Informe de vulnerabilidad de WordPress: diciembre de 2021, parte 1
Publicado: 2021-12-02Los complementos y temas vulnerables son la principal razón por la que los sitios web de WordPress son pirateados. El informe semanal de vulnerabilidades de WordPress impulsado por WPScan cubre las vulnerabilidades principales, el tema y los complementos de WordPress recientes, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.
Cada vulnerabilidad tendrá una clasificación de gravedad de Baja , Media , Alta o Crítica . La divulgación responsable y el informe de vulnerabilidades son una parte integral para mantener segura a la comunidad de WordPress.
Comparta esta publicación con sus amigos para ayudar a correr la voz y hacer que WordPress sea más seguro para todos.
Alojamiento de WordPress: GoDaddy hackeado
En una divulgación de seguridad publicada el 21 de noviembre de 2021, GoDaddy dice que hasta 1,2 millones de clientes activos e inactivos han estado expuestos después de que los piratas informáticos obtuvieran acceso a su plataforma de alojamiento administrada de WordPress.
Escribimos una publicación para desglosar algunos de los detalles del reciente ataque de GoDaddy, cómo afecta a los clientes y nuestras recomendaciones sobre qué hacer si es un cliente de alojamiento de WordPress en GoDaddy.
Vulnerabilidades del núcleo de WordPress
La última versión del núcleo de WordPress es 5.8.2. Como práctica recomendada, ¡siempre asegúrese de ejecutar la última versión del núcleo de WordPress!
Vulnerabilidades del complemento de WordPress
En esta sección, se han revelado las últimas vulnerabilidades de los complementos de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de versión si está parcheado y la calificación de gravedad.
1. Carrusel de logotipos
Complemento: carrusel de logotipos
Vulnerabilidad : secuencias de comandos almacenadas entre sitios de Contributor+
Parcheado en la versión : 3.4.2
Puntuación de gravedad : media
Complemento: carrusel de logotipos
Vulnerabilidad : acceso privado no autorizado a la publicación
Parcheado en la versión : 3.4.2
Puntuación de gravedad : media
2. Estado del pedido personalizado de Ni WooCommerce
Complemento: Estado del pedido personalizado de Ni WooCommerce
Vulnerabilidad : suscriptor + inyección SQL
Parcheado en la versión : 1.9.7
Puntuación de gravedad : alta
3. WCFM
Complemento : WCFM
Vulnerabilidad : inyección SQL no autenticada
Parcheado en la versión : 3.4.12
Puntuación de gravedad : alta
4. Formas del Everest
Complemento: formularios de Everest
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.8.0
Puntuación de gravedad : media
5. Estadísticas de visitantes de WP (tráfico en tiempo real)
Complemento: Estadísticas de visitantes de WP (tráfico en tiempo real)
Vulnerabilidad : suscriptor + inyección SQL
Parcheado en la versión : 4.8
Puntuación de gravedad : alta
6. Donaciones de felicitaciones
Complemento: Donaciones de felicitaciones
Vulnerabilidad : Eliminación de elementos arbitrarios a través de CSRF
Parcheado en la versión : 3.1.2
Puntuación de gravedad : alta
7. Heladograma
Complemento : Icegram
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 2.0.5
Puntuación de gravedad : media
8. Blog2Social
Complemento : Blog2Social
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 6.8.7
Puntuación de gravedad : alta
9. Membresías pagadas Pro
Complemento: Membresías pagadas Pro
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 2.6.6
Puntuación de gravedad : alta
10. Editor de roles de usuario de WPFront
Complemento : Editor de funciones de usuario de WPFront
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Versión parcheada: 3.2.1.11184
Puntuación de gravedad : media
11. Tickera
Complemento : Tickera
Vulnerabilidad : secuencias de comandos entre sitios almacenadas no autenticadas
Parcheado en la versión : 3.4.8.3
Puntuación de gravedad : alta
12. WP Guppy
Complemento: WP Guppy
Vulnerabilidad : Divulgación de información confidencial
Parcheado en la versión : 1.3
Puntuación de gravedad : alta
13. Inicio de sesión JWT simple
Complemento: inicio de sesión JWT simple
Vulnerabilidad : creación de contraseña no segura
Parcheado en la versión : 3.3.0
Puntuación de gravedad : baja
14. miCRED
Complemento : myCRED
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.7.8
Puntuación de gravedad : alta
15. Ocultar mi WP
Complemento: Ocultar mi WP
Vulnerabilidad : desactivación de complemento no autenticado
Parcheado en la versión : 6.2.4
Puntuación de gravedad : media
Complemento: Ocultar mi WP
Vulnerabilidad : inyección SQL no autenticada
Parcheado en la versión : 6.2.4
Puntuación de gravedad : alta
16. Impresionante soporte: WordPress HelpDesk y complemento de soporte
Complemento: Soporte impresionante - WordPress HelpDesk & Complemento de soporte
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 6.0.7
Puntuación de gravedad : alta
17. Mostrar metadatos de publicación
Complemento: mostrar metadatos de publicación
Vulnerabilidad : secuencias de comandos almacenadas entre sitios de Contributor+
Parcheado en la versión : 1.5.0
Puntuación de gravedad : media
18. Ícono flotante de redes sociales
Complemento: icono flotante de redes sociales
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : baja
19. Libro de visitas de Gwolle
Complemento : Libro de visitas de Gwolle
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 4.2.0
Puntuación de gravedad : media
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Como puede ver en este informe, cada semana se revelan muchas vulnerabilidades de plugins y temas de WordPress. Sabemos que puede ser difícil mantenerse al tanto de cada divulgación de vulnerabilidad informada, por lo que el complemento iThemes Security Pro facilita asegurarse de que su sitio no esté ejecutando un tema, complemento o versión principal de WordPress con una vulnerabilidad conocida.
1. Instale el complemento iThemes Security Pro
El complemento iThemes Security Pro fortalece su sitio de WordPress contra las formas más comunes en que los sitios web son pirateados. Con más de 30 formas de proteger su sitio en un complemento fácil de usar.
2. Habilite el escaneo del sitio para buscar vulnerabilidades conocidas
La función de gestión de versiones en iThemes Security Pro se integra con Site Scan para proteger su sitio. Los temas vulnerables, los complementos y las versiones principales de WordPress se actualizarán automáticamente para usted.
3. Activar la detección de cambio de archivo
La clave para detectar rápidamente una brecha de seguridad es monitorear los cambios de archivos en su sitio web. La función de detección de cambios de archivos en iThemes Security Pro escaneará los archivos de su sitio web y le avisará cuando ocurran cambios en su sitio web.
Obtenga iThemes Security Pro con monitoreo de seguridad del sitio web las 24 horas, los 7 días de la semana
iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, la autenticación de dos factores, la protección de fuerza bruta, la aplicación segura de contraseñas y más, puede agregar capas adicionales de seguridad a su sitio web.
