos y temas de WordPress, por lo que queremos informarle. Dividimos el resumen de vulnerabilidad de WordPress en cuatro categorías diferentes:
1. WordPress Core
2. complementos de WordPress
3. Temas de WordPress
4. Se rompe por Internet
* Incluimos violaciones en la web, porque es esencial crear conciencia sobre las vulnerabilidades fuera del ecosistema de WordPress. Las operaciones al software del servidor pueden exponer datos confidenciales. Las violaciones de la base de datos pueden exponer las credenciales de los usuarios en su sitio, abriendo la puerta de los atacantes para acceder a su sitio.
Vulnerabilidades básicas de WordPress
No se ha revelado la vulnerabilidad de WordPress hasta ahora en julio de 2019.
Vulnerabilidades de complementos de WordPress Se descubrieron algunas nuevas vulnerabilidades para complementos de WordPress en julio. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo. 1. Yoast SEO

Las versiones SEO Yoast 1.2.0-11.5 y debajo son vulnerables a un ataque almacenado Autenticado de XSS. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 11.6.
2. WooCommerce

WooCommerce versión 3.6.4 y abajo es vulnerable a una solicitud de falsificación de los sitios y verificar el tipo de archivo.
Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.6.5.
3. Inserto publicitario

AD Inserter versión 2.4.19 y abajo es vulnerable a un ataque de ruta autenticado. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.4.20.
4. Océano extra

La versión adicional adicional 1.5.8 y el siguiente es vulnerable a una modificación de la configuración no autorizada y la inyección de CSS. La explotación permitirá que un atacante cambie algunas configuraciones de WordPress e inyecte CSS para desfigurar el sitio. ¿Qué debo facilitar ha sido reparado y debe actualizarse a la versión 1.5.9?
5. Estadísticas de WP
El complemento de estadísticas de WP, versión 12.6.6.1 y abajo, es vulnerable a una inyección no autorizada SQL ciegado. ¿Qué debe hacer?

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 12.6.7.
6. Las estadísticas del tráfico de visitantes en tiempo real
El arado de las estadísticas en tiempo real para el tráfico de los visitantes 2.0.5 y las versiones posteriores es vulnerable a un ataque para falsificar la demanda entre los sitios. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.13.
7. Bienes inmuebles esenciales
La versión 1.7.1 y la versión posterior del complemento esencial de bienes raíces son vulnerables a un ataque de secuencias de comandos de sitios cruzados.

Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.7.2.
8. Programación del calendario de reserva
Calendario de reserva Versión 1.3.18 y abajo es vulnerable a un ataque almacenado no autorizado de XSS. La falta de una verificación de autorización podría conducir a un ataque de escritura transversal. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.3.19.
9. Galería de fotoblocks
PhotoBlocks Gallery versión 1.1.40 y abajo es vulnerable a un ataque de secuencias de comandos de sitios cruzados. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.1.41.
10. AnalyticsSlimstated Analytics Slimed Analytics Versión 4.8.3 y abajo es vulnerable a los ataques de falsificación entre sitios y un ataque XSS almacenado. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 4.8.4.

11. WP Google Maps
WP Google Maps versión 7.11.34 y abajo es vulnerable a un ataque de falsificación de demanda entre sitios y un ataque XSS almacenado. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 7.11.35.

12. Livechat
Livechat versión 3.7.2 y abajo es vulnerable a un ataque de falsificación de demanda entre sitios y un ataque XSS almacenado.
Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 3.7.4.
13. Icegrama
La versión Icegram 1.10.28.2 y abajo es vulnerable a un ataque de falsificación de demanda entre sitios y un ataque XSS almacenado. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.10.29.

14. El botón como WP me gusta
El complemento de botón WP Like es vulnerable a un ataque de derivación de autenticación. Que debes hacer
WordPress.org ha cerrado el complemento de botón WP, así que elimine el complemento y busque un reemplazo.

15. Administrador de archivos
File Manager Versión 5.0 y abajo tiene varias vulnerabilidades. Como se informó WEBARX, si se explotan, las vulnerabilidades permiten a cualquier usuario conectado visualizar, borrar o descargar las copias de repuesto. Si su sitio tiene entradas abiertas, esto significa que cualquiera puede descargar una copia de la base de datos y encontrar información confidencial que pueda conducir a compromisos adicionales.
Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 5.2.16. Boletines informativos
Boletín Lite versión 4.6.16 y abajo es vulnerable a un ataque XSS autenticado. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 4.6.18.
17. Un solo clic SSL

Un clic SSL Versión 1.4.6 y abajo tiene múltiples vulnerabilidades. Las vulnerabilidades, si se explotan, podrían permitir cambiar la configuración no autorizada y permitir que un usuario con privilegios reducidos recurra a AJAX. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.4.7.
18. Miembro final

Ultimate Miembro versión 2.0.51 y abajo es vulnerable a un ataque de falsificación de demanda entre sitios y un ataque XSS almacenado. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.0.52.
19. Player de video FV Flowlayer


FV FlowPlayer Video Player Versión 7.3.18.727 y abajo es vulnerable a una inyección SQL. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 7.3.19.727.
Temas de WordPress 20. Zoner – Real Estate WordPress Tema

Zoner – WordPress Temo Real Estate versión 4.1 y abajo es vulnerable a un ataque XSS reflejado y XSS almacenado.
Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 4.2.

Cómo ser proactivo sobre las vulnerabilidades del tema de WordPress y los complementos que ejecutan el software obsoleto es por qué los sitios de WordPress son pirateados. Es crucial que la seguridad de su sitio de WordPress tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez por semana para realizar actualizaciones. Las actualizaciones automáticas pueden ayudar a sus actualizaciones automáticas son una excelente opción para los sitios web de WordPress que no cambian muy a menudo. La falta de atención a menudo deja estos sitios descuidados y vulnerables a los ataques. Incluso con la configuración de seguridad recomendada, ejecutar un software vulnerable en su sitio. Puede proporcionar al atacante a un punto de entrada en su sitio. Al utilizar la gestión de versiones de Security Pro Ithemes, puede activar las actualizaciones automáticas de WordPress para asegurarse de recibir las últimas últimas parches de seguridad. Estas configuraciones lo ayudan a proteger su sitio con opciones de actualización automática a nuevas versiones o para aumentar la seguridad del usuario cuando el software del sitio está desactualizado.
Opciones para actualizar la gestión de versiones
Actualizaciones de WordPress: instale automáticamente la última versión de WordPress.
Actualizaciones automáticas para complementos: instale automáticamente las últimas actualizaciones para complementos. Esto debe activarse, a menos que mantenga activamente este sitio diario e instale las actualizaciones manualmente poco después del lanzamiento.
Actualizaciones de temas automáticos: instale automáticamente las últimas actualizaciones de temas. Esto debe activarse a menos que su tema tenga personalizaciones de archivos.

Control granular sobre las actualizaciones de complementos y temas: puede tener complementos / temas que desea actualizar manualmente o retrasar la actualización hasta que la versión haya tenido tiempo para resultar estable. Puede elegir personalizado para la posibilidad de atribuir a cada complemento o tema, ya sea la actualización inmediata (activación), no la actualización automática (desactivación) o la actualización con un retraso de una cierta cantidad de días (retraso). Consolidación y alerta sobre problemas críticos
Consolidar el sitio cuando se ejecuta software anticuado, automáticamente agrega protección adicional al sitio cuando no se ha instalado una actualización disponible en un mes. El complemento de seguridad iThemes activará automáticamente una seguridad más estricta cuando no se haya instalado una actualización de un mes. En primer lugar, obligará a todos los usuarios que no tienen dos factores activos a proporcionar un código de autenticación enviado a su correo electrónico antes de iniciar sesión nuevamente. , XML-RPC Pingback y bloquean varios intentos de autenticación para cada solicitud XML-RPC (ambos hará que XML-RPC sea más contra los ataques sin tener que detenerlo por completo).
Busque otros sitios antiguos de WordPress: esto verificará si hay otras instalaciones obsoletas de WordPress en su cuenta de host. Un solo sitio de WordPress con una vulnerabilidad podría permitir a los atacantes comprometer a todos los demás sitios en la misma cuenta de host.
Enviar notificaciones de correo electrónico para problemas que requieren intervención, se envía un correo electrónico a los usuarios a nivel de administrador.
Se rompe en Internet 1. Aumentar

La compañía de videoconferencia de Zoom tuvo una vulnerabilidad en la versión MACCOS de su aplicación. La vulnerabilidad permitiría que un sitio web malicioso obligue a un usuario de Zoom a unirse a una llamada de zoom. Zoom quería que todos los usuarios se unieran a una reunión de un solo clic. Esto funcionó excelente hasta que Apple decidió que la URL no debería abrir otras solicitudes sin aprobación y agregar una medida de seguridad que requiere aprobación adicional. Por lo tanto, Zoom ha decidido aprovechar cómo Apple permite a los desarrolladores de aplicaciones crear un servidor web local para crear un servidor para evitar el nuevo requisito de aprobación. Aunque inicialmente Zoom dijo que no era un problema, escucharon los comentarios que recibieron y decidieron corregir la aplicación y eliminar el servidor web local. Apple también ha lanzado un parche que elimina el servidor web local para proteger las versiones obsoletas de zoom de vulnerabilidad. El programa de Malware Android Agent Smith
El programa Malware Agent Smith se ha ganado su nombre al reemplazar las partes de otras aplicaciones de Android con su código. El programa de malware no intenta recopilar datos de usuario. En cambio, obliga a las solicitudes que ha sido pirateada para mostrar varios anuncios y luego tomar su crédito para mostrar anuncios para recaudar ingresos. La aplicación apareció en 9APS, una tienda de aplicaciones de terceros, que es popular en la India. El autor de los programas de malware intentó agregar 11 de sus aplicaciones infestadas a Google Play Store. Pero antes de que las aplicaciones puedan dañar, fueron detectadas y eliminadas por Google. 3. Apple deshabilita a Walkie Talkie en Apple Watch
Apple ha revelado una vulnerabilidad en la aplicación Apple Watch Walkie Talkie. Apple ha deshabilitado la aplicación para remediar la vulnerabilidad que permite a un atacante escuchar conversaciones. Es importante tener en cuenta que Apple dijo que no hay evidencia de que la vulnerabilidad haya sido explotada. Un complemento de seguridad de WordPress puede ayudarlo a proteger su sitio web Ithemes Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 30 formas de proteger y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress. Con dos autenticación de WordPress, la protección de la fuerza bruta, la aplicación de contraseña segura y muchos más, puede agregar una capa de seguridad adicional a su sitio web. Fap más sobre todas las características de seguridad de WordPress. Descargue el nuevo libro electrónico: guía de configuración de seguridad iThemes
Descargar ahora
Obtener ithemes Security Pro

Michael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros. Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems. Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas. Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.