Informe de vulnerabilidad de WordPress: noviembre de 2021, parte 3

Publicado: 2021-11-20

Los complementos y temas vulnerables son la principal razón por la que los sitios web de WordPress son pirateados. El informe semanal de vulnerabilidades de WordPress impulsado por WPScan cubre las vulnerabilidades principales, el tema y los complementos de WordPress recientes, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.

Cada vulnerabilidad tendrá una clasificación de gravedad de Baja , Media , Alta o Crítica . La divulgación responsable y el informe de vulnerabilidades son una parte integral para mantener segura a la comunidad de WordPress.

Comparta esta publicación con sus amigos para ayudar a correr la voz y hacer que WordPress sea más seguro para todos.

¿Quiere recibir este informe en su bandeja de entrada cada semana?
Suscríbete al correo electrónico semanal

Vulnerabilidades del núcleo de WordPress

La última versión del núcleo de WordPress es 5.8.2. Como práctica recomendada, ¡siempre asegúrese de ejecutar la última versión del núcleo de WordPress!

1. WordPress

Vulnerabilidad : Certificado DST Root CA X3 caducado
Parcheado en la versión : 5.8.2
Explicación: el archivo wp-includes/certificates/ca-bundle.crt contiene un DST Root CA X3 que expiró el 30 de septiembre de 2021, lo que generó una advertencia de seguridad en algunos casos.

La vulnerabilidad ha sido reparada, así que asegúrese de estar ejecutando WordPress 5.8.2.

Vulnerabilidades del complemento de WordPress

En esta sección, se han revelado las últimas vulnerabilidades de los complementos de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de versión si está parcheado y la calificación de gravedad.

1. Inscripciones al Calendario de Eventos

Complemento: Registros para el Calendario de Eventos
Vulnerabilidad : inyección SQL no autenticada
Parcheado en la versión : 2.7.6
Puntuación de gravedad : alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.7.6.

2. Iniciar sesiónWP

Complemento : LoginWP
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 3.0.0.5
Puntuación de gravedad : alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 3.0.0.5.

3. Cambiador de moneda de WooCommerce

Complemento: Cambiador de moneda de WooCommerce
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.3.7.1
Puntuación de gravedad : media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.3.7.1.

4. Protección de contenido de copia segura y bloqueo de contenido

Complemento: protección de contenido de copia segura y bloqueo de contenido
Vulnerabilidad : divulgación de la dirección de correo electrónico del suscriptor+
Parcheado en la versión : 2.8.2
Puntuación de gravedad : alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.8.2.

5. libro

Complemento : Bookly
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por un miembro del personal
Parcheado en la versión : 20.3.1
Puntuación de gravedad : media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 20.3.1.

6. Registro de correo electrónico

Complemento: registro de correo electrónico
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 2.4.8
Puntuación de gravedad : alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.4.8.

7. Tawk.to chat en vivo

Complemento : Tawk.to Chat en vivo
Vulnerabilidad : Suscriptor + Monitoreo de visitantes y eliminación de chat
Parcheado en la versión : 0.6.0
Puntuación de gravedad : alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 0.6.0.

8. Acceso a datos de WP

Complemento: Acceso a datos WP
Vulnerabilidad : administración + inyección SQL
Parcheado en la versión : 5.0.0
Puntuación de gravedad : alta

La vulnerabilidad está parcheada, por lo que debe actualizar a la versión 5.0.0.

9. Visor de PDF.js

Complemento : Visor de PDF.js
Vulnerabilidad : secuencias de comandos almacenadas entre sitios de Contributor+
Parcheado en la versión : 2.0.2
Puntuación de gravedad : media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.0.2.

10. Copia de seguridad y restauración

Complemento: copia de seguridad y restauración
Vulnerabilidad : Admin+ Eliminación arbitraria de archivos
Parcheado en la versión : sin solución conocida
Puntuación de gravedad : media

Esta vulnerabilidad NO ha sido parcheada. Desinstale y elimine el complemento hasta que se publique un parche.

11. Aprende Prensa

Complemento : LearnPress
Vulnerabilidad : administración + inyección SQL
Parcheado en la versión : 4.1.4
Puntuación de gravedad : media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 4.1.4.

12. Obtenga valores de campo personalizados

Complemento: obtener valores de campo personalizados
Vulnerabilidad : secuencias de comandos almacenadas entre sitios de Contributor+
Parcheado en la versión : 4.0.1
Puntuación de gravedad : media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 4.0.1.

13. Paquete de reserva

Complemento: Paquete de reserva
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.5.11
Puntuación de gravedad : media

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.5.11.

14. Calificación del botón Me gusta

Complemento: Calificación del botón Me gusta
Vulnerabilidad : Exportación no autorizada de votos a correo electrónico y divulgación de direcciones IP
Parcheado en la versión : 2.6.38
Puntuación de gravedad : alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.6.38.

15. Formas de caldera

Complemento: Formas de Caldera
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 1.9.5
Puntuación de gravedad : baja

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.9.5.

16. Plantillas de inicio

Complemento: plantillas de inicio
Vulnerabilidad : Contributor+ Importación de bloque a XSS almacenado
Parcheado en la versión : 2.7.1
Puntuación de gravedad : alta

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 2.7.1.

17. Formulario de contacto Correo electrónico

Complemento: Formulario de contacto Correo electrónico
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 1.3.25
Puntuación de gravedad : baja

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.3.25.

18. Galería de videos – Galería de Vimeo y YouTube

Complemento: Galería de videos – Galería de Vimeo y YouTube
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 1.1.5
Puntuación de gravedad : baja

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 1.1.5.

19. Publicaciones populares de WordPress

Complemento: Publicaciones populares de WordPress
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 5.3.4
Puntuación de gravedad : baja

La vulnerabilidad está parcheada, por lo que deberías actualizar a la versión 5.3.4.

Cómo proteger su sitio web de WordPress de complementos y temas vulnerables

Como puede ver en este informe, cada semana se revelan muchas vulnerabilidades de plugins y temas de WordPress. Sabemos que puede ser difícil mantenerse al tanto de cada divulgación de vulnerabilidad informada, por lo que el complemento iThemes Security Pro facilita asegurarse de que su sitio no esté ejecutando un tema, complemento o versión principal de WordPress con una vulnerabilidad conocida.

1. Instale el complemento iThemes Security Pro

El complemento iThemes Security Pro fortalece su sitio de WordPress contra las formas más comunes en que los sitios web son pirateados. Con más de 30 formas de proteger su sitio en un complemento fácil de usar.

2. Habilite el escaneo del sitio para buscar vulnerabilidades conocidas

La función de gestión de versiones en iThemes Security Pro se integra con Site Scan para proteger su sitio. Los temas vulnerables, los complementos y las versiones principales de WordPress se actualizarán automáticamente para usted.

3. Supervisar los cambios de archivos

La clave para detectar rápidamente una brecha de seguridad es monitorear los cambios de archivos en su sitio web. La función de detección de cambios de archivos en iThemes Security Pro escaneará los archivos de su sitio web y le avisará cuando ocurran cambios en su sitio web.

Obtenga iThemes Security Pro con monitoreo de seguridad del sitio web las 24 horas, los 7 días de la semana

iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, la autenticación de dos factores, la protección de fuerza bruta, la aplicación segura de contraseñas y más, puede agregar capas adicionales de seguridad a su sitio web.

  • Escáner del sitio para vulnerabilidades de complementos y temas
  • Detección de cambio de archivo
  • Tablero de seguridad del sitio web en tiempo real
  • Registros de seguridad de WordPress
  • Dispositivos de confianza
  • reCAPTCHA
  • Protección de fuerza bruta
  • Autenticación de dos factores
  • Enlaces de inicio de sesión mágicos
  • Escalada de privilegios
  • Comprobación y rechazo de contraseñas comprometidas

Obtenga iThemes Security Pro