Informe de vulnerabilidad de WordPress: agosto de 2021, parte 3

Los complementos y temas vulnerables son la razón número 1 por la que los sitios web de WordPress son pirateados. El Informe de vulnerabilidad de WordPress semanal impulsado por WPScan cubre las vulnerabilidades principales, el tema y el complemento de WordPress reciente, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.

Cada vulnerabilidad tendrá una clasificación de gravedad de Baja , Media , Alta o Crítica . La divulgación responsable y la notificación de vulnerabilidades es una parte integral para mantener segura la comunidad de WordPress.

Como uno de los informes de vulnerabilidad de WordPress más grandes hasta la fecha, comparta esta publicación con sus amigos para ayudar a correr la voz y hacer que WordPress sea más seguro para todos.

Vulnerabilidades del núcleo de WordPress

1. Inicio de sesión limpio

Complemento: inicio de sesión limpio
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.12.6.4
Puntuación de gravedad : media

2. SliceWP

Complemento : SliceWP
Vulnerabilidad : Scripts reflejados entre sitios (XSS)
Parcheado en la versión : 1.0.46
Puntuación de gravedad : alta

3. Administrador de descargas de WordPress

Complemento: Administrador de descargas de WordPress
Vulnerabilidad : Actualización de la configuración de la plantilla de correo electrónico a través de CSRF
Parcheado en la versión : 3.2.13
Puntuación de gravedad : media

4. SpeakOut! Peticiones por correo electrónico

Complemento : SpeakOut! Peticiones por correo electrónico
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 2.13.3
Puntuación de gravedad : alta

5. Reseñas del sitio

Complemento: Reseñas del sitio
Vulnerabilidad : XSS almacenado autenticado
Parcheado en la versión : 5.13.1
Puntuación de gravedad : baja

6. Tutor LMS

Complemento: Tutor LMS
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.9.6
Puntuación de gravedad : alta

7. Barra de notificaciones de WPFront

Complemento : barra de notificaciones de WPFront
Vulnerabilidad : XSS almacenado autenticado
Parcheado en la versión : 2.1.08087
Puntuación de gravedad : baja

8. Creador de formularios

Complemento: Creador de formularios
Vulnerabilidad : Scripts reflejados entre sitios (XSS)
Parcheado en la versión : 1.9.8.5
Puntuación de gravedad : alta

Complemento: Creador de formularios
Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
Parcheado en la versión : 1.9.8.4
Puntuación de gravedad : baja

9. Copia de seguridad de WPvivid

Complemento : WPvivid Backup
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 0.9.56
Puntuación de gravedad : alta

10. AddToAny

Complemento : AddToAny
Vulnerabilidad : XSS almacenado autenticado
Parcheado en la versión : 1.7.46
Puntuación de gravedad : baja

11. Detener la seguridad de los spammers

Complemento: Detener la seguridad de los spammers
Vulnerabilidad : XSS almacenado autenticado
Parcheado en la versión : 2021.18
Puntuación de gravedad : baja

12. Palabras clave y meta

Complemento: Palabras clave y meta
Vulnerabilidad : CSRF a scripts de sitios cruzados almacenados (XSS)
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

13. Titan Framework

Complemento: Titan Framework
Vulnerabilidad : Scripts reflejados entre sitios (XSS)
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

Afecta a los complementos:

• 4k-icon-fonts-for-visual-composer - No se conoce una solución - complemento cerrado
• adblock-notify-by-bweb : no se conoce una solución
• Affiliate-Pro - Sin solución conocida - Complemento cerrado
• amp-extensions - Sin solución conocida
• aoi-tori - No se conoce una solución
• awesome-support - Sin solución conocida
• betteroptin - Sin solución conocida - complemento cerrado
• border-loading-bar - No se conoce una solución
• catchers-helpdesk - No se conoce una solución
• categorías-galería - No se conoce ninguna solución
• categorías-galería-woocommerce - No se conoce una solución
• cf7-customizer : no se conoce ninguna solución
• Clinicalwp-core - No se conoce una solución
• cool-facebook-page-feed-timeline - No se conoce una solución - complemento cerrado
• custom-scroll-bar-designer - No se conoce una solución
• colores-de-selección-de-texto-personalizados - No se conoce una solución
• disable-image-right-click - No se conoce una solución
• easy-gallery-slideshow - No se conoce ninguna solución
• easy-google-map : no se conoce ninguna solución
• easy-justified-gallery : no se conoce ninguna solución
• email-my-posts - No se conoce ninguna solución
• exit-popup-show - No se conoce una solución
• flight-search-widget-blocks - No se conoce una solución
• icons-with-links-widget - No se conoce una solución - complemento cerrado
• icustomizer - No se conoce ninguna solución
• live-chat-facebook-fanpage - No se conoce una solución
• media-mirror - Sin solución conocida
• menú móvil : no se conoce ninguna solución
• popup-modal-for-youtube - No se conoce una solución
• project-app - No se conoce una solución
• seatgeek-afiliados-tickets - No se conoce una solución
• seo-dashboard-by-gutewebsites-de - Sin solución conocida
• share-woocommerce-email - No se conoce una solución
• cartera-de-comportamiento-simple - No se conoce ninguna solución
• menú de estrellas - No se conoce una solución - complemento cerrado
• station-pro - Sin solución conocida
• Sticky-related-posts - No se conoce una solución - complemento cerrado
• tcs3 - Sin solución conocida
• template-events-calendar - No se conoce una solución
• total-sales-for-woocommerce - No se conoce una solución
• tr-easy-google-analytics - No se conoce una solución - complemento cerrado
• venture-event-manager - No se conoce una solución
• w3s-cf7-zoho : sin solución conocida
• webhotelier - Sin solución conocida
• woo-availability-date - No se conoce una solución
• woo-whatsapp-request-quote - No se conoce una solución - complemento cerrado
• woosaleskit-bar - No se conoce una solución - complemento cerrado
• yandex-money-button - No se conoce una solución

14. WP Fusion Lite

Complemento: WP Fusion Lite
Vulnerabilidad : CSRF a la eliminación de datos
Parcheado en la versión : 3.37.30
Puntuación de gravedad : media

Complemento: WP Fusion Lite
Vulnerabilidad : Scripts reflejados entre sitios (XSS)
Parcheado en la versión : 3.37.30
Puntuación de gravedad : alta

Complemento: WP Fusion Lite
Vulnerabilidad : Scripts reflejados entre sitios (XSS)
Parcheado en la versión : 3.37.31
Puntuación de gravedad : alta

15. Bloquear y detener los bots malos

Complemento: bloquear y detener los bots malos
Vulnerabilidad : inyecciones SQL autenticadas
Parcheado en la versión : 6.60
Puntuación de gravedad : media

16. Calendario de reservas simple de WP

Complemento: WP Simple Booking Calendar
Vulnerabilidad : inyecciones SQL autenticadas
Parcheado en la versión : 2.0.6
Puntuación de gravedad : media

17. Suscripciones de miembros pagadas

Complemento: Suscripciones de miembros pagas
Vulnerabilidad : inyecciones SQL autenticadas
Parcheado en la versión : 2.4.2
Puntuación de gravedad : media

18. Favicon de RealFaviconGenerator

Complemento : Favicon de RealFaviconGenerator
Vulnerabilidad : Scripts reflejados entre sitios (XSS)
Parcheado en la versión : 1.3.22
Puntuación de gravedad : alta

19. Alipay

Complemento: Alipay
Vulnerabilidad : inyección de SQL autenticado
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media

20. Cajero

Complemento : Cashtomer
Vulnerabilidad : inyección de SQL autenticado
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media

21. Membresía de WordPress SwiftCloud.io

Complemento : Membresía de WordPress SwiftCloud.io
Vulnerabilidad : inyección de SQL autenticado
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media

22. Membresía de WordPress SwiftCloud.io

Complemento: Marcador de comentarios
Vulnerabilidad : inyección de SQL autenticado
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media

23. Easy Testimonial Manager

Complemento: Easy Testimonial Manager
Vulnerabilidad : inyección de SQL autenticado
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media

24. Insertar video de Youtube

Complemento: incrustar video de Youtube
Vulnerabilidad : inyección de SQL autenticado
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media

25. Maestro de cuestionarios y encuestas

Complemento: Quiz And Survey Master
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 7.1.14
Puntuación de gravedad : alta

26. Reservar cita en línea

Complemento: Reservar cita en línea
Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas (XSS)
Parcheado en la versión : 1.39
Puntuación de gravedad : baja

27. Autenticador de Google de miniOrange

Complemento : Autenticador de Google de miniOrange
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 5.4.40
Puntuación de gravedad : alta

28. Autenticación de dos factores

Complemento: Autenticación de dos factores
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.0.8
Puntuación de gravedad : alta

29. Tiempo de oración diario

Complemento: tiempo de oración diario
Vulnerabilidad : XSS almacenado autenticado
Parcheado en la versión : 2021.08.10
Puntuación de gravedad : baja

30. Generador de vistas de publicaciones personalizadas

Complemento: Generador de vistas de publicaciones personalizadas
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

31. Reproductor de video FV Flowplayer

Complemento : FV Flowplayer Video Player
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 7.5.3.727
Puntuación de gravedad : alta

32. Galería de imágenes

Complemento: Galería de imágenes
Vulnerabilidad : XSS almacenado autenticado
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : baja

33. Administrador de licencias de software

Complemento: Administrador de licencias de software
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 4.4.8 (complemento cerrado)
Puntuación de gravedad : alta

34. Agregar al encabezado por página

Complemento : Agregar al encabezado por página
Vulnerabilidad : XSS almacenado autenticado
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : baja

Complemento : Agregar al encabezado por página
Vulnerabilidad : CSRF a XSS almacenado
Parcheado en la versión : 1.4.4 (complemento cerrado)
Puntuación de gravedad : alta

35. Securimage-WP-Fixed

Complemento : Securimage-WP-Fixed
Vulnerabilidad : Scripts reflejados entre sitios (XSS)
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

36. Exportación de imágenes

Complemento: Exportación de imágenes
Vulnerabilidad : Cruce de directorios
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : crítica

37. Control deslizante de texto de contenido en la publicación

Complemento: control deslizante de texto de contenido en la publicación
Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas (XSS)
Parcheado en la versión : 6.9
Puntuación de gravedad : media

38. Generador de formularios de contacto

Complemento: Generador de formularios de contacto
Vulnerabilidad : Falsificación de solicitudes múltiples entre sitios (CSRF)
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

39. Calendar_plugin

Complemento: Calendar_plugin
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

40. Agregar barra lateral

Complemento : Agregar barra lateral
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

41. Etiquetas WP SEO

Complemento: WP SEO Tags
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

42. Moova para WooCommerce

Complemento : Moova para WooCommerce
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

43. Rotador de lemas de jQuery

Complemento: jQuery Tagline Rotator
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

44. Tabla de precios de Plugmatter Lite

Complemento : Tabla de precios de Plugmatter Lite
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

45. Boletín emergente simple

Complemento: Boletín emergente simple
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

46. ​​TypoFR

Complemento : TypoFR
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

47. WP Songbook

Complemento: WP Songbook
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

48. Relaciones de tipo de publicación personalizada

Complemento: Relaciones de tipo de publicación personalizada
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

49. Videollamadas de 2 vías y chat aleatorio

Complemento : videollamadas de 2 vías y chat aleatorio
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

50. Fuente WP

Complemento: WP Fountain
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

51. Uso de medios

Complemento: uso de medios
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

52. Mapas de garabatos

Complemento: Mapas de garabatos
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

53. Juegos multijugador

Complemento: juegos multijugador
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

54. Skaut bazar

Complemento : Skaut bazar
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

55. Alertas inteligentes por correo electrónico

Complemento: alertas inteligentes por correo electrónico
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

56. Cartera de Behance simple

Plugin: simple Behance Cartera
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta

Vulnerabilidades del tema de WordPress

Una nota sobre divulgación responsable

Quizás se pregunte por qué se revelaría una vulnerabilidad si les da a los piratas informáticos un exploit para atacar. Bueno, es muy común que un investigador de seguridad encuentre e informe de forma privada la vulnerabilidad al desarrollador de software.

Con la divulgación responsable , el informe inicial del investigador se realiza de forma privada a los desarrolladores de la empresa propietaria del software, pero con el acuerdo de que los detalles completos se publicarán una vez que se haya puesto a disposición un parche. En el caso de vulnerabilidades de seguridad importantes, puede haber un ligero retraso en la divulgación de la vulnerabilidad para que más personas tengan tiempo de parchear.

El investigador de seguridad puede proporcionar una fecha límite para que el desarrollador de software responda al informe o proporcione un parche. Si no se cumple este plazo, el investigador puede revelar públicamente la vulnerabilidad para presionar al desarrollador para que emita un parche.

Revelar públicamente una vulnerabilidad y aparentemente introducir una vulnerabilidad de día cero, un tipo de vulnerabilidad que no tiene parche y está siendo explotada en la naturaleza, puede parecer contraproducente. Pero es la única ventaja que tiene un investigador para presionar al desarrollador para que parchee la vulnerabilidad.

Si un pirata informático descubriera la vulnerabilidad, podría usar el Exploit silenciosamente y causar daño al usuario final (este es usted), mientras que el desarrollador de software sigue contento con dejar la vulnerabilidad sin parchear. Project Zero de Google tiene pautas similares cuando se trata de revelar vulnerabilidades. Publican los detalles completos de la vulnerabilidad después de 90 días, independientemente de que se haya parcheado o no.

Cómo proteger su sitio web de WordPress de complementos y temas vulnerables

Como puede ver en este informe, cada semana se revelan muchas vulnerabilidades de temas y complementos de WordPress nuevos. Sabemos que puede ser difícil estar al tanto de todas las divulgaciones de vulnerabilidades reportadas, por lo que el complemento iThemes Security Pro hace que sea fácil asegurarse de que su sitio no esté ejecutando un tema, complemento o versión principal de WordPress con una vulnerabilidad conocida.

1. Encienda el escáner de sitios de iThemes Security Pro

El Site Scanner del complemento iThemes Security Pro analiza la razón número 1 por la que los sitios de WordPress son pirateados: complementos y temas obsoletos con vulnerabilidades conocidas. Site Scanner comprueba su sitio en busca de vulnerabilidades conocidas y aplica automáticamente un parche si hay alguno disponible.

Para habilitar el escaneo del sitio en nuevas instalaciones, navegue a la pestaña Verificación del sitio en el menú Funciones dentro del complemento y haga clic en la palanca para habilitar el escaneo del sitio .

Para activar un escaneo del sitio manual, haga clic en el botón Escanear ahora en la tarjeta del panel de control de seguridad del escaneo del sitio.

Si Site Scan detecta una vulnerabilidad, haga clic en el enlace de la vulnerabilidad para ver la página de detalles.

En la página de vulnerabilidades de Site Scan, verá si hay una solución disponible para la vulnerabilidad. Si hay un parche disponible, puede hacer clic en el botón Actualizar complemento para aplicar la corrección en su sitio web.

2. Active la gestión de versiones

La función de administración de versiones en iThemes Security Pro se integra con Site Scan para proteger su sitio cuando el software desactualizado no se actualiza con la suficiente rapidez. Incluso las medidas de seguridad más estrictas fallarán si ejecuta software vulnerable en su sitio web. Esta configuración ayuda a proteger su sitio con opciones para actualizar a nuevas versiones automáticamente si existe una vulnerabilidad conocida y hay un parche disponible.

Desde la página Configuración en iThemes Security Pro, navegue hasta la pantalla Funciones. Haga clic en la pestaña Verificación del sitio. Desde aquí, use el interruptor para habilitar la Gestión de versiones. Con el equipo de configuración, puede configurar aún más configuraciones, incluida la forma en que desea que iThemes Security Pro maneje las actualizaciones de WordPress, los complementos, los temas y la protección adicional.

Asegúrese de seleccionar la actualización automática si se soluciona un cuadro de vulnerabilidad para que iThemes Security Pro se actualizará automáticamente un plugin o tema si se corrige una vulnerabilidad que fue encontrada por el explorador web.

3. Reciba una alerta por correo electrónico cuando iThemes Security Pro encuentre una vulnerabilidad conocida en su sitio

Una vez que haya habilitado la Programación de escaneo del sitio, diríjase a la configuración del Centro de notificaciones del complemento. En esta pantalla, desplácese hasta la sección Resultados del análisis del sitio .

Haga clic en la casilla para habilitar el correo electrónico de notificación y luego haga clic en el botón Guardar configuración .

Ahora, durante cualquier escaneo programado del sitio, recibirá un correo electrónico si iThemes Security Pro descubre alguna vulnerabilidad conocida. El correo electrónico se verá así.

Obtén iThemes Security Pro y descansa un poco más tranquilo esta noche

iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza bruta, aplicación de contraseña sólida y más, puede agregar una capa adicional de seguridad a su sitio web.

Michael Moore

Cada semana, Michael elabora el Informe de vulnerabilidad de WordPress para ayudar a mantener sus sitios seguros. Como Product Manager en iThemes, nos ayuda a seguir mejorando la línea de productos de iThemes. Es un nerd gigante y le encanta aprender sobre tecnología, tanto antigua como nueva. Puede encontrar a Michael pasando el rato con su esposa e hija, leyendo o escuchando música cuando no está trabajando.