Informe de vulnerabilidad de WordPress: enero de 2022, parte 2
Publicado: 2022-01-12Los complementos y temas vulnerables son la principal razón por la que los sitios web de WordPress son pirateados. El informe semanal de vulnerabilidades de WordPress impulsado por WPScan cubre las vulnerabilidades principales, el tema y los complementos de WordPress recientes, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.
Cada vulnerabilidad tendrá una clasificación de gravedad de Baja , Media , Alta o Crítica . La divulgación responsable y el informe de vulnerabilidades son una parte integral para mantener segura a la comunidad de WordPress. Nuevo en este informe: las vulnerabilidades ahora se enumeran en orden por el número de instalaciones activas, en lugar de la fecha de divulgación.
¡ Comparta esta publicación con sus amigos para ayudar a correr la voz y hacer que WordPress sea más seguro para todos !
Vulnerabilidades del núcleo de WordPress
La última versión del núcleo de WordPress se lanzó el 6 de enero de 2022 como un lanzamiento de seguridad de ciclo corto. Debido a que WordPress 5.8.3 es una versión de seguridad, le recomendamos que actualice todos sus sitios de inmediato.
Puede actualizar a WordPress 5.8.3 descargándolo desde WordPress.org o visitando su panel de administración de WordPress > Actualizaciones y haciendo clic en Actualizar ahora .
Si tiene sitios que han habilitado actualizaciones automáticas en segundo plano, ya deberían haberse actualizado correctamente.
Núcleo de WordPress
Vulnerabilidad : Inyección SQL a través de WP_Query
Parcheado en la versión : 5.8.3
Explicación: debido a la falta de desinfección adecuada en WP_Meta_Query, existe la posibilidad de una inyección SQL ciega.
Vulnerabilidad : Author+ Stored XSS via Post Slugs
Parcheado en la versión : 5.8.3
Explicación: Los usuarios autenticados con pocos privilegios (como el autor) en el núcleo de WordPress pueden ejecutar JavaScript/realizar ataques XSS almacenados a través de slugs posteriores, lo que puede afectar a los usuarios con muchos privilegios.
Vulnerabilidad : Inyección de objeto Super Admin en multisitios
Parcheado en la versión : 5.8.3
Explicación: en un multisitio, los usuarios con función de superadministrador pueden omitir el endurecimiento explícito/adicional en determinadas condiciones a través de la inserción de objetos.
Vulnerabilidad : Inyección SQL a través de WP_Meta_Query
Parcheado en la versión : 5.8.3
Explicación: debido a la falta de desinfección adecuada en WP_Meta_Query, existe la posibilidad de una inyección SQL ciega.
Vulnerabilidades del complemento de WordPress
En esta sección, se han revelado las últimas vulnerabilidades de los complementos de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, las instalaciones activas, el número de versión si está parcheado y la clasificación de gravedad.
1. Soporte SVG
Complemento: Soporte SVG
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Instalación activa : 800,000+
Parcheado en la versión : 2.3.20
Puntuación de gravedad : baja
2. Limpieza de activos
Complemento: limpieza de activos
Vulnerabilidad : secuencias de comandos entre sitios reflejadas a través de la acción AJAX
Instalación activa : 100,000+
Parcheado en la versión : 1.3.8.5
Puntuación de gravedad : alta
Complemento: limpieza de activos
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : 100,000+
Parcheado en la versión : 1.3.8.5
Puntuación de gravedad : media
3. Membresías pagadas Pro
Complemento: Membresías pagadas Pro
Vulnerabilidad : Inyección SQL ciega no autenticada
Instalación activa : 100,000+
Parcheado en la versión : 2.6.7
Puntuación de gravedad : crítica
4. NextScripts: Auto-Póster en Redes Sociales
Complemento : NextScripts: Auto-Poster de Redes Sociales
Vulnerabilidad : eliminación arbitraria de publicaciones a través de CSRF
Instalación activa : 90,000+
Parcheado en la versión : 4.3.25
Puntuación de gravedad : media
Complemento : NextScripts: Auto-Poster de Redes Sociales
Vulnerabilidad : XSS almacenado no autenticado
Instalación activa : 90,000+
Parcheado en la versión : 4.3.25
Puntuación de gravedad : alta
5. Búsqueda de marfil
Complemento: búsqueda de marfil
Vulnerabilidad : secuencias de comandos almacenadas entre sitios de Contributor+
Instalación activa : 80,000+
Parcheado en la versión : 5.4.1
Puntuación de gravedad : alta
6. Alimentación social fácil
Complemento: Easy Social Feed
Vulnerabilidad : Cross-Site Scripting reflejado (XSS)
Instalación activa : 70,000+
Parcheado en la versión : 6.2.7
Puntuación de gravedad : alta
7. Editor visual de estilos CSS
Complemento: Editor de estilo Visual CSS
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : 50,000+
Parcheado en la versión : 7.5.4
Puntuación de gravedad : alta
8. Entradas de formulario de contacto
Complemento: entradas de formulario de contacto
Vulnerabilidad : secuencias de comandos entre sitios almacenadas no autenticadas
Instalación activa : 40,000+
Parcheado en la versión : 1.1.7
Puntuación de gravedad : alta
9. Administrador de cron avanzado
Complemento: Administrador de cron avanzado
Vulnerabilidad : suscriptor + eventos arbitrarios/creación/eliminación de horarios
Instalación activa : 30,000+
Parcheado en la versión : 2.4.2
Puntuación de gravedad : media
10. WPLegalPages
Complemento : WPLegalPages
Vulnerabilidad : suscriptor + actualización de configuración arbitraria para XSS almacenado
Instalación activa : más de 20 000
Parcheado en la versión : 2.7.1
Puntuación de gravedad : media
11. Estadísticas de visitantes de WP (tráfico en tiempo real)
Complemento: Estadísticas de visitantes de WP (tráfico en tiempo real)
Vulnerabilidad : suscriptor + inyección SQL
Instalación activa : más de 20 000
Parcheado en la versión : 4.8
Puntuación de gravedad : alta
12. Carpetas malvadas
Complemento: Carpetas malvadas
Vulnerabilidad : suscriptor + inyección SQL
Instalación activa : 10,000+
Parcheado en la versión : 2.8.10
Puntuación de gravedad : alta
13. Caramelo de apoyo
Complemento: SupportCandy
Vulnerabilidad : secuencias de comandos almacenadas entre sitios de Contributor+
Instalación activa : 10,000+
Parcheado en la versión : 2.2.7
Puntuación de gravedad : media
Complemento: SupportCandy
Vulnerabilidad : CSRF a Cross-Site Scripting
Instalación activa : 10,000+
Parcheado en la versión : 2.2.7
Puntuación de gravedad : media
Complemento: SupportCandy
Vulnerabilidad : eliminación arbitraria de tickets a través de CSRF
Instalación activa : 10,000+
Parcheado en la versión : 2.2.7
Puntuación de gravedad : alta
Complemento: SupportCandy
Vulnerabilidad : Eliminación arbitraria de tickets no autenticados
Instalación activa : 10,000+
Parcheado en la versión : 2.2.7
Puntuación de gravedad : alta
Complemento: SupportCandy
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : 10,000+
Parcheado en la versión : 2.2.7
Puntuación de gravedad : media
14. Reorganizar los productos de Woocommerce
Complemento : reorganizar los productos de Woocommerce
Vulnerabilidad : suscriptor + inyección SQL
Instalación activa : 10,000+
Parcheado en la versión : 3.0.8
Puntuación de gravedad : alta
15. Bloqueador de países IP2Location
Complemento : Bloqueador de países IP2Location
Vulnerabilidad : Prohibición arbitraria de países a través de CSRF
Instalación activa : 10,000+
Parcheado en la versión : 2.26.6
Puntuación de gravedad : media
Complemento : Bloqueador de países IP2Location
Vulnerabilidad : suscriptor + prohibición arbitraria de país
Instalación activa : 10,000+
Parcheado en la versión : 2.26.6
Puntuación de gravedad : media
Complemento : Bloqueador de países IP2Location
Vulnerabilidad : Bypass de prohibición
Instalación activa : 10,000+
Parcheado en la versión : 2.26.6
Puntuación de gravedad : media
16. Impresionante soporte: WordPress HelpDesk y complemento de soporte
Complemento: soporte impresionante - Titan Framework
Vulnerabilidad : Cross-Site Scripting reflejado (XSS)
Instalación activa : 10,000+
Parcheado en la versión : 6.0.11
Puntuación de gravedad : alta
17. Catálogo de productos definitivo
Complemento: Catálogo de productos definitivo
Vulnerabilidad : suscriptor + creación arbitraria de productos y actualización de configuraciones
Instalación activa : 10,000
Parcheado en la versión : 5.0.26
Puntuación de gravedad : media
18. Incrustador de documentos
Complemento : Incrustador de documentos
Vulnerabilidad : Suscriptor + Divulgación de título de publicación arbitraria privada/borrador
Instalación activa : 9,000+
Parcheado en la versión : 1.7.9
Puntuación de gravedad : media
Complemento : Incrustador de documentos
Vulnerabilidad : Divulgación del título de la publicación/borrador arbitrario no autenticado
Instalación activa : 9,000+
Parcheado en la versión : 1.7.9
Puntuación de gravedad : media
19. RVM: mapas de vectores receptivos
Complemento: RVM - Mapas vectoriales receptivos
Vulnerabilidad : suscriptor + lectura de archivo arbitrario
Instalación activa : 6,000+
Parcheado en la versión : 6.4.2
Puntuación de gravedad : alta
20. Mediamática
Complemento : Mediamatic
Vulnerabilidad : suscriptor + inyección SQL
Instalación activa : más de 3000
Parcheado en la versión : 2.8.1
Puntuación de gravedad : alta
21. Woopra
Complemento : Woopra
Vulnerabilidad : carga de archivos arbitrarios no autenticados
Instalación activa : más de 2000
Parcheado en la versión : 1.4.3.2
Puntuación de gravedad : crítica
22. Administrador de acceso de derechos de usuario
Complemento: Administrador de acceso de derechos de usuario
Vulnerabilidad : omisión de restricción de acceso
Instalación activa : 900+
Parcheado en la versión : 1.0.8
Puntuación de gravedad : media
23. Botón YuMoney
Complemento : botón YuMoney – Titan Framework
Vulnerabilidad : Cross-Site Scripting reflejado (XSS)
Instalación activa : 900+
Parcheado en la versión : 2.4.0
Puntuación de gravedad : alta
24. Integración de TrustMate.io para WooCommerce
Complemento : integración de TrustMate.io para WooCommerce
Vulnerabilidad : actualización de la configuración del complemento arbitrario de Subscriber+
Instalación activa : 300+
Parcheado en la versión : 1.8.12
Puntuación de gravedad : alta
Complemento : integración de TrustMate.io para WooCommerce
Vulnerabilidad : Suscriptor + Actualización de opción arbitraria de blog
Instalación activa : 300+
Parcheado en la versión : 1.7.1
Puntuación de gravedad : alta
25. Verdadero clasificador
Complemento: True Ranker
Vulnerabilidad : Acceso a archivos arbitrarios no autenticados a través de Path Traversal
Instalación activa : 300+
Parcheado en la versión : 2.2.4
Puntuación de gravedad : alta
26. Web Hotelero para WordPress
Complemento : WebHotelier para WordPress – Titan Framework
Vulnerabilidad : Cross-Site Scripting reflejado (XSS)
Instalación activa : más de 200
Parcheado en la versión : 1.6.1
Puntuación de gravedad : alta
Vulnerabilidades del complemento premium
En esta sección, se han revelado las últimas vulnerabilidades del complemento premium de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de versión si está parcheado y la calificación de gravedad.
27. Administrador avanzado de cron Pro
Complemento: Advanced Cron Manager Pro
Vulnerabilidad : suscriptor + eventos arbitrarios/creación/eliminación de horarios
Parcheado en la versión : 2.5.3
Puntuación de gravedad : media
Vulnerabilidades del complemento de WordPress: ninguna solución conocida
En esta sección, las últimas vulnerabilidades de los complementos de WordPress se han revelado en complementos cerrados. Cada lista de complementos incluye el tipo de vulnerabilidad, la calificación de gravedad y la fecha de cierre.
28. Formulario de contacto 7 aspectos
Complemento: formulario de contacto 7 máscaras
Vulnerabilidad : Cross-Site Scripting reflejado (XSS)
Instalación activa : 30,000+
Parcheado en la versión : sin solución conocida
Puntuación de gravedad : media
29. Woo Rockets Nitro
Complemento : WooRockets Nitro
Vulnerabilidad : instalación de complemento arbitrario no autenticado
Parcheado en la versión : sin solución conocida
Puntuación de gravedad : crítica
30. Afiliado de Amazon
Complemento: afiliado de Amazon
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : sin solución conocida
Puntuación de gravedad : media
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Como puede ver en este informe, cada semana se revelan muchas vulnerabilidades de plugins y temas de WordPress. Sabemos que puede ser difícil mantenerse al tanto de cada divulgación de vulnerabilidad informada, por lo que el complemento iThemes Security Pro facilita asegurarse de que su sitio no esté ejecutando un tema, complemento o versión principal de WordPress con una vulnerabilidad conocida.
1. Instale el complemento iThemes Security Pro
El complemento iThemes Security Pro fortalece su sitio de WordPress contra las formas más comunes en que los sitios web son pirateados. Con más de 30 formas de proteger su sitio en un complemento fácil de usar.
2. Habilite el escaneo del sitio para buscar vulnerabilidades conocidas
La función de gestión de versiones en iThemes Security Pro se integra con Site Scan para proteger su sitio. Los temas vulnerables, los complementos y las versiones principales de WordPress se actualizarán automáticamente para usted.
3. Activar la detección de cambio de archivo
La clave para detectar rápidamente una brecha de seguridad es monitorear los cambios de archivos en su sitio web. La función de detección de cambios de archivos en iThemes Security Pro escaneará los archivos de su sitio web y le avisará cuando ocurran cambios en su sitio web.
Obtenga iThemes Security Pro con monitoreo de seguridad del sitio web las 24 horas, los 7 días de la semana
iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, la autenticación de dos factores, la protección de fuerza bruta, la aplicación segura de contraseñas y más, puede agregar capas adicionales de seguridad a su sitio web.
