Informe de vulnerabilidad de WordPress: enero de 2022, parte 1
Publicado: 2022-01-06Los complementos y temas vulnerables son la principal razón por la que los sitios web de WordPress son pirateados. El informe semanal de vulnerabilidades de WordPress impulsado por WPScan cubre las vulnerabilidades principales, el tema y los complementos de WordPress recientes, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.
Cada vulnerabilidad tendrá una clasificación de gravedad de Baja , Media , Alta o Crítica . La divulgación responsable y el informe de vulnerabilidades son una parte integral para mantener segura a la comunidad de WordPress. Nuevo en este informe: las vulnerabilidades ahora se enumeran en orden por el número de instalaciones activas, en lugar de la fecha de divulgación.
¡ Comparta esta publicación con sus amigos para ayudar a correr la voz y hacer que WordPress sea más seguro para todos !
Resumen del informe de vulnerabilidad de WordPress de 2021: 1263 vulnerabilidades reveladas; 98% Complementos
- En 2021, se revelaron un total de 1263 vulnerabilidades de complementos y temas. Las vulnerabilidades de los complementos de WordPress comprendieron el 98% de todas las vulnerabilidades que se informaron.
- Septiembre de 2021 vio la mayoría de las vulnerabilidades informadas, con un total de 323 vulnerabilidades reveladas solo en ese mes.
- Los tipos más comunes de vulnerabilidades de complementos revelados en 2021 fueron las secuencias de comandos entre sitios (XSS) y las inyecciones de SQL. La mayoría de los autores de complementos lanzaron parches, mientras que algunos complementos aún permanecen cerrados.
- Debido al aumento en las divulgaciones de vulnerabilidades, cambiamos la frecuencia del informe de vulnerabilidades a una vez por semana, en lugar de dos veces al mes.
- Gracias a sus comentarios, también comenzamos a enumerar divulgaciones de complementos en orden o instalaciones activas. También comenzamos a agrupar complementos por gratuitos y profesionales, con una sección separada para complementos cerrados y complementos sin solución conocida.
Vulnerabilidades del núcleo de WordPress
La última versión del núcleo de WordPress es 5.8.2. Como práctica recomendada, ¡siempre asegúrese de ejecutar la última versión del núcleo de WordPress!
Vulnerabilidades del complemento de WordPress
En esta sección, se han revelado las últimas vulnerabilidades de los complementos de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, las instalaciones activas, el número de versión si está parcheado y la clasificación de gravedad.
1. Corriente ascendente Plus
Complemento : UpdraftPlus
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : más de 3 millones
Versión parcheada: 1.16.569
Puntuación de gravedad : alta
Complemento : UpdraftPlus
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Instalación activa : más de 3 millones
Parcheado en la versión : 1.6.59
Puntuación de gravedad : baja
Complemento : UpdraftPlus
Vulnerabilidad : Admin+ Inclusión de archivos locales
Instalación activa : más de 3 millones
Parcheado en la versión : 1.16.59
Puntuación de gravedad : media
2. Convertidor WebP para medios
Complemento: convertidor WebP para medios
Vulnerabilidad : redirección abierta no autenticada
Instalación activa : 100,000+
Parcheado en la versión : 4.0.3
Puntuación de gravedad : media
3. WOOF – Filtro de productos para WooCommerce
Complemento: WOOF – Filtro de productos para WooCommerce
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : 100,000+
Parcheado en la versión : 1.2.6.3
Puntuación de gravedad : alta
4. Aprende Prensa
Complemento : LearnPress
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Instalación activa : 100,000+
Parcheado en la versión : 4.1.3.2
Puntuación de gravedad : media
5. Clon de página de publicación de WP
Complemento: Clon de página de publicación de WP
Vulnerabilidad : acceso no autorizado a la publicación
Instalación activa : 80,000+
Parcheado en la versión : 1.2
Puntuación de gravedad : media
6. Tipos de archivos adicionales de WP
Complemento: tipos de archivos adicionales de WP
Vulnerabilidad : CSRF a secuencias de comandos entre sitios almacenadas
Instalación activa : 50,000+
Parcheado en la versión : 0.5.1
Puntuación de gravedad : alta
7. Tutor LMS
Complemento: Tutor LMS
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por suscriptor+
Instalación activa : 40,000+
Parcheado en la versión : 1.9.12
Puntuación de gravedad : alta
Complemento: Tutor LMS
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : 40,000+
Parcheado en la versión : 1.9.12
Puntuación de gravedad : alta
8. Panel personalizado y página de inicio de sesión
Complemento: panel personalizado y página de inicio de sesión
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Instalación activa : 40,000+
Parcheado en la versión : 7.0
Puntuación de gravedad : media
9. Preguntas frecuentes definitivas
Complemento: Preguntas frecuentes definitivas
Vulnerabilidad : suscriptor + creación arbitraria de preguntas frecuentes
Instalación activa : 30,000+
Parcheado en la versión : 2.1.2
Puntuación de gravedad : media
10. Interfaz de usuario de WP
Complemento: interfaz de usuario de WP
Vulnerabilidad : Inyección SQL para secuencias de comandos entre sitios reflejadas
Instalación activa : 30,000+
Parcheado en la versión : 3.5.26
Puntuación de gravedad : alta
11. mi crédito
Complemento : myCred
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : más de 20 000
Parcheado en la versión : 2.4
Puntuación de gravedad : alta
12. Efectos de desplazamiento de imagen Ultimate
Complemento: Imagen Hover Effects Ultimate
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : más de 20 000
Parcheado en la versión : 9.7.1
Puntuación de gravedad : alta
13. Québec
Complemento : Qubely
Vulnerabilidad : suscriptor + creación arbitraria de preguntas frecuentes
Instalación activa : 10,000+
Parcheado en la versión : 1.7.8
Puntuación de gravedad : media
14. Registro mágico
Complemento: registro mágico
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : 10,000+
Parcheado en la versión : 5.0.1.9
Puntuación de gravedad : alta
15. Seguimiento de pedidos para WooCommerce
Complemento: seguimiento de pedidos para WooCommerce
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : 10,000+
Parcheado en la versión : 1.1.10
Puntuación de gravedad : alta
16. Biblioteca de enlaces
Complemento: Biblioteca de enlaces
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : 10,000+
Parcheado en la versión : 7.2.8
Puntuación de gravedad : media
Complemento: Biblioteca de enlaces
Vulnerabilidad : restablecimiento de la configuración de la biblioteca a través de CSRF
Instalación activa : 10,000+
Parcheado en la versión : 7.2.8
Puntuación de gravedad : media
Complemento: Biblioteca de enlaces
Vulnerabilidad : eliminación de enlaces arbitrarios no autenticados
Instalación activa : 10,000+
Parcheado en la versión : 7.2.8
Puntuación de gravedad : media
17. Compañero AF
Complemento : Compañero AF
Vulnerabilidad : instalación y activación de complementos arbitrarios a través de CSRF
Instalación activa : 9,000+
Parcheado en la versión : 1.2.0
Puntuación de gravedad : alta
18. Widget de lista de autores de KNR
Complemento: Widget de lista de autores de KNR
Vulnerabilidad : inyección SQL no autenticada
Instalación activa : más de 200
Parcheado en la versión : 3.0.0
Puntuación de gravedad : crítica
19. Información de usuario de cookies de WP
Complemento: información de usuario de la cookie WP
Vulnerabilidad : administración + inyección SQL
Instalación activa : más de 200
Parcheado en la versión : 1.0.9
Puntuación de gravedad : media
Vulnerabilidades del complemento de WordPress: complemento cerrado
En esta sección, las últimas vulnerabilidades de los complementos de WordPress se han revelado en complementos cerrados. Cada lista de complementos incluye el tipo de vulnerabilidad, la calificación de gravedad y la fecha de cierre.
20. Herramientas de laboratorio
Complemento : herramientas de laboratorio
Vulnerabilidad : suscriptor + eliminación arbitraria de publicación
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : media
21. Comprobación de dominio
Complemento: verificación de dominio
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : alta
22. Visor de registro de errores
Complemento: Visor de registro de errores
Vulnerabilidad : eliminación arbitraria de archivos de texto a través de CSRF
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : baja
23. Países visitados de WP recargados
Complemento: países visitados de WP recargados
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 3.1.1- complemento cerrado
Puntuación de gravedad : alta
24. Cursos de aprendizaje
Complemento: Cursos de aprendizaje
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 5.0 – complemento cerrado
Puntuación de gravedad : baja
25. Encuesta perfecta
Complemento: encuesta perfecta
Vulnerabilidad : Llamada AJAX no autorizada a XSS almacenado/Actualización de configuración de encuesta
Parcheado en la versión : 1.5.2 – complemento cerrado
Puntuación de gravedad : alta
Complemento: encuesta perfecta
Vulnerabilidad : llamada AJAX no autorizada a XSS almacenado/actualización de configuración de encuesta
Parcheado en la versión : 1.5.2 – complemento cerrado
Puntuación de gravedad : alta
Complemento: encuesta perfecta
Vulnerabilidad : inyección SQL no autenticada
Parcheado en la versión : 1.5.2 – complemento cerrado
Puntuación de gravedad : alta
Complemento: encuesta perfecta
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.5.2 – complemento cerrado
Puntuación de gravedad : alta
Complemento: encuesta perfecta
Vulnerabilidad : secuencias de comandos entre sitios almacenadas no autenticadas
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : alta
Vulnerabilidades del complemento de WordPress: ninguna solución conocida
En esta sección, las últimas vulnerabilidades de los complementos de WordPress se han revelado en complementos cerrados. Cada lista de complementos incluye el tipo de vulnerabilidad, la calificación de gravedad y la fecha de cierre.
26. Mediamática
Complemento : Mediamatic
Vulnerabilidad : suscriptor + inyección SQL
Instalación activa : más de 3000
Parcheado en la versión : sin solución conocida
Puntuación de gravedad : alta
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Como puede ver en este informe, cada semana se revelan muchas vulnerabilidades de plugins y temas de WordPress. Sabemos que puede ser difícil mantenerse al tanto de cada divulgación de vulnerabilidad informada, por lo que el complemento iThemes Security Pro facilita asegurarse de que su sitio no esté ejecutando un tema, complemento o versión principal de WordPress con una vulnerabilidad conocida.
1. Instale el complemento iThemes Security Pro
El complemento iThemes Security Pro fortalece su sitio de WordPress contra las formas más comunes en que los sitios web son pirateados. Con más de 30 formas de proteger su sitio en un complemento fácil de usar.
2. Habilite el escaneo del sitio para buscar vulnerabilidades conocidas
La función de gestión de versiones en iThemes Security Pro se integra con Site Scan para proteger su sitio. Los temas vulnerables, los complementos y las versiones principales de WordPress se actualizarán automáticamente para usted.
3. Activar la detección de cambio de archivo
La clave para detectar rápidamente una brecha de seguridad es monitorear los cambios de archivos en su sitio web. La función de detección de cambios de archivos en iThemes Security Pro escaneará los archivos de su sitio web y le avisará cuando ocurran cambios en su sitio web.
Obtenga iThemes Security Pro con monitoreo de seguridad del sitio web las 24 horas, los 7 días de la semana
iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, la autenticación de dos factores, la protección de fuerza bruta, la aplicación segura de contraseñas y más, puede agregar capas adicionales de seguridad a su sitio web.
