Informe de vulnerabilidad de WordPress: noviembre de 2021, parte 4
Publicado: 2021-11-25Los complementos y temas vulnerables son la principal razón por la que los sitios web de WordPress son pirateados. El informe semanal de vulnerabilidades de WordPress impulsado por WPScan cubre las vulnerabilidades principales, el tema y los complementos de WordPress recientes, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.
Cada vulnerabilidad tendrá una clasificación de gravedad de Baja , Media , Alta o Crítica . La divulgación responsable y el informe de vulnerabilidades son una parte integral para mantener segura a la comunidad de WordPress.
Comparta esta publicación con sus amigos para ayudar a correr la voz y hacer que WordPress sea más seguro para todos.
Alojamiento de WordPress: GoDaddy hackeado
En una divulgación de seguridad publicada el 21 de noviembre de 2021, GoDaddy dice que hasta 1,2 millones de clientes activos e inactivos han estado expuestos después de que los piratas informáticos obtuvieran acceso a su plataforma de alojamiento administrada de WordPress.
Escribimos una publicación para desglosar algunos de los detalles del reciente ataque de GoDaddy, cómo afecta a los clientes y nuestras recomendaciones sobre qué hacer si es un cliente de alojamiento de WordPress en GoDaddy.
Vulnerabilidades del núcleo de WordPress
La última versión del núcleo de WordPress es 5.8.2. Como práctica recomendada, ¡siempre asegúrese de ejecutar la última versión del núcleo de WordPress!
Vulnerabilidades del complemento de WordPress
En esta sección, se han revelado las últimas vulnerabilidades de los complementos de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de versión si está parcheado y la calificación de gravedad.
1. Pixel Gato Lite
Complemento: Pixel Cat Lite
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 2.6.3
Puntuación de gravedad : baja
Complemento: Pixel Cat Lite
Vulnerabilidad : CSRF a secuencias de comandos entre sitios almacenadas
Parcheado en la versión : 2.6.2
Puntuación de gravedad : alta
2. Galería todo en uno
Complemento: Galería todo en uno
Vulnerabilidad : Admin+ Inclusión de archivos locales
Parcheado en la versión : 2.5.0
Puntuación de gravedad : baja
3. Detener los robots malos
Complemento : StopBadBots
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Versión parcheada: 6.67
Puntuación de gravedad : crítica
4. Inicio de sesión temporal sin contraseña
Complemento: inicio de sesión temporal sin contraseña
Vulnerabilidad : actualización de la configuración del complemento Subscriber+
Parcheado en la versión : 1.7.1
Puntuación de gravedad : media
5. Prensa de perfil
Complemento: ProfilePress
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 3.2.3
Puntuación de gravedad : media
Complemento: ProfilePress
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 3.2.3
Puntuación de gravedad : alta
6. Calendario de eventos moderno
Complemento: calendario de eventos moderno
Vulnerabilidad : Inyección SQL ciega no autenticada
Parcheado en la versión : 6.1.5
Puntuación de gravedad : alta
Complemento: calendario de eventos moderno
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 6.1.5
Puntuación de gravedad : alta
7. Imagen destacada automática
Complemento: imagen destacada automática
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 3.9.3
Puntuación de gravedad : media
8. No seguir definitivo
Complemento : Ultimate NoFollow
Vulnerabilidad : secuencias de comandos almacenadas entre sitios de Contributor+
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : media
9. Formularios NEX
Complemento: Formularios NEX
Vulnerabilidad : secuencias de comandos almacenadas entre sitios múltiples Admin+
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : baja
10. Potenciador de SEO
Complemento: SEO Booster
Vulnerabilidad : administración + inyección SQL
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : media
11. Registro del sistema WP
Complemento: registro del sistema WP
Vulnerabilidad : secuencias de comandos entre sitios almacenadas no autenticadas
Parcheado en la versión : 1.0.21
Puntuación de gravedad : crítica
12. Rotador de citas inspiradoras
Complemento: Rotador de citas inspiradoras
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : baja
13. Exportador de publicación única
Complemento: Exportador de publicación única
Vulnerabilidad : actualización de la configuración del complemento a través de CSRF
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : media
14. Fuentes locales flexibles
Complemento: fuentes locales flexibles
Vulnerabilidad : administrador + secuencias de comandos entre sitios almacenadas
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : baja
15. Cambiador de logotipo de administrador de WP
Complemento: WP Admin Logo Changer
Vulnerabilidad : actualización de la configuración del complemento a través de CSRF
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : media
16. Base de datos avanzada del formulario de contacto
Complemento: Formulario de contacto Base de datos avanzada
Vulnerabilidad : llamadas AJAX no autorizadas
Parcheado en la versión : sin solución conocida
Puntuación de gravedad : media
17. Botones brillantes
Complemento: botones brillantes
Vulnerabilidad : secuencias de comandos entre sitios almacenadas no autenticadas
Parcheado en la versión : sin solución conocida
Puntuación de gravedad : alta
18. Galería de cartera de filtros
Complemento: Galería de cartera de filtros
Vulnerabilidad : eliminación arbitraria de la galería a través de CSRF
Parcheado en la versión : sin solución conocida
Puntuación de gravedad : media
19. Límites de WP
Complemento: Límites de WP
Vulnerabilidad : actualización de la configuración del complemento a través de CSRF
Parcheado en la versión : sin solución conocida
Puntuación de gravedad : media
20. Código abreviado de contenido de página/publicación
Complemento: código abreviado de página/contenido de publicación
Vulnerabilidad : Colaborador + Acceso arbitrario a publicaciones/páginas
Parcheado en la versión : sin solución conocida
Puntuación de gravedad : media
21. Página de inclusión mejorada
Complemento: Página de inclusión mejorada
Vulnerabilidad : Colaborador + Acceso arbitrario a publicaciones/páginas
Parcheado en la versión : sin solución conocida
Puntuación de gravedad : media
22. Mediamática
Complemento : Mediamatic
Vulnerabilidad : suscriptor + inyección SQL
Parcheado en la versión : sin solución conocida
Puntuación de gravedad : alta
23. Mostrar metadatos de publicación
Complemento: mostrar metadatos de publicación
Vulnerabilidad : secuencias de comandos almacenadas entre sitios de Contributor+
Parcheado en la versión : sin solución conocida
Puntuación de gravedad : media
24. Enlace hacia arriba
Complemento : ToTop Link
Vulnerabilidad : inyección de objetos PHP no autenticados
Parcheado en la versión : sin solución conocida
Puntuación de gravedad : media
25. Metacódigos cortos de usuario
Complemento: Metacódigos cortos de usuario
Vulnerabilidad : Contributor+ Acceso a metadatos de usuarios arbitrarios no autorizados
Parcheado en la versión : sin solución conocida
Puntuación de gravedad : alta
26. Colección de cotizaciones
Complemento: Colección de cotizaciones
Vulnerabilidad : administración + inyección SQL
Parcheado en la versión : sin solución conocida
Puntuación de gravedad : media
27. Notificaciones push para WordPress (Lite)
Complemento: notificaciones push para WordPress (Lite)
Vulnerabilidad : actualización de la configuración a través de CSRF
Parcheado en la versión : 6.0.1
Puntuación de gravedad : media
28. Prensa Deportiva
Complemento : SportsPress
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 2.7.9
Puntuación de gravedad : alta
29. Ventana emergente de inicio de sesión/registro
Complemento: ventana emergente de inicio de sesión/registro
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 2.2
Puntuación de gravedad : alta
30. Vista previa de correos electrónicos para WooCommerce
Complemento: Vista previa de correos electrónicos para WooCommerce
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 2.0.0
Puntuación de gravedad : media
31. Interfaz de usuario de WP
Complemento: interfaz de usuario de WP
Vulnerabilidad : complemento de membresía, perfil, registro y envío posterior para WordPress
Parcheado en la versión : 3.5.25
Puntuación de gravedad : media
32. Directorist - Complemento de directorio comercial
Complemento: Directorist - Complemento de directorio comercial
Vulnerabilidad : CSRF a carga remota de archivos
Parcheado en la versión : 7.0.6.2
Puntuación de gravedad : crítica
33. Formularios de registro fáciles
Complemento: formularios de registro fáciles
Vulnerabilidad : CSRF a secuencias de comandos entre sitios almacenadas
Parcheado en la versión : sin solución conocida
Puntuación de gravedad : alta
34. Restablecer WP Pro
Complemento: WP Reset Pro
Vulnerabilidad : suscriptor + restablecimiento de base de datos
Versión parcheada: 5.99
Puntuación de gravedad : crítica
Complemento: WP Reset Pro
Vulnerabilidad : restablecimiento de la base de datos a través de CSRF
Versión parcheada: 5.99
Puntuación de gravedad : crítica
35. WordPress + Microsoft Office 365
Complemento: WordPress + Microsoft Office 365
Vulnerabilidad : secuencias de comandos entre sitios almacenadas no autenticadas
Parcheado en la versión : 15.4
Puntuación de gravedad : crítica
36. Publicación duplicada
Complemento: publicación duplicada
Vulnerabilidad : inyección SQL autenticada
Parcheado en la versión : 1.2.0
Puntuación de gravedad : media
37. Migración de copia de seguridad
Complemento: Migración de copia de seguridad
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 1.1.6
Puntuación de gravedad : media
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Como puede ver en este informe, cada semana se revelan muchas vulnerabilidades de plugins y temas de WordPress. Sabemos que puede ser difícil mantenerse al tanto de cada divulgación de vulnerabilidad informada, por lo que el complemento iThemes Security Pro facilita asegurarse de que su sitio no esté ejecutando un tema, complemento o versión principal de WordPress con una vulnerabilidad conocida.
1. Instale el complemento iThemes Security Pro
El complemento iThemes Security Pro fortalece su sitio de WordPress contra las formas más comunes en que los sitios web son pirateados. Con más de 30 formas de proteger su sitio en un complemento fácil de usar.
2. Habilite el escaneo del sitio para buscar vulnerabilidades conocidas
La función de gestión de versiones en iThemes Security Pro se integra con Site Scan para proteger su sitio. Los temas vulnerables, los complementos y las versiones principales de WordPress se actualizarán automáticamente para usted.
3. Supervisar los cambios de archivos
La clave para detectar rápidamente una brecha de seguridad es monitorear los cambios de archivos en su sitio web. La función de detección de cambios de archivos en iThemes Security Pro escaneará los archivos de su sitio web y le avisará cuando ocurran cambios en su sitio web.
Obtenga iThemes Security Pro con monitoreo de seguridad del sitio web las 24 horas, los 7 días de la semana
iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, la autenticación de dos factores, la protección de fuerza bruta, la aplicación segura de contraseñas y más, puede agregar capas adicionales de seguridad a su sitio web.