Informe de vulnerabilidad de WordPress: octubre de 2021, parte 4
Publicado: 2021-10-27Los complementos y temas vulnerables son la principal razón por la que los sitios web de WordPress son pirateados. El informe semanal de vulnerabilidades de WordPress impulsado por WPScan cubre las vulnerabilidades principales, el tema y los complementos de WordPress recientes, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.
Cada vulnerabilidad tendrá una clasificación de gravedad de Baja , Media , Alta o Crítica . La divulgación responsable y el informe de vulnerabilidades son una parte integral para mantener segura a la comunidad de WordPress.
Comparta esta publicación con sus amigos para ayudar a correr la voz y hacer que WordPress sea más seguro para todos.
Vulnerabilidades del núcleo de WordPress
La última versión del núcleo de WordPress es 5.8.1 y se lanzó como una versión de seguridad y mantenimiento. Como práctica recomendada, ¡siempre asegúrese de ejecutar la última versión del núcleo de WordPress!
Vulnerabilidades del complemento de WordPress
En esta sección, se han revelado las últimas vulnerabilidades de los complementos de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de versión si está parcheado y la calificación de gravedad.
1. Archivos compartidos
Complemento: archivos compartidos
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 1.6.61
Puntuación de gravedad : baja
2. Redirector QR
Complemento: QR Redirector
Vulnerabilidad : secuencias de comandos almacenadas entre sitios de Contributor+
Parcheado en la versión : 1.6.1
Puntuación de gravedad : media
Complemento: QR Redirector
Vulnerabilidad : suscriptor + actualización de estado de respuesta de redirección QR arbitraria
Parcheado en la versión : 1.6
Puntuación de gravedad : media
3. Desplazamiento suave de MouseWheel
Complemento: Desplazamiento suave de MouseWheel
Vulnerabilidad : actualización de la configuración del complemento a través de CSRF
Parcheado en la versión : 5.7
Puntuación de gravedad : media
4. Insertar páginas
Complemento: Insertar páginas
Vulnerabilidad : Colaborador + Acceso arbitrario a publicaciones/páginas
Parcheado en la versión : 3.7.0
Puntuación de gravedad : media
Complemento: Insertar páginas
Vulnerabilidad : secuencias de comandos almacenadas entre sitios de Contributor+
Parcheado en la versión : 3.7.0
Puntuación de gravedad : media
5. Redirección SEO
Complemento: Redirección SEO
Vulnerabilidad : suscriptor + inyección SQL
Parcheado en la versión : 8.2
Puntuación de gravedad : alta
6. Donación de Paypal
Complemento: Donación de Paypal
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 1.3.2
Puntuación de gravedad : baja
7. IMPreso para IDX Broker
Complemento : IMPress para IDX Broker
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 3.0.6
Puntuación de gravedad : alta
8. Inicio de sesión JWT simple
Complemento: inicio de sesión JWT simple
Vulnerabilidad : actualización de configuración arbitraria para la adquisición del sitio a través de CSRF
Parcheado en la versión : 3.2.1
Puntuación de gravedad : alta
9. Mis entradas
Complemento: Mis entradas
Vulnerabilidad : suscriptor + inyección SQL
Parcheado en la versión : 1.8.31
Puntuación de gravedad : alta
10. Facturación de clientes por Sprout Invoices
Complemento: Facturación de clientes por Sprout Invoices
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 19.9.7
Puntuación de gravedad : baja
11. Registro de correo electrónico
Complemento: registro de correo electrónico
Vulnerabilidad : administración + inyección SQL
Parcheado en la versión : 2.4.7
Puntuación de gravedad : media
12. Potenciador de puntuación de rendimiento de WP
Complemento WP Performance Score Booster
Vulnerabilidad : cambio de configuración a través de CSRF
Parcheado en la versión : 2.1
Puntuación de gravedad : media
13. Integración de Active Directory / Integración LDAP
Complemento: Integración de Active Directory / Integración LDAP
Vulnerabilidad : suscriptor + inyección SQL
Versión parcheada: 3.6.95
Puntuación de gravedad : alta
14. Mesa en
Complemento : TableOn
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.0.1
Puntuación de gravedad : media
15. Control deslizante de imágenes receptivas, galería de fotos y carrusel
Complemento: control deslizante de imagen sensible, galería de fotos y carrusel
Vulnerabilidad : Control deslizante Clonar/Guardar/Eliminar a través de CSRF
Parcheado en la versión : 1.3.2
Puntuación de gravedad : media
Complemento: control deslizante de imagen sensible, galería de fotos y carrusel
Vulnerabilidad : suscriptor + acceso arbitrario a publicaciones
Parcheado en la versión : 1.3.6
Puntuación de gravedad : media
16. Página del mapa del sitio de WP
Complemento: página de mapa del sitio de WP
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 1.7.0
Puntuación de gravedad : baja
17. corriente
Complemento: Corriente
Vulnerabilidad : administración + inyección SQL
Parcheado en la versión : 3.8.2
Puntuación de gravedad : media
18. Útil
Complemento: Útil
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 4.4.59
Puntuación de gravedad : baja
19. Aprende Prensa
Complemento : LearnPress
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 4.1.3.2
Puntuación de gravedad : baja
20. Puesta en escena del contenido
Complemento: puesta en escena de contenido
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : baja
21. Paywall con fugas
Complemento : muro de pago con fugas
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : sin solución conocida
Puntuación de gravedad : baja
22. Tutor LMS
Complemento: Tutor LMS
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.9.11
Puntuación de gravedad : media
23. Vitrina de logotipo con deslizador Slick
Complemento: Logo Showcase con Slick Slider
Vulnerabilidad : Author+ Stored Cross Site Scripting
Parcheado en la versión : 1.2.4
Puntuación de gravedad : media
24. Creador de formularios formidable
Complemento: Formidable Form Builder
Vulnerabilidad : secuencias de comandos entre sitios almacenadas no autenticadas
Parcheado en la versión : 4.09.05
Puntuación de gravedad : baja
25. Complemento de descarga
Complemento: Descargar complemento
Vulnerabilidad : suscriptor + activación de complemento arbitrario
Parcheado en la versión : 1.6.1
Puntuación de gravedad : media
26. Imágenes a WebP
Complemento: Imágenes a WebP
Vulnerabilidad : falsificación de solicitud entre sitios múltiples (CSRF)
Parcheado en la versión : 1.9
Puntuación de gravedad : media
Complemento: Imágenes a WebP
Vulnerabilidad : inclusión de archivos locales autenticados
Parcheado en la versión : 1.9
Puntuación de gravedad : baja
27. API de MStore
Complemento : API MStore
Vulnerabilidad : carga de archivos PHP no autenticados
Parcheado en la versión : 3.4.5
Puntuación de gravedad : crítica
28. Descargas digitales fáciles
Complemento: descargas digitales fáciles
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 2.11.2.1
Puntuación de gravedad : alta
29. Administrador de acceso avanzado
Complemento: Administrador de acceso avanzado
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 6.8.0
Puntuación de gravedad : baja
30. Encuesta YOP
Complemento : Encuesta YOP
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 6.1.2
Puntuación de gravedad : media
31. Exportación de archivos adjuntos de WP
Complemento : Exportación de archivos adjuntos WP
Vulnerabilidad : descarga de publicaciones no autenticadas
Versión parcheada: 0.2.4
Puntuación de gravedad : alta
32. Control deslizante de texto de contenido en la publicación
Complemento: control deslizante de texto de contenido en la publicación
Vulnerabilidad : secuencias de comandos entre sitios almacenadas autenticadas (XSS)
Parcheado en la versión : 6.9
Puntuación de gravedad : media
33. Heladograma
Complemento : Icegram
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 2.0.3
Puntuación de gravedad : baja
34. Mejores enlaces
Complemento : BetterLinks
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 1.2.6
Puntuación de gravedad : baja
35. LearnDash
Complemento: LearnDash
Vulnerabilidad : carga de archivos arbitrarios no autenticados
Parcheado en la versión : 2.5.4
Puntuación de gravedad : crítica
36. ImageBoss
Complemento : ImageBoss
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 3.0.6
Puntuación de gravedad : baja
37. Formador
Complemento : Formador
Vulnerabilidad : administración + secuencias de comandos entre sitios almacenadas
Parcheado en la versión : 1.2.4
Puntuación de gravedad : baja
38. MPL-Editor
Complemento: MPL-Editor
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 1.30.4
Puntuación de gravedad : baja
39. Elementor
Complemento: Elementor
Vulnerabilidad : secuencias de comandos entre sitios DOM
Parcheado en la versión : 3.1.4
Puntuación de gravedad : media
40. Compartir en redes sociales descarado
Complemento: Sassy Social Share
Vulnerabilidad : faltan controles de acceso a la inyección de objetos PHP
Parcheado en la versión : 3.3.24
Puntuación de gravedad : media
41. Registro de pasteles
Complemento: Registro de tarta
Vulnerabilidad : redirección abierta
Parcheado en la versión : 3.7.2.4
Puntuación de gravedad : media
42. Formularios avanzados
Complemento: formularios avanzados
Vulnerabilidad : suscriptor + actualización de dirección de correo electrónico de usuario arbitrario a través de IDOR
Parcheado en la versión : 1.6.9
Puntuación de gravedad : alta
Complemento: Formularios avanzados Pro
Vulnerabilidad : suscriptor + actualización de dirección de correo electrónico de usuario arbitrario a través de IDOR
Parcheado en la versión : 1.6.9
Puntuación de gravedad : alta
43. Importación de demostración de temas de captura
Complemento: Importación de demostración de Catch Themes
Vulnerabilidad : administrador + carga de archivos arbitrarios
Parcheado en la versión : 1.8
Puntuación de gravedad : crítica
44. Bolsa de trabajo simple
Complemento: Bolsa de trabajo simple
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Parcheado en la versión : 2.9.5
Puntuación de gravedad : baja
45. Búsqueda de marfil
Complemento: búsqueda de marfil
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 4.7
Puntuación de gravedad : alta
46. Puerta de edad
Complemento: puerta de edad
Vulnerabilidad : secuencias de comandos entre sitios almacenadas autenticadas
Parcheado en la versión : 2.16.4
Puntuación de gravedad : crítica
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Como puede ver en este informe, cada semana se revelan muchas vulnerabilidades de plugins y temas de WordPress. Sabemos que puede ser difícil mantenerse al tanto de cada divulgación de vulnerabilidad informada, por lo que el complemento iThemes Security Pro facilita asegurarse de que su sitio no esté ejecutando un tema, complemento o versión principal de WordPress con una vulnerabilidad conocida.
1. Escanear en busca de vulnerabilidades conocidas del sitio web
El complemento iThemes Security Pro busca la principal razón por la que los sitios de WordPress son pirateados: complementos obsoletos y temas con vulnerabilidades conocidas.
2. Actualización automática a versiones seguras
La función de gestión de versiones en iThemes Security Pro se integra con Site Scan para proteger su sitio. Los temas vulnerables, los complementos y las versiones principales de WordPress se actualizarán automáticamente para usted.
3. Supervisar los cambios de archivos
La clave para detectar rápidamente una brecha de seguridad es monitorear los cambios de archivos en su sitio web. La función de detección de cambios de archivos en iThemes Security Pro escaneará los archivos de su sitio web y le avisará cuando ocurran cambios en su sitio web.
Obtenga iThemes Security Pro con monitoreo de sitios web 24/7
iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, la autenticación de dos factores, la protección de fuerza bruta, la aplicación segura de contraseñas y más, puede agregar capas adicionales de seguridad a su sitio web.