Informe de vulnerabilidad de WordPress: noviembre de 2021, parte 1

Publicado: 2021-11-03

Los complementos y temas vulnerables son la principal razón por la que los sitios web de WordPress son pirateados. El informe semanal de vulnerabilidades de WordPress impulsado por WPScan cubre las vulnerabilidades principales, el tema y los complementos de WordPress recientes, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.

Cada vulnerabilidad tendrá una clasificación de gravedad de Baja , Media , Alta o Crítica . La divulgación responsable y el informe de vulnerabilidades son una parte integral para mantener segura a la comunidad de WordPress.

Comparta esta publicación con sus amigos para ayudar a correr la voz y hacer que WordPress sea más seguro para todos.

¿Quiere recibir este informe en su bandeja de entrada cada semana?
Suscríbete al correo electrónico semanal

Vulnerabilidades del núcleo de WordPress

La última versión del núcleo de WordPress es 5.8.1. Como práctica recomendada, ¡siempre asegúrese de ejecutar la última versión del núcleo de WordPress!

Vulnerabilidades del complemento de WordPress

En esta sección, se han revelado las últimas vulnerabilidades de los complementos de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de versión si está parcheado y la calificación de gravedad.

1. Comentarios más

Complemento: Reseñas Plus
Vulnerabilidad : Suscriptor+ Reseñas DoS
Parcheado en la versión : 1.2.14
Puntuación de gravedad : baja

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.2.14.

2. Galería de diapositivas

Complemento: Galería de diapositivas
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 1.7.4
Puntuación de gravedad : baja

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.7.4.

3. Niño de MainWP

Complemento : MainWP Niño
Vulnerabilidad : administración + inyección SQL
Parcheado en la versión : 4.1.8
Puntuación de gravedad : media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 4.1.8.

4. Catálogo de productos de comercio electrónico para WordPress

Complemento: catálogo de productos de comercio electrónico para WordPress
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 3.0.39
Puntuación de gravedad : alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.0.39.

5. Falang multilenguaje para WordPress

Complemento: Falang multilenguaje para WordPress
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.3.18
Puntuación de gravedad : alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.3.18.

6. Administrador de lecciones en video

Complemento: Administrador de lecciones en video
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 1.7.2
Puntuación de gravedad : baja

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.7.2.

7. Revisión ortográfica de WP

Complemento: WP Corrector ortográfico
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 9.3
Puntuación de gravedad : alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 9.3.

8. Comercio electrónico: autenticación de dos factores

Complemento: comercio electrónico: autenticación de dos factores
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.0.5
Puntuación de gravedad : alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.0.5.

9. Cargador MAZ

Complemento: Cargador MAZ
Vulnerabilidad : eliminación arbitraria del cargador a través de CSRF
Parcheado en la versión : sin solución conocida
Puntuación de gravedad : alta

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

10. Puerta de edad

Complemento: puerta de edad
Vulnerabilidad : configuración de importación no autenticada
Parcheado en la versión : 2.17.1
Puntuación de gravedad : crítica

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.17.1.

11. Publicación duplicada

Complemento: publicación duplicada
Vulnerabilidad : inyección SQL autenticada
Parcheado en la versión : 1.2.0
Puntuación de gravedad : media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.2.0.

12. Notificación

Complemento: Notificación
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 8.0.0
Puntuación de gravedad : baja

La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 8.0.0.

13. Directorio de empresas de conexiones

Complemento: Directorio de empresas de conexiones
Vulnerabilidad : Inyección Admin+ CSV
Parcheado en la versión : 9.7
Puntuación de gravedad : media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 9.7.

14. Etiquetas multimedia

Complemento: etiquetas multimedia
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : baja

Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 28 de septiembre de 2021. Desinstale y elimine.

15. Acerca del cuadro de autor

Complemento: Acerca del cuadro de autor
Vulnerabilidad : secuencias de comandos almacenadas entre sitios de Contributor+
Parcheado en la versión : 1.0.2
Puntuación de gravedad : media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.0.2.

16. Suscripciones y Membresías para PayPal

Complemento: suscripciones y membresías para PayPal
Vulnerabilidad : secuencias de comandos entre sitios reflejadas a través del parámetro de página
Parcheado en la versión : 1.1.3
Puntuación de gravedad : alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.1.3.

17. Acepta donaciones con PayPal

Complemento: aceptar donaciones con PayPal
Vulnerabilidad : secuencias de comandos entre sitios reflejadas a través del parámetro de página
Parcheado en la versión : 1.3.1
Puntuación de gravedad : alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.3.1.

18. Eventos fáciles de PayPal

Complemento: Eventos fáciles de PayPal
Vulnerabilidad : secuencias de comandos entre sitios reflejadas a través del parámetro de página
Parcheado en la versión : 1.1.2
Puntuación de gravedad : alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.1.2.

19. Emerge cualquier cosa

Complemento: cualquier cosa emergente
Vulnerabilidad : secuencias de comandos almacenadas entre sitios de Contributor+
Parcheado en la versión : 2.0.4
Puntuación de gravedad : alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.0.4.

20. Administrador de trabajos JS

Complemento: Administrador de trabajos JS
Vulnerabilidad : instalación/activación de complementos arbitrarios no autenticados
Parcheado en la versión : 1.1.9
Puntuación de gravedad : crítica

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.1.9.

21. Cambio masivo de fecha y hora

Complemento: cambio masivo de fecha y hora
Vulnerabilidad : autorización faltante
Parcheado en la versión : 1.12
Puntuación de gravedad : media

La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 1.12.

22. Formas Ninja

Complemento: Formas Ninja
Vulnerabilidad : administración + inyección SQL
Parcheado en la versión : 3.6.4
Puntuación de gravedad : media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.6.4.

23. Exportación de archivos adjuntos de WP

Complemento : Exportación de archivos adjuntos WP
Vulnerabilidad : descarga de publicaciones no autenticadas
Versión parcheada: 0.2.4
Puntuación de gravedad : alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 0.2.4.

24. Control deslizante de texto de contenido en la publicación

Complemento: control deslizante de texto de contenido en la publicación
Vulnerabilidad : secuencias de comandos entre sitios almacenadas autenticadas (XSS)
Parcheado en la versión : 6.9
Puntuación de gravedad : media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 6.9.

25. Importador de demostración de HashThemes

Complemento : Importador de demostración de HashThemes
Vulnerabilidad : control de acceso inadecuado al restablecimiento del blog
Parcheado en la versión : 1.1.2
Puntuación de gravedad : crítica

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.1.2.

26. Inscripciones para el Calendario de Eventos

Complemento: Registros para el calendario de eventos
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 2.7.5
Puntuación de gravedad : alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.7.5.

27. Tablero Mang WP

Complemento: Mang Board WP
Vulnerabilidad : Inyección SQL
Parcheado en la versión : 1.6.9
Puntuación de gravedad : alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.6.9.

28. OptinMonster

Complemento : OptinMonster
Vulnerabilidad : puntos finales de REST-API desprotegidos
Parcheado en la versión : 2.6.5
Puntuación de gravedad : alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.6.5.

29. NextScripts: póster automático de redes sociales

Complemento : NextScripts: Auto-Poster de Redes Sociales
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 4.3.21
Puntuación de gravedad : alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 4.3.21.

30. Feed de publicaciones sociales de Smash Balloon

Complemento: Smash Balloon Social Post Feed
Vulnerabilidad : Suscriptor + Actualización de la configuración arbitraria del complemento a XSS almacenado
Parcheado en la versión : 4.0.1
Puntuación de gravedad : alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 4.0.1.

31. WP-Pro-Cuestionario

Complemento: WP-Pro-Quiz
Vulnerabilidad : eliminación arbitraria de cuestionarios a través de CSRF
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : media

Esta vulnerabilidad NO ha sido parcheada. Este complemento se cerró el 17 de julio de 2020. Desinstale y elimine.

32. Formulario de contacto de Supsystic

Complemento: Formulario de contacto de Supsystic
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : sin solución conocida
Puntuación de gravedad : baja

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

33. WP-Estadísticas

Complemento: WP-Estadísticas
Vulnerabilidad : CSRF a secuencias de comandos entre sitios almacenadas (XSS)
Parcheado en la versión : 2.52
Puntuación de gravedad : alta

Este complemento no ha sido probado con las últimas 3 versiones principales de WordPress. Es posible que ya no se mantenga o soporte y que tenga problemas de compatibilidad cuando se usa con versiones más recientes de WordPress.
Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

Cómo proteger su sitio web de WordPress de complementos y temas vulnerables

Como puede ver en este informe, cada semana se revelan muchas vulnerabilidades de plugins y temas de WordPress. Sabemos que puede ser difícil mantenerse al tanto de cada divulgación de vulnerabilidad informada, por lo que el complemento iThemes Security Pro facilita asegurarse de que su sitio no esté ejecutando un tema, complemento o versión principal de WordPress con una vulnerabilidad conocida.

1. Instale el complemento iThemes Security Pro

El complemento iThemes Security Pro fortalece su sitio de WordPress contra las formas más comunes en que los sitios web son pirateados. Con más de 30 formas de proteger su sitio en un complemento fácil de usar.

2. Habilite el escaneo del sitio para buscar vulnerabilidades conocidas

La función de gestión de versiones en iThemes Security Pro se integra con Site Scan para proteger su sitio. Los temas vulnerables, los complementos y las versiones principales de WordPress se actualizarán automáticamente para usted.

3. Supervisar los cambios de archivos

La clave para detectar rápidamente una brecha de seguridad es monitorear los cambios de archivos en su sitio web. La función de detección de cambios de archivos en iThemes Security Pro escaneará los archivos de su sitio web y le avisará cuando ocurran cambios en su sitio web.

Obtenga iThemes Security Pro con monitoreo de sitios web 24/7

iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, la autenticación de dos factores, la protección de fuerza bruta, la aplicación segura de contraseñas y más, puede agregar capas adicionales de seguridad a su sitio web.

  • Escáner del sitio para vulnerabilidades de complementos y temas
  • Detección de cambio de archivo
  • Tablero de seguridad del sitio web en tiempo real
  • Registros de seguridad de WordPress
  • Dispositivos de confianza
  • reCAPTCHA
  • Protección de fuerza bruta
  • Autenticación de dos factores
  • Enlaces de inicio de sesión mágicos
  • Escalada de privilegios
  • Comprobación y rechazo de contraseñas comprometidas

Obtenga iThemes Security Pro