Roundup de vulnerabilidad de WordPress – abril de 2019

Desafortunadamente, abril de 2019 fue un mes cargado para las vulnerabilidades de WordPress. No tiene que preocuparse, porque nuestro resumen de vulnerabilidades lo cubre con lo que necesita saber. Cubriremos cuáles son las explotaciones y cómo pueden afectarlo. Dividimos las vulnerabilidades en tres categorías diferentes:
Complementos de WordPress
Temas de WordPress
Violaciones en Internet
Incluimos violaciones en Internet, porque es importante crear conciencia sobre las vulnerabilidades fuera del ecosistema de WordPress. Las operaciones al software del servidor pueden conducir a la exposición de datos confidenciales. Las violaciones de la base de datos pueden exponer las credenciales de los usuarios en su sitio, abriendo la puerta de los atacantes para acceder a su sitio.
Las vulnerabilidades del complemento de WordPress el mes pasado se registraron algunas importantes vulnerabilidades de arado, con amplios impactos para los usuarios. 1. Gerente de pago de WooCommerce

WooCommerce Checkout Manager versión 4.2.6 tenía una vulnerabilidad descargada para cargar archivos arbitrarios. Si su sitio tenía la opción de cargar archivos activados en WooCommerce Checkout Manager, la explotación permitió que un atacante no autorizado cargue un archivo para ver si es un archivo permitido. Un hacker podría explotar el defecto para ejecutar un código que les permita acceder / modificar archivos o incluso obtener acceso al administrador.
Que debes hacer
Actualización a la versión 4.3. La actualización incluyó un parche para la vulnerabilidad de carga de archivos arbitrarios.
2. Constructor de formulario de contacto

Contact Form Builder 1.0.68 y las versiones posteriores fueron vulnerables a las vulnerabilidades de una explotación falsa entre los sitios y las vulnerabilidades para incluir archivos locales. Esto se limita al hecho de que alguien podría usar una falsificación de varios sitios y podría usar $ _get [‘Action’] para cargar un archivo malicioso. Lo que debo hacer es reparado y debe actualizar a la versión 1.0.69.
3. Formulario de contacto avanzado 7 db
Formulario de contacto avanzado 7 db versión 1.6.0 y debajo del complemento es vulnerable a una inyección SQL. La vulnerabilidad requiere que el atacante tenga una cuenta que aproveche la operación, pero la cuenta solo debe tener privilegios de suscriptores. Dependiendo de la configuración de su servidor, el exploit puede dar al atacante acceso a nada más que hashs cifrados o puede hacerse cargo del servidor. Asegúrese de utilizar un host que haga de su administración de seguridad una prioridad. Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 1.6.1.
4. Editor de estilo CSS Visual CSS de Yellowpencil
El editor de estilo CSS Visual de YellowPencil tiene una vulnerabilidad que permite a un atacante omitir la autenticación y ejecutar solicitudes en el sitio como administrador del sitio. En esta solicitud, pueden cambiar la configuración de WordPress para abrir el registro en el sitio y pueden hacer que el administrador sea predeterminado como un nuevo usuario. Que debes hacer

No parece que este complemento reciba un parche, por lo que sugeriría eliminar el editor de estilo visual CSS Yellowpencil y encontrar un reemplazo.
5. Las publicaciones relacionadas con Yuzo relacionadas con Yuzo son muy similares a la explotación de Yellowpencil. Yuzo es vulnerable a un ataque de guiones entre sitios. Un exploit del complemento hará que alguien inyecte el código en el sitio para cambiar la configuración de WordPress o incluso para agregar redirecciones maliciosas.
Sugeriría eliminar las publicaciones relacionadas con Yuzo por el momento. El autor del complemento dice que tiene la intención de aparecer con una versión nueva y mejorada en una fecha posterior.
6. Estadísticas de WP
WP Statistics versión 12.6.3 y abajo es vulnerable a un ataque de guión entre sitios. Al igual que nuestro último complemento, un atacante podría inyectar el código malicioso en su sitio utilizando un exploit que se encuentra en las estadísticas de WP. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 12.6.4.

Temas de WordPress Algunas vulnerabilidades temáticas de WordPress han aparecido este mes.
7. El tema del periódico
El tema del periódico de TagDiv versión 9.2.2 y las versiones anteriores fue otro componente de la vulnerabilidad de las escrituras de WordPress entre sitios. Que debes hacer
La vulnerabilidad ha sido reparada y debe actualizarse a la versión 9.5.

8. Tema de WordPress responsable del Consejo de Trabajo
El tema de WordPress responsable de la versión 2.4 de Job Board y a continuación ha sido susceptible a varias exploits diferentes. El primer exploit permitió a los usuarios desatendidos que enumeren a los usuarios y la segunda exploit para restablecer las contraseñas de las cuentas de los usuarios.
Que debes hacer

La vulnerabilidad ha sido reparada y debe actualizarse a la versión 2.4.1.
Cómo ser proactivo sobre las vulnerabilidades del tema de WordPress y los complementos que ejecutan el software obsoleto es por qué los sitios de WordPress son pirateados. Es crucial que la seguridad de su sitio de WordPress tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez por semana para realizar actualizaciones. Actualizaciones automáticas utilizando la función de administración de complementos Ithemes Security Pro, puede activar actualizaciones automáticas de WordPress para garantizar que reciba los últimos parches de seguridad. Las actualizaciones automáticas son una excelente opción para sitios web que no cambian con mucha frecuencia. La falta de atención a menudo deja estos sitios descuidados y ejecuta software obsoleto.
Actualizaciones de gestión de versiones
Automatice las actualizaciones de WordPress: todas las actualizaciones de WordPress se instalan automáticamente cuando están disponibles.

Actualizaciones automáticas para complementos: todas las actualizaciones para arados se instalan automáticamente cuando están disponibles.

Temas de actualizaciones automáticas: todas las actualizaciones de temas se instalan automáticamente cuando están disponibles. Use esto si ha colocado las personalizaciones del tema en el tema de un niño, para no sobrescribir sus personalizaciones actualizando su tema principal.
Control granular sobre las actualizaciones de complementos y temas: puede tener complementos / temas que desea actualizar manualmente o retrasar la actualización hasta que la versión haya tenido tiempo para resultar estable. Puede elegir personalizado para la posibilidad de atribuir a cada complemento o tema, ya sea la actualización inmediata (activación), no la actualización automática (desactivación) o la actualización con un retraso de una cierta cantidad de días (retraso). Consolidación y alerta sobre problemas críticos
Consolidar el sitio cuando ejecute software obsoleto: el complemento de seguridad ITHEMS activará automáticamente una seguridad más estricta cuando no se haya instalado una actualización de un mes. En primer lugar, obligará a todos los usuarios que no tienen dos factores activos a proporcionar un código de autenticación enviado a su correo electrónico antes de iniciar sesión nuevamente. , XML-RPC Pingback y bloquean varios intentos de autenticación para cada solicitud XML-RPC (ambos hará que XML-RPC sea más contra los ataques sin tener que detenerlo por completo).
Busque otros sitios antiguos de WordPress: esto verificará si hay otras instalaciones obsoletas de WordPress en su cuenta de host. Un solo sitio de WordPress con una vulnerabilidad podría permitir a los atacantes comprometer a todos los demás sitios en la misma cuenta de host.
Enviar notificaciones de correo electrónico para problemas que requieren intervención, se envía un correo electrónico a los usuarios a nivel de administrador.

Break en Internet 1. 80 millones de hogares estadounidenses expusieron una base de datos alojada en el servidor en la nube de Microsoft que contiene nombres completos, ingresos y estado civil para 80 millones de hogares fue accesible para el público.Microsoft emitió un comunicado diciendo que notificaron al propietario de DB y que ya no estaba disponible.
2. Docker Breach Docker informó a 190,000 usuarios sobre el cambio de contraseña. La violación expuso el nombre de usuario de Docker, las contraseñas hash y los tokens API utilizados en GitHub y Bitbucket. ¿Qué debería hacer si tiene una cuenta de Docker, sugeriría que lo reproduzca de forma segura y actualice su contraseña? Este tipo de violación también expone la necesidad de usar una contraseña única para cada cuenta. La reutilización de contraseñas le deja los sitios en exhibición cuando sus contraseñas son parte de una base de datos masiva. No es una cuestión si una de sus cuentas estará expuesta. Cree contraseñas únicas para cada sitio y asegúrelas usando LastPass. Use la función de contraseñas comprometidas IThemes Security Pro. Al capitalizar el poder de la API de Troy Hunt, HaveibeenPwned, rechace los casi 8 mil millones de contraseñas comprometidas de la base de datos HaveibeenPwned. Regir las contraseñas comprometidas tiene dos objetivos, el primero es asegurar su sitio y no permitir que un solo usuario haga que su sitio sea vulnerable. En segundo lugar, puede informarles a los usuarios que usan acreditaciones conocidas por los malos actores. Mientras lo está, agregar dos factores lo ayudará a proteger su sitio con violaciones de la base de datos. Bloqueo todos mis sitios web de WordPress usando Authy. El fin de la vulnerabilidad es un internet peligroso allí. Asegúrese de actualizar su sitio para obtener los últimos parches de seguridad. Use una contraseña única y dos factores en cada sitio para protegerlo de las violaciones de la base de datos.
Un complemento de seguridad de WordPress puede ayudarlo a asegurar su sitio de seguridad Pro Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 30 formas de proteger y proteger su sitio web contra las vulnerabilidades comunes de seguridad de WordPress.Con dos autenticación de WordPress, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar una capa de seguridad adicional a su sitio web.Obtenga la seguridad de Ithemesmichael Moore
Cada semana, Michael realiza un informe de vulnerabilidad de WordPress para mantener sus sitios seguros.Como gerente de producto en IThems, nos ayuda a continuar mejorando la gama IThems.Es un marco enorme y le encanta aprender sobre todas las cosas técnicas, viejas y nuevas.Puedes encontrar a Michael sentado con su esposa e hija, leyendo o escuchando música cuando no trabaja.