Informe de vulnerabilidad de WordPress: noviembre de 2021, parte 2
Publicado: 2021-11-10Los complementos y temas vulnerables son la principal razón por la que los sitios web de WordPress son pirateados. El informe semanal de vulnerabilidades de WordPress impulsado por WPScan cubre las vulnerabilidades principales, el tema y los complementos de WordPress recientes, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.
Cada vulnerabilidad tendrá una clasificación de gravedad de Baja , Media , Alta o Crítica . La divulgación responsable y el informe de vulnerabilidades son una parte integral para mantener segura a la comunidad de WordPress.
Comparta esta publicación con sus amigos para ayudar a correr la voz y hacer que WordPress sea más seguro para todos.
Vulnerabilidades del núcleo de WordPress
La última versión del núcleo de WordPress es 5.8.1. Como práctica recomendada, ¡siempre asegúrese de ejecutar la última versión del núcleo de WordPress!
Vulnerabilidades del complemento de WordPress
En esta sección, se han revelado las últimas vulnerabilidades de los complementos de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de versión si está parcheado y la calificación de gravedad.
1. Galería del concurso
Complemento: Galería de concursos
Vulnerabilidad : divulgación de la dirección de correo electrónico del suscriptor+
Parcheado en la versión : 13.1.0.7
Puntuación de gravedad : media
Complemento: Galería de concursos
Vulnerabilidad : Controles de acceso faltantes para inyección SQL no autenticada/divulgación de dirección de correo electrónico
Parcheado en la versión : 13.1.0.6
Puntuación de gravedad : alta
2. Revisar y registrar el correo electrónico
Complemento: Verificar y registrar correo electrónico
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.0.4
Puntuación de gravedad : alta
3. Administrador de PDF BSK
Complemento: BSK PDF Manager
Vulnerabilidad : administración + inyección SQL
Parcheado en la versión : 3.1.2
Puntuación de gravedad : media
4. Calculadora de costos con estilo
Complemento: Calculadora de costos con estilo
Vulnerabilidad : suscriptor + llamadas AJAX no autorizadas a XSS almacenado
Parcheado en la versión : 7.0.4
Puntuación de gravedad : alta
5. Página de la tienda WP
Complemento: Página de la tienda WP
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 1.2.8
Puntuación de gravedad : media
6. Ibtana – Complementos de productos de comercio electrónico
Complemento : Ibtana - Complementos de productos de comercio electrónico
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Versión parcheada: 0.2.4
Puntuación de gravedad : alta
7. Agregador RSS de WP
Complemento: Agregador WP RSS
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 4.19.2
Puntuación de gravedad : baja
8. Generar bloques
Complemento: GenerateBlocks
Vulnerabilidad : secuencias de comandos almacenadas entre sitios de Contributor+
Parcheado en la versión : 1.4.0
Puntuación de gravedad : media
9. Correo electrónico antes de la descarga
Complemento: correo electrónico antes de la descarga
Vulnerabilidad : administración + inyección SQL
Parcheado en la versión : 6.8
Puntuación de gravedad : media
10. mi crédito
Complemento : myCred
Vulnerabilidad : suscriptor + inyección SQL
Parcheado en la versión : 2.3
Puntuación de gravedad : alta
11. Google Maps Fácil
Complemento: Google Maps Fácil
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 1.10.1
Puntuación de gravedad : baja
12. Mi calendario
Complemento: Mi Calendario
Vulnerabilidad : secuencias de comandos entre sitios reflejadas por suscriptor+
Parcheado en la versión : 3.2.18
Puntuación de gravedad : media
13. Creador de formularios ARForms
Complemento : Creador de formularios ARForms
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 1.5
Puntuación de gravedad : baja
14. Herramientas WP DSGVO
Complemento : Herramientas WP DSGVO
Vulnerabilidad : Eliminación de publicación arbitraria no autenticada
Parcheado en la versión : 3.1.24
Puntuación de gravedad : alta
15. Importación de WP All
Complemento: WP All Import
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 3.6.3
Puntuación de gravedad : baja
16. Ocultar inicio de sesión de WPS
Complemento: WPS Ocultar inicio de sesión
Vulnerabilidad : Bypass de protección con Referer-Header
Parcheado en la versión : 1.9.1
Puntuación de gravedad : media
17. WP Fuentes de Google
Complemento: WP Google Fonts
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 3.1.5
Puntuación de gravedad : media
18. Administrador de eventos para WooCommerce
Complemento: Administrador de eventos para WooCommerce
Vulnerabilidad : Importación de plantilla de Elementor arbitrario no autenticado
Parcheado en la versión : 3.5.3
Puntuación de gravedad : media
Complemento: Administrador de eventos para WooCommerce
Vulnerabilidad : restablecimiento de opciones arbitrarias no autenticadas
Parcheado en la versión : 3.5.3
Puntuación de gravedad : alta
19. AutomatorWP
Complemento: AutomatorWP
Vulnerabilidad : Ausencia de autorización y escalada de privilegios
Parcheado en la versión : 1.7.6
Puntuación de gravedad : media
20. Logotipo deslizante y escaparate
Complemento: Logo Slider y Showcase
Vulnerabilidad : actualización de la configuración del complemento del editor
Parcheado en la versión : 1.3.37
Puntuación de gravedad : baja
21. Lista de precios con estilo
Complemento: lista de precios con estilo
Vulnerabilidad : carga de imágenes arbitrarias no autenticadas
Parcheado en la versión : 6.9.0
Puntuación de gravedad : media
Complemento: lista de precios con estilo
Vulnerabilidad : suscriptor + carga de imagen arbitraria
Parcheado en la versión : 6.9.1
Puntuación de gravedad : media
22. Depuración de WP
Complemento: Depuración de WP
Vulnerabilidad : actualización de la configuración del complemento no autenticado
Parcheado en la versión : 2.11.0
Puntuación de gravedad : media
23. Listado de hoteles
Complemento: listado de hoteles
Vulnerabilidad : secuencias de comandos entre sitios almacenadas autenticadas
Parcheado en la versión : 1.3.3
Puntuación de gravedad : media
24. Rastreador de correo electrónico
Complemento: rastreador de correo electrónico
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 5.2.6
Puntuación de gravedad : alta
25. Formulario de contacto de Supsystic
Complemento: Formulario de contacto de Supsystic
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 1.7.20
Puntuación de gravedad : baja
26. Menú del restaurante por MotoPress
Complemento: menú del restaurante por MotoPress
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 2.4.2
Puntuación de gravedad : baja
27. Redirección SEO
Complemento: Redirección SEO
Vulnerabilidad : suscriptor + inyección SQL
Parcheado en la versión : 8.2
Puntuación de gravedad : media
28. Tutor LMS
Complemento: Tutor LMS
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.9.11
Puntuación de gravedad : media
29. Formas Ninja
Complemento: Formas Ninja
Vulnerabilidad : administración + inyección SQL
Parcheado en la versión : 3.6.4
Puntuación de gravedad : media
30. Inscripciones para el Calendario de Eventos
Complemento: Registros para el calendario de eventos
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 2.7.5
Puntuación de gravedad : alta
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Como puede ver en este informe, cada semana se revelan muchas vulnerabilidades de plugins y temas de WordPress. Sabemos que puede ser difícil mantenerse al tanto de cada divulgación de vulnerabilidad informada, por lo que el complemento iThemes Security Pro facilita asegurarse de que su sitio no esté ejecutando un tema, complemento o versión principal de WordPress con una vulnerabilidad conocida.
1. Instale el complemento iThemes Security Pro
El complemento iThemes Security Pro fortalece su sitio de WordPress contra las formas más comunes en que los sitios web son pirateados. Con más de 30 formas de proteger su sitio en un complemento fácil de usar.
2. Habilite el escaneo del sitio para buscar vulnerabilidades conocidas
La función de gestión de versiones en iThemes Security Pro se integra con Site Scan para proteger su sitio. Los temas vulnerables, los complementos y las versiones principales de WordPress se actualizarán automáticamente para usted.
3. Supervisar los cambios de archivos
La clave para detectar rápidamente una brecha de seguridad es monitorear los cambios de archivos en su sitio web. La función de detección de cambios de archivos en iThemes Security Pro escaneará los archivos de su sitio web y le avisará cuando ocurran cambios en su sitio web.
Obtenga iThemes Security Pro con monitoreo de sitios web 24/7
iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, la autenticación de dos factores, la protección de fuerza bruta, la aplicación segura de contraseñas y más, puede agregar capas adicionales de seguridad a su sitio web.