Informe de vulnerabilidad de WordPress: diciembre de 2021, parte 4
Publicado: 2022-01-06Los complementos y temas vulnerables son la principal razón por la que los sitios web de WordPress son pirateados. El informe semanal de vulnerabilidades de WordPress impulsado por WPScan cubre las vulnerabilidades principales, el tema y los complementos de WordPress recientes, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.
Cada vulnerabilidad tendrá una clasificación de gravedad de Baja , Media , Alta o Crítica . La divulgación responsable y el informe de vulnerabilidades son una parte integral para mantener segura a la comunidad de WordPress. Nuevo en este informe: las vulnerabilidades ahora se enumeran en orden por el número de instalaciones activas, en lugar de la fecha de divulgación.
Comparta esta publicación con sus amigos para ayudar a correr la voz y hacer que WordPress sea más seguro para todos.
Vulnerabilidades del núcleo de WordPress
La última versión del núcleo de WordPress es 5.8.2. Como práctica recomendada, ¡siempre asegúrese de ejecutar la última versión del núcleo de WordPress!
Vulnerabilidades del complemento de WordPress
En esta sección, se han revelado las últimas vulnerabilidades de los complementos de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, las instalaciones activas, el número de versión si está parcheado y la clasificación de gravedad.
1. SEO todo en uno
Complemento: todo en uno SEO
Vulnerabilidad : inyección SQL autenticada
Instalación activa : más de 3 millones
Parcheado en la versión : 4.1.5.3
Puntuación de gravedad : alta
Complemento: todo en uno SEO
Vulnerabilidad : escalada de privilegios autenticado
Instalación activa : más de 3 millones
Parcheado en la versión : 4.1.5.3
Puntuación de gravedad : crítica
2. Feed de publicaciones sociales de Smash Balloon
Complemento: Smash Balloon Social Post Feed
Vulnerabilidad : secuencias de comandos entre sitios reflejadas autenticadas (XSS)
Instalación activa : 200,000+
Parcheado en la versión : 4.1.1
Puntuación de gravedad : media
3. Calendario de eventos moderno Lite
Complemento: Calendario de eventos moderno Lite
Vulnerabilidad : suscriptor + categoría Agregar líder a XSS almacenado
Instalación activa : 100,000+
Parcheado en la versión : 6.2.0
Puntuación de gravedad : media
4. MADERAS
Complemento : WOOCS
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : 60,000+
Parcheado en la versión : 1.3.7.3
Puntuación de gravedad : alta
5. Chat en vivo nítido
Complemento: Crisp Live Chat
Vulnerabilidad : CSRF a secuencias de comandos entre sitios almacenadas
Instalación activa : 60,000+
Versión parcheada : 0.32
Puntuación de gravedad : alta
6. Efectos de desplazamiento de imagen Ultimate
Complemento: Imagen Hover Effects Ultimate
Vulnerabilidad : actualización de opción arbitraria no autenticada
Instalación activa : más de 20 000
Parcheado en la versión : 9.7.0
Puntuación de gravedad : crítica
7. Sistema de reservas WP – Calendario de reservas
Complemento: Sistema de reservas WP - Calendario de reservas
Vulnerabilidad : secuencias de comandos entre sitios reflejadas autenticadas (XSS)
Instalación activa : 10,000+
Parcheado en la versión : 2.0.15
Puntuación de gravedad : media
8. Creador de páginas de destino
Complemento: Creador de páginas de destino
Vulnerabilidad : secuencias de comandos entre sitios reflejadas autenticadas (XSS)
Instalación activa : 10,000+
Parcheado en la versión : 1.4.9.6
Puntuación de gravedad : media
9. Análisis profundo
Complemento: Fathom Analytics
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Instalación activa : 2000+
Parcheado en la versión : 3.0.5
Puntuación de gravedad : baja
10. Verdadero clasificador
Complemento: True Ranker
Vulnerabilidad : Acceso a archivos arbitrarios no autenticados a través de Path Traversal
Instalación activa : más de 200
Parcheado en la versión : 2.2.4
Puntuación de gravedad : baja
Vulnerabilidades del complemento de WordPress: complemento cerrado
En esta sección, las últimas vulnerabilidades de los complementos de WordPress se han revelado en complementos cerrados. Cada lista de complementos incluye el tipo de vulnerabilidad, la calificación de gravedad y la fecha de cierre.
11. Motor de comentarios Pro
Complemento: Motor de comentarios Pro
Vulnerabilidad : secuencias de comandos entre sitios almacenadas en Editor+
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : baja
12. Redirección .htaccess
Complemento: redirección .htaccess
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : alta
13. Portal del Banco Parsiano para Woocommerce
Complemento: Parsian Bank Gateway para Woocommerce
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : alta
14. Verdadero WYSIWYG
Complemento: Real WYSIWYG
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : alta
15. Administrador de listas de enlaces
Complemento: Administrador de listas de enlaces
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : alta
16. Galería de imágenes sencillas
Complemento: Galería de imágenes simple
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : alta
17. WooCommerce EnvioPack
Complemento : WooCommerce EnvioPack
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : alta
18. Mensaje mágico de voz
Complemento: Magic Post Voice
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : alta
19. Editor CSS H5P
Complemento : Editor H5P CSS
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : alta
20. dúoPreguntas Frecuentes
Complemento : duoFAQ
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : alta
21. Mensaje mágico de voz
Complemento: Magic Post Voice
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : alta
22. Pasarela de pago myghpay de WooCommerce
Complemento : Pasarela de pago myghpay de WooCommerce
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : alta
Vulnerabilidades del complemento premium
En esta sección, se han revelado las últimas vulnerabilidades del complemento premium de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de versión si está parcheado y la calificación de gravedad.
23. Los complementos Plus para Elementor Pro
Complemento : los complementos Plus para Elementor – Pro
Vulnerabilidad : Divulgación de datos confidenciales
Parcheado en la versión : 5.0.7
Puntuación de gravedad : media
Complemento : los complementos Plus para Elementor – Pro
Vulnerabilidad : inyección SQL no autenticada
Parcheado en la versión : 5.0.7
Puntuación de gravedad : media
24. Vamos a boxear
Complemento: Lets Box
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.13.3
Puntuación de gravedad : media
25. Comparte una unidad
Complemento: Compartir una unidad
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.15.3
Puntuación de gravedad : media
26. Fuera de la caja
Complemento: fuera de la caja
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.20.3
Puntuación de gravedad : media
27. Usa tu unidad
Complemento: use su unidad
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.18.3
Puntuación de gravedad : media
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Como puede ver en este informe, cada semana se revelan muchas vulnerabilidades de plugins y temas de WordPress. Sabemos que puede ser difícil mantenerse al tanto de cada divulgación de vulnerabilidad informada, por lo que el complemento iThemes Security Pro facilita asegurarse de que su sitio no esté ejecutando un tema, complemento o versión principal de WordPress con una vulnerabilidad conocida.
1. Instale el complemento iThemes Security Pro
El complemento iThemes Security Pro fortalece su sitio de WordPress contra las formas más comunes en que los sitios web son pirateados. Con más de 30 formas de proteger su sitio en un complemento fácil de usar.
2. Habilite el escaneo del sitio para buscar vulnerabilidades conocidas
La función de gestión de versiones en iThemes Security Pro se integra con Site Scan para proteger su sitio. Los temas vulnerables, los complementos y las versiones principales de WordPress se actualizarán automáticamente para usted.
3. Activar la detección de cambio de archivo
La clave para detectar rápidamente una brecha de seguridad es monitorear los cambios de archivos en su sitio web. La función de detección de cambios de archivos en iThemes Security Pro escaneará los archivos de su sitio web y le avisará cuando ocurran cambios en su sitio web.
Obtenga iThemes Security Pro con monitoreo de seguridad del sitio web las 24 horas, los 7 días de la semana
iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, la autenticación de dos factores, la protección de fuerza bruta, la aplicación segura de contraseñas y más, puede agregar capas adicionales de seguridad a su sitio web.
