Informe de vulnerabilidad de WordPress: octubre de 2021, Parte 2

Los complementos y los temas vulnerables son la razón principal por la cual los sitios de WordPress están rotos. El informe de vulnerabilidad de WordPress semanal de WordCan desarrollado por WPSCAN cubre el complemento reciente de WordPress, el tema principal y las vulnerabilidades, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web. Cada vulnerabilidad tendrá una clasificación de gravedad baja, media, alta o crítica. La divulgación responsable e informes de vulnerabilidades es una parte integral del mantenimiento de la comunidad de WordPress. Comparta esta publicación a sus amigos para ayudar a transmitir la palabra y hacer que WordPress sea más seguro para todos.
El contenido del informe del 13 de octubre de 2021
¿Le gustaría que este informe se entregue en su casilla de correo electrónico cada semana?
Suscríbete al correo electrónico semanal
Las vulnerabilidades básicas de WordPress
La última versión de WordPress Nucleus es 5.8.1 se ha lanzado como una versión de seguridad y mantenimiento. Como la mejor práctica, ¡siempre asegúrese de ejecutar la última versión básica de WordPress!
Vulnerabilidades en el complemento de WordPress
En esta sección, se revelaron las últimas vulnerabilidades del complemento de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de la versión, si se corrige el grado de gravedad.
1. El botón de luz de PayPal es compra ahora

Plugin: el botón PayPal ligeramente ahora compra vulnerabilidad: CSRF en scripts almacenados entre sitios parcheados: 1.7.3 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.7.3.
2. Eventos simplificados

Plugin: Vulnerabilidad de eventos simplificados: Administrador+ Escrituras entre sitios almacenados parcheados en la versión: 2.2.24 Puntuación de gravedad: la disminución se correge, por lo que debe actualizarse a la versión 2.2.24.
3. BP mejores mensajes
Plugin: BP Mejores mensajes Vulnerabilidad: Escrituras reflejadas entre sitios parcheados en la versión: 1.9.9.41 Puntuación de gravedad: alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.9.9.41.
Plugin: BP Mejores mensajes Vulnerabilidad: CSRF múltiples parcheado en la versión: 1.9.9.41 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.9.9.41.
4. Temify Builder
Plugin: Itmify Vulnerabilidad del constructor: Escrituras reflejadas entre sitios parchados en la versión: 5.3.2 Puntuación de gravedad: alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.3.2.
5. Encabezado de vencimiento del futuro lejano
Complemento: encabezado de vencimiento de la vulnerabilidad futura distante: actualice la configuración del complemento a través de CSRF parcheado en la versión: 1.5 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.5.
6. Control de fuente de imagen
Complemento: vulnerabilidad de control de fuente de imagen: contribuyente+ modificación arbitraria de metavalo de publicación parcheado en la versión: 2.3.1 Puntuación de gravedad: medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.3.1.
7. Slider de logotipo y exhibición
Plugin: Slider de logotipo y vulnerabilidad de exhibición: Configuración de actualización para el editor parcheado en la versión: 1.3.37 Puntuación de gravedad: Low

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.3.37.8. Puerga de pago de cardiatías para WoCommerce
Plugin: Vulnerabilidad de la Vulnerabilidad de WooCommerce: Escrituras reflejadas entre sitios parcheados en la versión: 3.0.7 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.0.7.

9. reproductor de audio mp3 para música, radio y podcast de Sonar
Plugin: reproductor de audio mp3 para música, radio y podcast de la vulnerabilidad de sonar: administración múltiple+ scripts cruzados parcheados en: 2.4.2 Puntuación de gravedad: Low
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.4.2.

10. Donación de PayPal
Plugin: donación Vulnerabilidad de PayPal: CSRF en la publicación de deleción arbitraria parcheada en la versión: 1.3.1 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.3.1.

Plugin: PayPal Donation Vulnerabilidad: CSRF en scripts almacenados entre sitios parcheados en la versión: 1.3.1 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.3.1.
11. Pronto en el modo de construcción y mantenimiento de Dazzler
Plugin: pronto, en la construcción y mantenimiento de la vulnerabilidad de Dazzler: Administrador+ Escrituras entre sitios almacenados parcheados: 1.6.7 Puntuación de gravedad: bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.6.7.

12. Traducir WordPress – Google Language Translator
Plugin: Traducir la vulnerabilidad del traductor de lenguaje de WordPress-Google: Administrador+ Escrituras entre sitios almacenados parcheados en: 6.0.12 Puntuación de gravedad: SCATVulnerabilidad se corrige, por lo que debe actualizarse a la versión 6.0.12.
13. Product Assistant Booking.com Plugin: Product Assistant Booking.com Vulnerabilidad: Administrador+ scripts entre sitios almacenados corregidos en la versión: No se conoce la puntuación del complemento cerrado de remedio: Low

Esta vulnerabilidad no ha sido corregida. Este complemento ha estado cerrado desde el 18 de agosto de 2021. Desinstalar y eliminar.
14. Creador de Banners Booking.com Plugin: Booking.com Banner Creador Vulnerabilidad: Administrador+ scripts entre sitios almacenados corregidos en la versión: no se conoce la puntuación del complemento cerrado con remedio: Low
Esta vulnerabilidad no ha sido corregida. Este complemento ha estado cerrado desde el 18 de agosto de 2021. Desinstalar y eliminar.
15. Monitor de descarga simple
Plugin: Vulnerabilidad simple del monitor de descarga: restablecimiento no autorizado del diario parchado en la versión: 3.9.6 Puntuación de gravedad: Medio ambiente
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.9.6.
Plugin: Vulnerabilidad del monitor de descarga simple: eliminación arbitraria parcheada en la versión: 3.9.6 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.9.6.
Plugin: Vulnerabilidad del monitor de descarga simple: acceso no autorizado a la versión de inicio de sesión parcheado: 3.9.6 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.9.6.
Plugin: Vulnerabilidad simple del monitor de descarga: Escrituras reflejadas entre sitios parchados en la versión: 3.9.5 Puntuación de gravedad: Se corrige la marvulnerabilidad, por lo que debe actualizarse a la versión 3.9.5.
Plugin: Vulnerabilidad de monitor de descarga simple: contribuyente+ archivo parchado de almacenamiento de secuencias de comandos de sitios en la versión: 3.9.5 Puntuación de gravedad: alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.9.5.
16. Chat bidireccional
Plugin: Vulnerabilidad de chat bidireccional: CSRF múltiples parcheado en la versión: 3.1.5 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.1.5.
Plugin: Vulnerabilidad de chat bidireccional: Admin+ incluyendo el parche local en la versión: 3.1.5 Puntuación de gravedad: Low
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.1.5.

17. WP-RECALL
Plugin: WP-RECALL Vulnerabilidad: Escrituras reflejadas entre sitios parcheados en la versión: 16.24.48 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 16.24.48.
18. Jobsearch WP Plugin de la Junta de Trabajo: Jobsearch WP Vulnerabilidad de la junta de trabajo: suscriptor+ opciones de arbitraje de actualización parcheadas en la versión: 1.8.2 Puntuación de gravedad: Alto
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.8.2.

Plugin: Jobsearch WP Vulnerabilidad de la Junta de Trabajo: actualización de la configuración del complemento no autorizado en la versión: 1.8.2 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.8.2.
Plugin: Jobsearch WP Job de trabajo Vulnerabilidad: suscriptor+ programación de llamadas parchadas de adición/actualización en la versión: 1.8.2 Puntuación de gravedad: el medio se correge, por lo que debe actualizarse a la versión 1.8.2.
19. El complemento de comercio de comercio de compra de la canasta de compras: el carrito de compras thecartpress de comercio electrónico vulnerabilidad: CSRF en los scripts almacenados entre sitios corregidos en la versión: no se conoce remedios cerrados de complemento cerrado: alto
Esta vulnerabilidad no ha sido corregida. Este complemento se ha cerrado desde el 5 de octubre de 2021. Desinstalar y eliminar.
20. Mstore API Plugin: Mstore API Vulnerabilidad: Carga del archivo PHP corregido en la versión: No hay remedio conocido – Puntuación de gravedad del complemento cerrado: crítico
Esta vulnerabilidad no ha sido corregida. Este complemento se ha cerrado desde el 5 de octubre de 2021. Desinstalar y eliminar.
21. Archivo multimedia transmitido: renumación automática y manual
Plugin: Renamamiento de archivos multimedia: vulnerabilidad automática y manual de renoración: Título de medios/nombre de archivo/Actualización del estado de iluminación parcheado en la versión: 5.2.7 Puntuación de gravedad: entorno
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.2.7.
22. Lote Cat Clugin: Lot Cat Vulnerabilidad: suscriptor+ categorías arbitrarias Agregar/establecer/eliminar en las publicaciones corregidas en la versión: sin remedios conocidos – Puntuación de complemento cerrado: Medio
Esta vulnerabilidad no ha sido corregida. Este complemento ha sido cerrado a partir del 24 de septiembre de 2021. Desinstalar y eliminar.
23. Plugin Qtraduce X: Qtranslate X Vulnerabilidad: Administración múltiple+ scripts entre sitios almacenados corregidos en la versión: no se ha corregido la versión conocida de complemento cerrado: baja vulnerabilidad. Este complemento ha estado cerrado desde el 31 de agosto de 2021. Desinstalar y eliminar.

24. Complemento de información de viaje mundial: Vulnerabilidad de información mundial de viajes: Escrituras reflejadas entre sitios corregidos en la versión: no se conoce el complemento cerrado de remedio: alto
Esta vulnerabilidad no ha sido corregida. Este complemento ha estado cerrado desde el 23 de septiembre de 2021. Desinstalar y eliminar.
25. Complemento del complemento de encuesta de WP: encuesta WP más vulnerabilidad: suscriptor+ llamadas de AJAX corregidas en la versión: No hay remedio conocido – Puntuación de gravedad del complemento cerrado: alto
Esta vulnerabilidad no ha sido corregida. Este complemento ha sido cerrado desde el 30 de septiembre de 2021. Desinstalar y eliminar.
26. Page WP Sitemap
Plugin: WP Page Sitemap Vulnerabilidad: Administrador+ Scripting Cross Sitio de almacenamiento Parcheado en la versión: No hay remedio conocido de gravedad: bajo
Esta vulnerabilidad no ha sido corregida. Desinstale y borre el complemento hasta que se libere un parche.
27. WP Bannerize 2.0.0 Complemento: WP Bannerize 2.0.0 Vulnerabilidad: inyección SQL corregida en la versión: sin remedio conocido – Puntuación de complemento cerrado: alto
Esta vulnerabilidad no ha sido corregida. Este complemento ha sido cerrado a partir del 19 de julio de 2021. Desinstalar y eliminar.
28. Genie WP Favicon
Plugin: Genie WP Favicon Vulnerabilidad: Modificación arbitraria de Favicon por CSRF corregido en la versión: No se conoce el remedio – Puntuación del complemento cerrado: este medio de vulnerabilidad no se ha corregido. Este complemento ha estado cerrado desde el 27 de agosto de 2021. Desinstalar y eliminar.

29. Phoenix Media Rename
Plugin: Phoenix Media Ren -Alame Vulnerabilidad: Renación arbitraria de medios parcheados en la versión: 3.4.4 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.4.4.
30. Estadísticas en tiempo real sobre el tráfico de los visitantes
Plugin: Estadísticas de tiempo real en los visitantes Vulnerabilidad de tráfico: Inyección de suscriptor+ SQL parcheado en la versión: 3.9 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.9.

31. ADDTONY BOTONES DE COMPAÑOS
Plugin: Addtoany compartiendo botones Vulnerabilidad: Administrador+ Escrituras entre sitios almacenados parcheados en: 1.7.48 Puntuación de gravedad: Bajo

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.7.48.
32. Formidable Former Builder
Plugin: formidable formulador de formularios Vulnerabilidad: Administrador+ Escrituras entre sitios almacenados parcheados: 5.0.07 Puntuación de gravedad: baja

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.0.07.
33. Seguridad a prueba de balas
Plugin: Vulnerabilidad de seguridad a prueba de balas: divulgación de información confidencial parcheada en la versión: 5.2 Puntuación de gravedad: entorno

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 5.2.
34. WP toda exportación
Plugin: WP All Vulnerabilidad de exportación: Administrador+ Escrituras entre sitios almacenados parcheados en: 1.3.1 Puntuación de gravedad: Se corrige Scatvulnerabilidad, por lo que debe actualizarse a la versión 1.3.1.

35. Redirige la página 404 de error a la página inicial o la página personalizada con las revistas del complemento: redirige la página de error 404 a la página inicial o la página personalizada con las revistas de vulnerabilidad: Eliminar el diario a través de CSRF parcheado: 1.7.9 Puntuación de gravedad: Promedio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.7.9.
36. Access Demoporter Complemento: Acceda a la vulnerabilidad del importador: suscriptor+ árbitro del archivo parcheado en la versión: 1.0.7 Puntuación de gravedad: Alto

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.0.7.
37. Descargar monitor
Plugin: Descargar Vulnerabilidad del monitor: Descarga desatendida de revistas parchadas en la versión: 1.9.7 Puntuación de gravedad: Medio

La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.9.7.
Plugin: Descargar Vulnerabilidad del monitor: reflejar el scripting de sitios cruzados (XSS) parcheado en la versión: 1.7.1 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.7.1.
Plugin: Descargar Vulnerabilidad del monitor: Lista de director autenticado parcheado en la versión: 1.6.4 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 1.6.4.
Plugin: descargar vulnerabilidad del monitor: múltiples scripts reflejados entre sitios parchados en: 3.3.6.2 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.3.6.2.38. Complemento de papas ilimitados: vulnerabilidad de los papas ilimitados: autor+ inyección SQL corregido en la versión: no se conoce la puntuación del complemento cerrado con remedio: alto

Esta vulnerabilidad no ha sido corregida. Este complemento ha sido cerrado a partir del 22 de junio de 2021. Desinstalar y eliminar.
39. Schreikasten Plugin: Schreikasten Vulnerabilidad: Autor+ inyecciones SQL corregidas en la versión: Sin remedio conocido – Puntuación de complemento cerrado: alto
Esta vulnerabilidad no ha sido corregida. Este complemento ha sido cerrado a partir del 21 de junio de 2021. Desinstalar y eliminar.
40. Post Content XMLRPC Complemento: Post XMLRPC Vulnerabilidad: Autor+ Inyecciones SQL Corregidos en la versión: Sin remedio conocido – Puntuación de complemento cerrado: Alto
Esta vulnerabilidad no ha sido corregida. Este complemento ha sido cerrado a partir del 21 de junio de 2021. Desinstalar y eliminar.
41. Formularios de complemento WOW: Formularios de vulnerabilidad de WOW: Autor+ Inyecciones SQL corregidas en la versión: Sin remedio conocido – Puntuación de complemento cerrado: alto
Esta vulnerabilidad no ha sido corregida. Este complemento ha sido cerrado a partir del 18 de junio de 2021. Desinstalar y eliminar.
42. Auto-Hyperlink Plugin: G Auto-Hyperlink Vulnerabilidad: Autor+ Inyección SQL Corregido en la versión: No se conoce el complemento de remedio cerrado: Medio
Esta vulnerabilidad no ha sido corregida. Este complemento ha sido cerrado a partir del 18 de junio de 2021. Desinstalar y eliminar.
43. Plugin CSS de camaleón: vulnerabilidad CSS de camaleón: inyección de suscriptores+ SQL corregido en la versión: sin remedio conocido – puntaje de complemento cerrado: se ha corregido la vulnerabilidad crítica. Este complemento ha sido cerrado a partir del 18 de junio de 2021. Desinstalar y eliminar.
44. Catálogo de plumín de araña: vulnerabilidad de SpiderCatalog: Autor+ Inyección SQL Corregido en la versión: Sin remedio conocido – Puntuación de complemento cerrado: Medio
Esta vulnerabilidad no ha sido corregida. Este complemento ha sido cerrado a partir del 18 de junio de 2021. Desinstalar y eliminar.
45. Consejo de soporte de complementos: Placa de soporte de vulnerabilidad: Agente+ Scripting de selección cruzada parcheada en la versión: 3.3.5 Puntuación de gravedad: Medio
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.3.5.
46. ​​La puerta de edad
Plugin: Vulnerabilidad de la puerta de edad: Escrituras entre sitios almacenados autenticados parcheados en la versión: 2.16.4 Puntuación de gravedad: Medio ambiente
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 2.16.4.
47. Publicaciones relacionadas con en línea
Plugin: Publicaciones relacionadas con la vulnerabilidad en línea: Administrador+ Scripting de sitio cruzado parcheado en la versión: 3.0.5 Puntuación de gravedad: Bajo
La vulnerabilidad se corrige, por lo que debe actualizarse a la versión 3.0.5.
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Como puede ver en este informe, cada semana se revelan muchos complementos y temas de WordPress cada semana. Sabemos que puede ser difícil mantenerse al día con cada revelación de las vulnerabilidades informadas, por lo que la seguridad de los complementos lo ayuda a asegurarse de que su sitio no ejecute un tema, complemento o un WordPress básico con vulnerabilidad conocida .1 .1. Escanee por vulnerabilidades conocidas de los sitios web Ithemes Security Pro Scans por la razón principal por la cual los sitios de WordPress están rotos: complementos y temas obsoletos con vulnerabilidades conocidas.
2. Actualización automática de versiones seguras La función de administrar el ITHEMS Security Pro está integrado con el escaneo del sitio para proteger su sitio. Los temas vulnerables, los conceptos básicos de WordPress y las versiones base se actualizarán automáticamente.
3. Los cambios en el monitor de cambios CHEIA para la identificación rápida de una violación de seguridad es monitorear los cambios de archivo en su sitio. La función de detección de detección de archivos escaneará los archivos de su sitio web y le advertirá cuando aparezcan los cambios en su sitio.
Obtenga iThems Security Pro con el monitoreo de su sitio web de seguridad de seguridad de WordPress las 24 horas, los 7 días de la semana, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio de vulnerabilidad de seguridad de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza sin procesar, aplicación de contraseña segura y más, puede agregar capas de seguridad adicionales a su sitio.

Escáner de sitios para vulnerabilidades de complementos y cambios temerosos en los archivos
El tablero de la seguridad del sitio en tiempo real
Revistas de seguridad de WordPress

Dispositivos de confianza
recaptcha
Protección con fuerza bruta
Autenticación con dos factores
Enlaces de inicio de sesión mágicos
El privilegio de la escalada
Verificación y rechazo de contraseñas comprometidas

Obtener ithemes Security Pro