Informe de vulnerabilidad de WordPress: diciembre de 2021, parte 3
Publicado: 2021-12-16Los complementos y temas vulnerables son la principal razón por la que los sitios web de WordPress son pirateados. El informe semanal de vulnerabilidades de WordPress impulsado por WPScan cubre las vulnerabilidades principales, el tema y los complementos de WordPress recientes, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.
Cada vulnerabilidad tendrá una clasificación de gravedad de Baja , Media , Alta o Crítica . La divulgación responsable y el informe de vulnerabilidades son una parte integral para mantener segura a la comunidad de WordPress. Nuevo en este informe: las vulnerabilidades ahora se enumeran en orden por el número de instalaciones activas, en lugar de la fecha de divulgación.
Comparta esta publicación con sus amigos para ayudar a correr la voz y hacer que WordPress sea más seguro para todos.
Noticias de WordPress
Mientras la época de compras en línea más concurrida del año está en pleno apogeo, los ciberdelincuentes han estado ocupados con intentos de "hackear el planeta". ¡Wordfence informó recientemente de una ola masiva de ataques dirigidos a 1,6 millones de sitios de WordPress en el transcurso de solo 36 horas!
Finalmente, BleepingComputer informó recientemente que los piratas informáticos han estado instalando código skimmer en complementos aleatorios. Para reforzar la seguridad de los sitios de comercio electrónico, recomendamos exigir la autenticación de dos factores para todos los usuarios administradores, activar dispositivos confiables, detección de cambios de archivos y que los registros de seguridad de WordPress se lean y revisen con regularidad.
Vulnerabilidades del núcleo de WordPress
La última versión del núcleo de WordPress es 5.8.2. Como práctica recomendada, ¡siempre asegúrese de ejecutar la última versión del núcleo de WordPress!
Vulnerabilidades del complemento de WordPress
En esta sección, se han revelado las últimas vulnerabilidades de los complementos de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de versión si está parcheado y la calificación de gravedad.
1. Elementor
Complemento: Elementor
Vulnerabilidad : DOM Cross-Site-Scripting
Instalación activa : más de 5 millones
Parcheado en la versión : 3.4.8
Puntuación de gravedad : alta
2. Corriente ascendente Plus
Complemento : UpdraftPlus
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : más de 3 millones
Parcheado en la versión : 1.16.66
Puntuación de gravedad : alta
3. Facturas y albaranes en PDF de WooCommerce
Complemento: WooCommerce PDF Facturas y albaranes
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : 300,000+
Parcheado en la versión : 2.10.5
Puntuación de gravedad : alta
4. Capacidades de PublishPress
Complemento: capacidades de PublishPress
Vulnerabilidad : actualización de opciones arbitrarias no autenticadas para comprometer el blog
Instalación activa : 100,000+
Parcheado en la versión : 2.3.1
Puntuación de gravedad : crítica
Complemento: PublishPress Capacidades Pro
Vulnerabilidad : actualización de opciones arbitrarias no autenticadas para comprometer el blog
Parcheado en la versión : 2.3.1
Puntuación de gravedad : crítica
5. Chaty Gratis
Complemento: Chaty Gratis
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : 100,000+
Parcheado en la versión : 2.8.3
Puntuación de gravedad : alta
Complemento: Chaty Pro
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 2.8.2
Puntuación de gravedad : alta
6. Complementos PowerPack para Elementor
Complemento : complementos de PowerPack para Elementor
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : 60,000+
Parcheado en la versión : 2.6.2
Puntuación de gravedad : alta
7. Calendario de reservas
Complemento: Calendario de reservas
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : 60,000+
Parcheado en la versión : 8.9.2
Puntuación de gravedad : alta
8. Fuente de fotos sociales 10Web
Complemento : 10Web Social Photo Feed
Vulnerabilidad : Cross-Site Scripting reflejado (XSS)
Instalación activa : 60,000+
Parcheado en la versión : 1.4.29
Puntuación de gravedad : alta
9. Reseñas del sitio
Complemento: Reseñas del sitio
Vulnerabilidad : secuencias de comandos entre sitios almacenadas no autenticadas
Instalación activa : 40,000+
Parcheado en la versión : 5.17.3
Puntuación de gravedad : alta
10. Paquete de refuerzo de velocidad
Complemento: paquete de refuerzo de velocidad
Vulnerabilidad : administración + inyección SQL
Instalación activa : 30,000+
Parcheado en la versión : 4.3.3.1
Puntuación de gravedad : media
11. Solución de mercado de múltiples proveedores para WooCommerce
Complemento: solución de mercado de múltiples proveedores para WooCommerce
Vulnerabilidad : llamadas AJAX no autenticadas
Instalación activa : 10,000+
Parcheado en la versión : 3.8.4
Puntuación de gravedad : alta
12. Ventana Modal
Complemento: ventana modal
Vulnerabilidad : RFI que conduce a RCE a través de CSRF
Instalación activa : 10,000+
Parcheado en la versión : 5.2.2
Puntuación de gravedad : alta
13. Codificador de WP
Complemento: WP Coder
Vulnerabilidad : RFI que conduce a RCE a través de CSRF
Instalación activa : 10,000+
Parcheado en la versión : 2.5.2
Puntuación de gravedad : alta
14. Magia de registro
Complemento: Magia de registro
Vulnerabilidad : administración + inyección SQL
Instalación activa : 10,000+
Parcheado en la versión : 5.0.1.6
Puntuación de gravedad : media
Complemento: Magia de registro
Vulnerabilidad : Omisión de autenticación
Instalación activa : 10,000+
Parcheado en la versión : 5.0.1.8
Puntuación de gravedad : crítica
15. Eventos simplificados
Complemento: Eventos simplificados
Vulnerabilidad : suscriptor + inyección SQL
Instalación activa : 6,000+
Parcheado en la versión : 2.2.36
Puntuación de gravedad : alta
16. Generador de botones
Complemento: Generador de botones
Vulnerabilidad : RFI que conduce a RCE a través de CSRF
Instalación activa : más de 5000
Parcheado en la versión : 2.3.3
Puntuación de gravedad : alta
17. Pestaña – Acordeón, Preguntas Frecuentes
Complemento: Pestaña - Acordeón, Preguntas frecuentes
Vulnerabilidad : llamadas AJAX no autenticadas
Instalación activa : 2000+
Parcheado en la versión : 1.3.2
Puntuación de gravedad : crítica
18. Calificación de estrellas
Complemento: Calificación de estrellas
Vulnerabilidad : Comentarios Denegación de servicio
Instalación activa : 800+
Parcheado en la versión : 3.5.1
Puntuación de gravedad : media
19. WPcalc
Complemento : WPcalc
Vulnerabilidad : inyección SQL autenticada
Parcheado en la versión : sin solución conocida: complemento cerrado
Puntuación de gravedad : media
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Como puede ver en este informe, cada semana se revelan muchas vulnerabilidades de plugins y temas de WordPress. Sabemos que puede ser difícil mantenerse al tanto de cada divulgación de vulnerabilidad informada, por lo que el complemento iThemes Security Pro facilita asegurarse de que su sitio no esté ejecutando un tema, complemento o versión principal de WordPress con una vulnerabilidad conocida.
1. Instale el complemento iThemes Security Pro
El complemento iThemes Security Pro fortalece su sitio de WordPress contra las formas más comunes en que los sitios web son pirateados. Con más de 30 formas de proteger su sitio en un complemento fácil de usar.
2. Habilite el escaneo del sitio para buscar vulnerabilidades conocidas
La función de gestión de versiones en iThemes Security Pro se integra con Site Scan para proteger su sitio. Los temas vulnerables, los complementos y las versiones principales de WordPress se actualizarán automáticamente para usted.
3. Activar la detección de cambio de archivo
La clave para detectar rápidamente una brecha de seguridad es monitorear los cambios de archivos en su sitio web. La función de detección de cambios de archivos en iThemes Security Pro escaneará los archivos de su sitio web y le avisará cuando ocurran cambios en su sitio web.
Obtenga iThemes Security Pro con monitoreo de seguridad del sitio web las 24 horas, los 7 días de la semana
iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, la autenticación de dos factores, la protección de fuerza bruta, la aplicación segura de contraseñas y más, puede agregar capas adicionales de seguridad a su sitio web.
