Informe de vulnerabilidad de WordPress: diciembre de 2021, Parte 4

Los complementos y los temas vulnerables son la razón principal por la cual los sitios de WordPress están rotos. El informe de vulnerabilidad de WordPress semanal de WordCan desarrollado por WPSCAN cubre el complemento reciente de WordPress, el tema principal y las vulnerabilidades, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una clasificación de gravedad baja, media, alta o crítica. La divulgación responsable e informes de vulnerabilidades es una parte integral del mantenimiento de la comunidad de WordPress. Nuevo en este informe: las vulnerabilidades ahora se enumeran en el orden del número de instalaciones activas, en lugar de la fecha de divulgación.
Comparta esta publicación a sus amigos para ayudar a transmitir la palabra y hacer que WordPress sea más seguro para todos.
El contenido del informe del 22 de diciembre de 2021
Las vulnerabilidades básicas de WordPress
Vulnerabilidades en el complemento de WordPress
1. Todo en un SEO
2. Smash Balloon Social Post Feed
3. Calendario de eventos modernos de Lite
4. Woocs
5. Chat en vivo claro
6. Efectos del flujo de imágenes Ultimate
7. Sistema de reserva de WP – Calendario de reserva
8. Generador de página de destino
9. Análisis de Fathom
10. True Ranker
Vulnerabilidades en el complemento de WordPress: complemento cerrado
11. Comentarios Engine Pro
12. Redirección .htaccess
13. Parsian Bank Gateway para WoCommerce
14. Wysiwyg verdadero
15. Administrador de listas de enlaces
16. Galería de imágenes simples
17. WooCommerce Enviopack
18. Voz mágica de post
19. Editor de CSS H5P
20. Duofaq
21. Voz mágica de post
22. WooCommerce Myghpay Pague Gateway
Vulnerabilidades de complemento Premium
23. Suplementos más para Elementor Pro
24. Para boxear
25. Comparta una unidad 26. Fuera de la caja
27. Use su unidad
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Obtenga IThemes Security Pro con monitoreo de seguridad del sitio web 24/7
¿Le gustaría que este informe se entregue en su casilla de correo electrónico cada semana?
Suscríbete al correo electrónico semanal
Las vulnerabilidades básicas de WordPress
La última versión de WordPress Nucleus es 5.8.2. Como la mejor práctica, ¡siempre asegúrese de ejecutar la última versión básica de WordPress!
Vulnerabilidades en el complemento de WordPress
En esta sección, se revelaron las últimas vulnerabilidades del complemento de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, instalaciones activas, número de versión, si se corrige el grado de gravedad. 1. Todo en un SEO
Complemento: todo en una vulnerabilidad de SEO: inyección SQL Instalación activa: 3+ mili parcheado en la versión: 4.1.5.3 Puntuación de gravedad: alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.1.5.3.
Complemento: todo en una vulnerabilidad de SEO: escalada de privilegios autenticados Instalación activa: 3+ mili parcheado en la versión: 4.1.5.3 Puntuación de gravedad: crítico
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.1.5.3.
2. Smash Balloon Social Post Feed
Plugin: Smash Balloon Social Post Feed Vulnerabilidad: Escrituras entre sitios reflejados autenticado (XSS) Instalación activa: 200,000+ Patchado en la versión: 4.1.1 Puntuación de gravedad: Medium

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 4.1.1.
3. Calendario de eventos modernos de Lite
Plugin: Calendario de eventos modernos Vulnerabilidad de Lite: suscriptor+ categoría Agregar que conduce a XSS Storage Instalación activa: 100,000+ Patchado en la Versión: 6.2.0 Se gravedad de la gravedad: El medio se corrige, por lo que debe actualizarse a la versión 6.2.0.

4. Woocs
Plugin: Vulnerabilidad de WOOC: Escrituras reflejadas entre sitios de instalación activos: más de 60,000+ parcheados en la versión: 1.3.7.3 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.3.7.3.

5. Chat en vivo claro
Complemento: vulnerabilidad de chat en vivo nítido: CSRF en scripts almacenados entre sitios de instalación activos: más de 60,000+ parcheado en la versión: 0.32 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 0.32.

6. Efectos del flujo de imágenes Ultimate
Plugin: Efectos de desplazamiento de imagen Vulnerabilidad Ultimate: Actualización no autorizada de la opción arbitraria Instalación activa: 20,000+ parcheado en la versión: 9.7.0 Puntuación de gravedad: Critic
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 9.7.0.

7. Sistema de reserva de WP – Calendario de reserva
Plugin: WP Booking System-Vulnerability Reservations Calendario: Escrituras entre sitios reflejados auténticos (XSS) Instalación activa: 10,000+ Patchado en la versión: 2.0.15 Puntuación de gravedad: entorno
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.0.15.

8. Generador de página de destino
Plugin: Vulnerabilidad del constructor de la página de destino: Escrituras entre sitios reflejados autenticado (XSS) Instalación activa: 10.000+ parcheado en la versión: 1.4.9.6 Puntuación de gravedad: entorno
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.4.9.6.9. Análisis de Fathom

Plugin: Fathom Analytics Vulnerabilidad: Administrador+ Escrituras entre sitios almacenados Instalación activa: 2000+ Patchado en la versión: 3.0.5 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.0.5.
10. Ranker de complemento Verdadero: Vulnerabilidad verdadera Ranker: acceso no autorizado a archivos arbitrarios cruzando la instalación activa: 200+ parcheado en la versión: 2.2.4 Puntuación de gravedad: Bajo

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.2.4.
Vulnerabilidades en el complemento de WordPress: complemento cerrado
En esta sección, las últimas vulnerabilidades de los complementos de WordPress se han revelado en complementos cerrados. Cada lista de complementos incluye el tipo de vulnerabilidad, el grado de gravedad y la fecha de cierre.
11. Comentarios Engine Pro Plugin: Comment Engine Pro Vulnerabilidad: Editor+ Scripting cruzado de almacenamiento Corregido en la versión: No se conoce la puntuación del complemento cerrado de remedio: Low
Esta vulnerabilidad no ha sido corregida. Este complemento ha estado cerrado desde el 7 de octubre de 2021. Desinstalar y eliminar.
12. Redirección .HtAccess Plugin: .htaccess Redireccione Vulnerabilidad: Scripts reflejados entre sitios corregidos en la versión: No se conoce la puntuación del complemento cerrado con remedio: alto
Esta vulnerabilidad no ha sido corregida. Este complemento se ha cerrado desde el 3 de diciembre de 2021. Desinstalar y eliminar.
13. Parsian Bank Gateway para el complemento de WooCommerce: parsian bank Gateway para la vulnerabilidad de WooCommerce: Escrituras reflejadas entre sitios corregidos en la versión: no se ha corregido una gran vulnerabilidad de la gran vulnerabilidad: se ha corregido una gran vulnerabilidad. Este complemento se ha cerrado desde el 3 de diciembre de 2021. Desinstalar y eliminar.
14. Wysiwyg True Plugin: Wysiwyg Vulnerabilidad real: Escrituras reflejadas entre sitios corregidos en la versión: no se conoce el complemento cerrado de remedio: alto
Esta vulnerabilidad no ha sido corregida. Este complemento se ha cerrado desde el 3 de diciembre de 2021. Desinstalar y eliminar.
15. Administrador de complementos de la lista de enlaces: Administrador de la lista de vulnerabilidades: Escrituras reflejadas entre los sitios corregidos en la versión: no se conoce la puntuación del complemento cerrado con remedio: alto
Esta vulnerabilidad no ha sido corregida. Este complemento se ha cerrado desde el 3 de diciembre de 2021. Desinstalar y eliminar.
16. Galería de imagen simple del complemento: Galería simple de vulnerabilidad Imágenes: Escrituras reflejadas entre sitios corregidos en la versión: no conocido Puntuación de complemento cerrado: alto
Esta vulnerabilidad no ha sido corregida. Este complemento se ha cerrado desde el 3 de diciembre de 2021. Desinstalar y eliminar.
17. WooCommerce Enviopack Plugin: WooCommerce Enviopack Vulnerabilidad: Escrituras reflejadas entre sitios corregidos en la versión: no se conoce Remedios Cerrado cerrado: alto: alto
Esta vulnerabilidad no ha sido corregida. Este complemento se ha cerrado desde el 15 de noviembre de 2021. Desinstalar y eliminar.
18. Magic Post Voice Plugin: Magic Post Voice Vulnerabilidad: Escrituras reflejadas entre los sitios corregidos en la versión: no se ha corregido una gran vulnerabilidad conocida. Este complemento se ha cerrado desde el 3 de diciembre de 2021. Desinstalar y eliminar.
19. Editor CSS H5P Plugin: H5P CSS Editor Vulnerabilidad: Escrituras reflejadas entre los sitios corregidos en la versión: No se conoce el complemento cerrado de remedio: alto
Esta vulnerabilidad no ha sido corregida. Este complemento se ha cerrado desde el 3 de diciembre de 2021. Desinstalar y eliminar.

20. Plugin Duofaq: Vulnerabilidad de DuofAQ: scripts reflejados entre sitios corregidos en la versión: no se conoce la puntuación del complemento cerrado con remedio: alto
Esta vulnerabilidad no ha sido corregida. Este complemento se ha cerrado desde el 3 de diciembre de 2021. Desinstalar y eliminar.
21. Magic Post Voice Plugin: Magic Post Voice Vulnerabilidad: Escrituras reflejadas entre sitios corregidos en la versión: no se conocen remedios cerrados CUMNADO CULTINO: alto
Esta vulnerabilidad no ha sido corregida. Este complemento se ha cerrado desde el 3 de diciembre de 2021. Desinstalar y eliminar.
22. Plugin de la pasarela de pago de WooCommerce Myghpay: WooCommerce Myghpay Pague Guerdway Vulnerabilidad: Escrituras reflejadas entre sitios corregidos en la versión: No se conoce el puntaje de complemento cerrado con remedio: alto
Esta vulnerabilidad no ha sido corregida. Este complemento se ha cerrado desde el 13 de diciembre de 2021. Desinstalar y eliminar.
Vulnerabilidades de complemento Premium
En esta sección, se revelaron las últimas vulnerabilidades del complemento Premium WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de la versión, si se corrige el grado de gravedad. 23. más suplementos para el complemento Elementor Pro: Suplementos más para el elemento – Vulnerabilidad PRO: Divulgación de datos confidenciales parcheados en la versión: 5.0.7 Se corrige el medio: el medio se corrige, por lo que debe actualizarse a la versión 5.0.7.
Plugin: Suplementos más para elementos – Vulnerabilidad PR: inyección SQL no acertificada en la versión: 5.0.7 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.0.7.
24. Complemento de caja SA: Vulnerabilidad de la caja de Lets: Escrituras reflejadas entre sitios parchados en la versión: 1.13.3 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.13.3.
25. Comparta una unidad de complemento: Comparta una unidad de vulnerabilidad: Escrituras reflejadas entre sitios parchados en la versión: 1.15.3 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.15.3.
26. De la caja del complemento: Vulnerabilidad fuera del cuadro: Escrituras reflejadas entre sitios parchados en la versión: 1.20.3 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.20.3.
27. Use su unidad de complemento: use su unidad de vulnerabilidad: Escrituras reflejadas entre sitios parchados en la versión: 1.18.3 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.18.3.
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables Como puede ver en este informe, se revelan muchos complementos y temas de WordPress nuevos cada semana. Sabemos que puede ser difícil mantenerse al día con cada revelación de las vulnerabilidades informadas, por lo que la seguridad de los complementos lo ayuda a asegurarse de que su sitio no ejecute un tema, complemento o un WordPress básico con vulnerabilidad conocida.
1. Instale el complemento de seguridad ITHEMS IThemes Security Pro fortalece su sitio de WordPress en las formas más comunes en que los sitios web son pirateados. Con más de 30 formas de asegurar su sitio en un solo complemento fácil de usar.
2. Active el escaneo del sitio para verificar que existan vulnerabilidades conocidas La gestión del ITHEMS Security Pro está integrada con el escaneo del sitio para proteger su sitio. Los temas vulnerables, los conceptos básicos de WordPress y las versiones base se actualizarán automáticamente.
3. Active Detección de cambio de archivo La clave para identificar rápidamente una violación de seguridad es monitorear los cambios de archivo en su sitio. La función de detección de detección de archivos escaneará los archivos de su sitio web y le advertirá cuando aparezca los cambios en su sitio.
Obtenga iThems Security Pro con el monitoreo de la seguridad del sitio web de seguridad de seguridad de ITHEMS 24/7, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio de vulnerabilidad de seguridad de WordPress.Con WordPress, autenticación de dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar capas de seguridad adicionales al escáner de su sitio para vulnerabilidades y temas de complementos
Detección de cambios de archivo
El tablero de la seguridad del sitio en tiempo real
Revistas de seguridad de WordPress
Dispositivos de confianza
recaptcha
Protección con fuerza bruta
El privilegio de la escalada

Verificación y rechazo de contraseñas comprometidas
Ahorre 35% IThemes Security Pro hasta el 31 de diciembre