Informe de vulnerabilidad de WordPress: noviembre de 2021, Parte 4

Los complementos y los temas vulnerables son la razón principal por la cual los sitios de WordPress están rotos. El informe de vulnerabilidad de WordPress semanal de WordCan desarrollado por WPSCAN cubre el complemento reciente de WordPress, el tema principal y las vulnerabilidades, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una clasificación de gravedad baja, media, alta o crítica. La divulgación responsable e informes de vulnerabilidades es una parte integral del mantenimiento de la comunidad de WordPress. Comparta esta publicación a sus amigos para ayudar a transmitir la palabra y hacer que WordPress sea más seguro para todos.
El contenido del informe del 24 de noviembre de 2021
Hosting de WordPress: godaddy pirateado
Las vulnerabilidades básicas de WordPress
Vulnerabilidades en el complemento de WordPress
1. Pixel Cat Lite
2. Galería todo en uno
3. Stopbadbots
4. Conexión temporal sin contraseña
5. Profilepress
6. Calendario de eventos modernos
7. Imagen recomendada automatizada
8. Ultimate nofollow
9. Formularios NEX
10. Booster de SEO
11. Registro del sistema WP
12. Citas inspiradoras rotador
13. Exportador de postes individuales
14. FLOLE FUNTS LOCALES
15. Cambiador de logotipo de administración de WP
16. Formulario de contacto de base de datos avanzado
17. Botones brillantes
18. Filtro de la galería de cartera
19. Límites de WP
20. Código corto para contenido de página/publicación
21. Página de inclusión mejorada
22. Medios
23. Muestra metadatos de publicación
24. Enlace superior
25. Códigos cortos del usuario
26. Colección citada
27. Push Notificaciones para WordPress (Lite)
28. Sportspress
29. Autenticación emergente/registro
30. Vista previa de correos electrónicos para WooCommerce31. Usuario de WP Front y
32. Dirección – Complemento de negocios directy
33. Formularios de registro de luz
34. WP RESET PRO
35. WordPress + Microsoft Office 365
36. Publicación duplicada
37. Migración de reserva
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Obtenga IThemes Security Pro con monitoreo de seguridad del sitio web 24/7
¿Le gustaría que este informe se entregue en su casilla de correo electrónico cada semana?
Suscríbete al correo electrónico semanal
Hosting de WordPress: godaddy pirateado
En una divulgación de seguridad publicada el 21 de noviembre de 2021, GoDaddy dice que hasta 1.2 millones de clientes activos e inactivos fueron expuestos después de que los piratas informáticos han obtenido acceso a la plataforma de alojamiento de WordPress.
Escribí una publicación para desempacar algunos de los detalles del reciente Hack GoDaddy, cómo afecta a nuestros clientes y nuestras recomendaciones sobre qué hacer si es un cliente de alojamiento de WordPress.
Leer la publicación
Las vulnerabilidades básicas de WordPress
La última versión de WordPress Nucleus es 5.8.2. Como la mejor práctica, ¡siempre asegúrese de ejecutar la última versión básica de WordPress!
Vulnerabilidades en el complemento de WordPress
En esta sección, se revelaron las últimas vulnerabilidades del complemento de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de la versión, si se corrige el grado de gravedad.
1. Pixel Cat Lite
Plugin: Pixel Cat Lite Vulnerabilidad: Administrador+ Escrituras entre sitios almacenados parcheados en: 2.6.3 Puntuación de gravedad: Bajo

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.6.3.
Plugin: Pixel Cat Lite Vulnerabilidad: CSRF en scripts almacenados entre sitios parcheados: 2.6.2 Puntuación de gravedad: Se correge marevulnerabilidad, por lo que debe actualizarse a la versión 2.6.2.
2. Galería todo en uno
Plugin: Galería de vulnerabilidad todo en uno: Admin+ incluyendo el parche local en la versión: 2.5.0 Puntuación de gravedad: Low
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.5.0.

3. Stopbadbots
Plugin: StopBAdbots Vulnerabilidad: Escrituras reflejadas entre sitios parchados en la versión: 6.67 Puntuación de gravedad: Critic
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 6.67.

4. Conexión temporal sin contraseña
Complemento: autenticación temporal sin vulnerabilidad de contraseña: actualización de la configuración del suscriptor+ complemento parcheado en la versión: 1.7.1 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.7.1.

5. Profilepress
Plugin: ProfilePress Vulnerabilidad: Escrituras reflejadas entre sitios parchados en la versión: 3.2.3 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.2.3.

Plugin: ProfilePress Vulnerabilidad: Escrituras reflejadas entre sitios parchados en la versión: 3.2.3 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.2.3.
6. Calendario de eventos modernos
Complemento: calendario de eventos modernos vulnerabilidad: inyección sql ciego no autorizado patked en la versión: 6.1.5 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 6.1.5.

Plugin: Calendario de eventos modernos Vulnerabilidad: Escrituras reflejadas entre sitios parchados en: 6.1.5 Puntuación de gravedad: Se corrige marevulnerabilidad, por lo que debe actualizarse a la versión 6.1.5.
7. Imagen recomendada automatizada
Plugin: Vulnerabilidad automática de imagen recomendada: Escrituras reflejadas entre sitios parchados en la versión: 3.9.3 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.9.3.
8. Ultimate NoFollow Plugin: Ultimate NOFollow Vulnerabilidad: contribuyente+ script de almacenamiento corregido en la versión: no se conoce la gravedad del complemento cerrado de remedio: medio

Esta vulnerabilidad no ha sido corregida. Este complemento ha estado cerrado desde el 28 de septiembre de 2021. Desinstalar y eliminar.
9. Formularios de complemento NEX: Vulnerabilidad de NEX-Forms: Administración múltiple+ Escrituras entre sitios almacenados corregidos en la versión: No se conoce la puntuación del complemento cerrado de remedio: bajo
Esta vulnerabilidad no ha sido corregida. Este complemento ha estado cerrado desde el 4 de octubre de 2021. Desinstalar y eliminar.
10. Complemento de refuerzo de SEO: vulnerabilidad de refuerzo de SEO: inyección de administrador+ SQL corregido en la versión: No hay remedio conocido – Puntuación de gravedad del complemento cerrado: medio
Esta vulnerabilidad no ha sido corregida. Este complemento se ha cerrado desde el 5 de octubre de 2021. Desinstalar y eliminar.
11. Registro del sistema WP
Plugin: WP System Journal Vulnerabilidad: Escrituras entre sitios almacenados no autorizados en la versión: 1.0.21 Puntuación de gravedad: crítico
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.0.21.
12. Plugin Cita inspiradora Rotator: citas inspiradas en vulnerabilidad: Administrador+ scripts entre sitios almacenados corregidos en la versión: no se ha corregido la versión conocida de complemento cerrado: baja vulnerabilidad. Este complemento ha estado cerrado desde el 23 de septiembre de 2021. Desinstalar y eliminar.

13. Exportador de complementos de postes individuales: Vulnerabilidad de exportaciones de postes individuales: actualización de la configuración del complemento a través de CSRF corregido en la versión: Sin remedio conocido – Puntuación del complemento cerrado: Medio
Esta vulnerabilidad no ha sido corregida. Este complemento ha estado cerrado desde el 23 de septiembre de 2021. Desinstalar y eliminar.
14. FLEX FUNTS LOCAL FUNTS: Fuentes locales Vulnerabilidad Flex: Admin+ Almacenamiento de escrutación de sitios cruzados en la versión: no se conoce la gravedad del complemento cerrado de remedio: bajo
Esta vulnerabilidad no ha sido corregida. Este complemento ha estado cerrado desde el 23 de septiembre de 2021. Desinstalar y eliminar.
15. WP Admin Logo Changer Changer: WP Admin Logo Changer Sulnerabilidad: Actualizar la configuración del complemento a través de CSRF corregido en la versión: Sin remedio conocido – Puntuación de gravedad del complemento cerrado: Medio
Esta vulnerabilidad no ha sido corregida. Este complemento ha estado cerrado desde el 4 de octubre de 2021. Desinstalar y eliminar.
16. Formulario de contacto Plugin de base de datos avanzado: Formulario de contacto de la base de datos avanzada Vulnerabilidad: AJAX llama no autorizado parcheado en la versión: No hay remedio conocido de gravedad: medio
Este complemento ha estado cerrado desde el 27 de septiembre de 2021 y no está disponible para descargar. Este cierre es temporal, esperando un examen completo. Le recomendamos que desinstale y elimine hasta que se encuentre un remedio. Botones brillantes del complemento: Botones de vulnerabilidad brillante: scripts entre sitios almacenados no autorizados en la versión: No hay remedio conocido de gravedad: alto
Este complemento ha estado cerrado desde el 27 de septiembre de 2021 y no está disponible para descargar. Este cierre es temporal, esperando un examen completo. Le recomendamos que desinstale y elimine hasta que se encuentre un remedio.
18. Filtración de la galería de cartera de complementos: Vulnerabilidad de la galería de cartera de filtros: eliminación arbitraria de la galería a través de CSRF parcheado en la versión: No hay remedio conocido de gravedad: medio
Este complemento ha estado cerrado desde el 27 de septiembre de 2021 y no está disponible para descargar. Este cierre es temporal, esperando un examen completo. Le recomendamos que desinstale y elimine hasta que se encuentre un remedio.
19. Límites del complemento WP: WP Límites Vulnerabilidad: Actualizar la configuración del complemento a través de CSRF parcheado en la versión: No hay remedio conocido de gravedad: medio
Este complemento se ha cerrado a partir del 4 de octubre de 2021 y no está disponible para descargar. Este cierre es temporal, esperando un examen completo. Le recomendamos que desinstale y elimine hasta que se encuentre un remedio.
20. Código corto para el contenido de la página del complemento/publicación: Código corto para el contenido/publicación de la vulnerabilidad: contribuyente+ acceso arbitrario a publicaciones/páginas en la versión: No hay remedio bien conocido de severidad: el complemento medio se cerró a partir del 4 de octubre, 2021 y no está disponible para descargar. Este cierre es temporal, esperando un examen completo. Le recomendamos que desinstale y elimine hasta que se encuentre un remedio.
21. Página mejorada de inclusión del complemento: Vulnerabilidad de la página de inclusión mejorada: contribuyente+ acceso arbitrario a páginas/páginas posteriores: sin remediación Severidad de remedio: medio
Este complemento se ha cerrado desde el 8 de octubre de 2021 y no está disponible para descargar. Este cierre es temporal, esperando un examen completo. Le recomendamos que desinstale y elimine hasta que se encuentre un remedio.
22. Mediamatic Plugin: Vulnerabilidad Mediamatic: Inyección de suscriptor+ SQL parcheado en la versión: No hay remedio conocido de gravedad: alto
Este complemento se ha cerrado desde el 11 de octubre de 2021 y no está disponible para descargar. Este cierre es temporal, esperando un examen completo. Le recomendamos que desinstale y elimine hasta que se encuentre un remedio.
23. Muestra los metadatos de la publicación del complemento: Muestra los metadatos de la publicación de vulnerabilidad: contribuyente+ secuencia de comandos de sitios cruzados en la versión: No se conoce remedio de gravedad: medio
Este complemento ha sido cerrado a partir del 21 de octubre de 2021 y no está disponible para descargar. Este cierre es temporal, esperando un examen completo. Recomendamos que desinstale y elimine hasta que se encuentre un remedio.24. Complemento de enlace superior: enlace Vulnerabilidad superior: inyección de objetos PHP no autorizados parcheado en la versión: No hay remedio conocido de gravedad: medio
Este complemento ha sido cerrado a partir del 21 de octubre de 2021 y no está disponible para descargar. Este cierre es temporal, esperando un examen completo. Le recomendamos que desinstale y elimine hasta que se encuentre un remedio.
25. Códigos cortos del usuario del complemento: Meta cortos de usuarios Vulnerabilidad: contribuyente+ acceso arbitrario no autorizado al usuario parcheado en la versión: sin puntaje de gravedad conocida: alto
Este complemento se ha cerrado desde el 12 de octubre de 2021 y no está disponible para descargar. Este cierre es temporal, esperando un examen completo. Le recomendamos que desinstale y elimine hasta que se encuentre un remedio.

26. Cotizaciones de complementos Colección: Colección de citas de vulnerabilidad: Admin+ inyección SQL parcheada en la versión: No hay remedio conocido de gravedad: medio
Este complemento se ha cerrado desde el 13 de octubre de 2021 y no está disponible para descargar. Este cierre es temporal, esperando un examen completo. Le recomendamos que desinstale y elimine hasta que se encuentre un remedio.
27. Push Notificaciones para WordPress (Lite)
Plugin: Push Notificaciones para WordPress (Lite) Vulnerabilidad: Actualice la configuración por CSRF parcheada en la versión: 6.0.1 Gravedad Puntuación: El medio se corrige, por lo que debe actualizarse a la versión 6.0.1.
28. Sportspress
Plugin: Vulnerabilidad de SportsPress: Escrituras reflejadas entre sitios parchados en la versión: 2.7.9 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.7.9.
29. Autenticación emergente/registro
Plugin: conexión de vulnerabilidad/grabación emergente: Escrituras reflejadas entre sitios parchados en la versión: 2.2 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.2.

30. Vista previa de correos electrónicos para el complemento de WooCommerce: Vista previa de correos electrónicos para la vulnerabilidad de WooCommerce: Escrituras reflejadas entre sitios parcheados en la versión: 2.0.0 Puntuación de gravedad: Medio ambiente
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.0.0.5.
31. Usuario de WP Front y

Plugin: WP User Frontand Vulnerabilidad: enchufe de membresía, perfil, registro y publicación para WordPress parcheado en la versión: 3.5.25 Puntuación de gravedad: promedio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.5.25.
32. Dirección – Complemento de negocios directy

Plugin: Director – Plugin para el director comercial Vulnerabilidad: CSRF Al cargar los archivos de archivo parcheados en la versión: 7.0.6.2 Puntuación de gravedad: crítico
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 7.0.6.2.
33. Formularios de registro de complementos de luz: Formularios de grabación de vulnerabilidad de luz: CSRF en scripts almacenados entre sitios parcheados en la versión: No se conoce remedio de severidad: Mare, este complemento se ha cerrado a partir del 12 de noviembre de 2021 y no está disponible para descargar. Este cierre es temporal, esperando un examen completo. Le recomendamos que desinstale y elimine hasta que se encuentre un remedio.
34. WP RESET PRO
Plugin: WP Reset Pro Vulnerabilidad: suscriptor+ RESTACIÓN DE BASE DE DATACIÓN PARTIDAD EN VERSIÓN: 5.99 Puntuación de gravedad: Critic

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.99.
Plugin: WP RESET Pro Vulnerabilidad: Restablecer la base de datos a través de CSRF parcheado en la versión: 5.99 Puntuación de gravedad: Crítico
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.99.

35. WordPress + Microsoft Office 365
Plugin: WordPress + Microsoft Office 365 Vulnerabilidad: Escrituras entre sitios almacenados no autorizados en la versión: 15.4 Puntuación de gravedad: crítico
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 15.4.
36. Publicación duplicada
Plugin: Vulnerabilidad duplicada de poste: inyección SQL parcheada en la versión: 1.2.0 Puntuación de gravedad: medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.2.0.
37. Migración de reserva
Plugin: Vulnerabilidad de migración de reserva: Administrador+ Escrituras entre sitios almacenados parcheados en: 1.1.6 Puntuación de gravedad: Medio ambiente
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.1.6.
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables Como puede ver en este informe, se revelan muchos complementos y temas de WordPress nuevos cada semana. Sabemos que puede ser difícil mantenerse al día con cada revelación de las vulnerabilidades informadas, por lo que la seguridad de los complementos lo ayuda a asegurarse de que su sitio no ejecute un tema, complemento o un WordPress básico con vulnerabilidad conocida.

1. Instale el complemento de seguridad ITHEMS IThemes Security Pro fortalece su sitio de WordPress en las formas más comunes en que los sitios web son pirateados. Con más de 30 formas de asegurar su sitio en un solo complemento fácil de usar.
2. Active el escaneo del sitio para verificar que existan vulnerabilidades conocidas La gestión del ITHEMS Security Pro está integrada con el escaneo del sitio para proteger su sitio. Los temas vulnerables, los conceptos básicos de WordPress y las versiones base se actualizarán automáticamente.
3. Los cambios en el monitor de cambios CHEIA para la identificación rápida de una violación de seguridad es monitorear los cambios de archivo en su sitio. La función de detección de detección de archivos escaneará los archivos de su sitio web y le advertirá cuando aparezcan los cambios en su sitio.

Obtenga IThemes Security Pro con monitoreo de seguridad del sitio web 24/7
Ithemes Security Pro, nuestro complemento de seguridad de WordPress, proporciona más de 50 formas de asegurar y proteger sus vulnerabilidades de seguridad de WordPress.Con WordPress, autenticación de dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar capas de seguridad adicionales al escáner de su sitio para vulnerabilidades y temas de complementos
Detección de cambios de archivo

El tablero de la seguridad del sitio en tiempo real
Revistas de seguridad de WordPress
Dispositivos de confianza
recaptcha
Protección con fuerza bruta
Autenticación con dos factores
Enlaces de inicio de sesión mágicos
El privilegio de la escalada

Verificación y rechazo de contraseñas comprometidas
Ahorre 40% de descuento iThemes Security Pro