Informe de vulnerabilidad de WordPress: diciembre de 2021, parte 5
Publicado: 2021-12-29Los complementos y temas vulnerables son la principal razón por la que los sitios web de WordPress son pirateados. El informe semanal de vulnerabilidades de WordPress impulsado por WPScan cubre las vulnerabilidades principales, el tema y los complementos de WordPress recientes, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.
Cada vulnerabilidad tendrá una clasificación de gravedad de Baja , Media , Alta o Crítica . La divulgación responsable y el informe de vulnerabilidades son una parte integral para mantener segura a la comunidad de WordPress. Nuevo en este informe: las vulnerabilidades ahora se enumeran en orden por el número de instalaciones activas, en lugar de la fecha de divulgación.
¡ Comparta esta publicación con sus amigos para ayudar a correr la voz y hacer que WordPress sea más seguro para todos !
Vulnerabilidades del núcleo de WordPress
La última versión del núcleo de WordPress es 5.8.2. Como práctica recomendada, ¡siempre asegúrese de ejecutar la última versión del núcleo de WordPress!
Vulnerabilidades del complemento de WordPress
En esta sección, se han revelado las últimas vulnerabilidades de los complementos de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, las instalaciones activas, el número de versión si está parcheado y la clasificación de gravedad.
1. Complemento de la base de datos del formulario de contacto 7
Complemento: Formulario de contacto 7 Complemento de base de datos
Vulnerabilidad : secuencias de comandos entre sitios almacenadas no autenticadas
Instalación activa : 400,000+
Parcheado en la versión : 1.2.6.2
Puntuación de gravedad : media
Complemento: Formulario de contacto 7 Complemento de base de datos
Vulnerabilidad : eliminación arbitraria de formularios a través de CSRF
Instalación activa : 400,000+
Parcheado en la versión : 1.2.6.2
Puntuación de gravedad : media
2. Formularios fáciles para Mailchimp
Complemento: Formularios fáciles para Mailchimp
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : 100,000+
Parcheado en la versión : 6.8.6
Puntuación de gravedad : media
3. Relevanssi – Una mejor búsqueda
Complemento : Relevanssi – Una mejor búsqueda
Vulnerabilidad : secuencias de comandos entre sitios almacenadas no autenticadas
Instalación activa : 100,000+
Parcheado en la versión : 4.14.3
Puntuación de gravedad : alta
4. Boletín, SMTP, marketing por correo electrónico y formularios de suscripción de Sendinblue
Complemento: Boletín, SMTP, marketing por correo electrónico y formularios de suscripción de Sendinblue
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : 90,000+
Parcheado en la versión : 3.1.25
Puntuación de gravedad : alta
5. Feed de productos PRO para WooCommerce
Complemento: Feed de productos PRO para WooCommerce
Vulnerabilidad : Actualización de la configuración del suscriptor+ para XSS almacenado
Instalación activa : 80,000+
Parcheado en la versión : 11.0.7
Puntuación de gravedad : alta
6. Publicar cuadrícula
Complemento: Publicar cuadrícula
Vulnerabilidad : colaborador + inyección SQL
Instalación activa : 60,000+
Parcheado en la versión : 2.1.13
Puntuación de gravedad : media
7. Entradas de formulario de contacto
Complemento: entradas de formulario de contacto
Vulnerabilidad : secuencias de comandos entre sitios almacenadas no autenticadas
Instalación activa : 40,000+
Parcheado en la versión : 1.2.4
Puntuación de gravedad : alta
8. Entradas para eventos
Complemento: entradas para eventos
Vulnerabilidad : redirección abierta
Instalación activa : 40,000+
Parcheado en la versión : 5.2.2
Puntuación de gravedad : media
9. Campos personalizados avanzados: extendidos
Complemento: Campos personalizados avanzados: Extendido
Vulnerabilidad : administración + inyección SQL
Instalación activa : 40,000+
Versión parcheada: 0.8.8.7
Puntuación de gravedad : media
10. Acepta donaciones con PayPal
Complemento: aceptar donaciones con PayPal
Vulnerabilidad : eliminación arbitraria de publicaciones a través de CSRF
Instalación activa : 30,000+
Parcheado en la versión : 1.3.4
Puntuación de gravedad : alta
11. Campo de galería de fotos de ACF
Complemento: Campo de galería de fotos ACF
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : 30,000+
Parcheado en la versión : 1.7.5
Puntuación de gravedad : media
12. Monitor de descarga simple
Complemento: Monitor de descarga simple
Vulnerabilidad : Múltiple CSRF
Instalación activa : 30,000+
Parcheado en la versión : 3.9.11
Puntuación de gravedad : media
13. Proteger al administrador de WP
Complemento: proteger el administrador de WP
Vulnerabilidad : desactivación de complemento no autenticado
Instalación activa : 30,000+
Parcheado en la versión : 3.6.2
Puntuación de gravedad : media
14. Copia de seguridad y puesta en escena por WP Time Capsule
Complemento: copia de seguridad y puesta en escena por WP Time Capsule
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : más de 20 000
Parcheado en la versión : 1.22.7
Puntuación de gravedad : alta
15. Calendario de eventos
Complemento: Calendario de eventos
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : más de 20 000
Parcheado en la versión : 1.1.51
Puntuación de gravedad : alta
Complemento: Calendario de eventos
Vulnerabilidad : suscriptor + creación de eventos
Instalación activa : más de 20 000
Parcheado en la versión : 1.1.51
Puntuación de gravedad : media
16. Reservas en restaurantes de cinco estrellas
Complemento: Reservas de restaurantes de cinco estrellas
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por suscriptor+
Instalación activa : más de 20 000
Parcheado en la versión : 2.4.8
Puntuación de gravedad : alta
17. Foro de Asgarós
Complemento : Foro de Asgaros
Vulnerabilidad : administración + inyección SQL a través de forum_id
Instalación activa : más de 20 000
Parcheado en la versión : 1.15.15
Puntuación de gravedad : media
18. WP125
Complemento : WP125
Vulnerabilidad : eliminación arbitraria de anuncios a través de CSRF
Instalación activa : 10,000+
Parcheado en la versión : 1.5.5
Puntuación de gravedad : media
19. Gerente de Afiliados
Complemento: Administrador de afiliados
Vulnerabilidad : secuencias de comandos entre sitios almacenadas no autenticadas
Instalación activa : 10,000+
Parcheado en la versión : 2.9.0
Puntuación de gravedad : alta
20. Herramienta SEO inteligente
Complemento: herramienta SEO inteligente
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : 9,000+
Parcheado en la versión : 3.0.6
Puntuación de gravedad : media
21. tarteaucitron.js – Legislación de cookies y RGPD
Complemento : tarteaucitron.js – Legislación de cookies y RGPD
Vulnerabilidad : CSRF a secuencias de comandos entre sitios almacenadas
Instalación activa : más de 7000
Parcheado en la versión : 1.6
Puntuación de gravedad : media
Complemento : tarteaucitron.js – Legislación de cookies y RGPD
Vulnerabilidad : administración + secuencias de comandos entre sitios almacenadas
Instalación activa : más de 7000
Parcheado en la versión : 1.6.1
Puntuación de gravedad : baja
22. Potenciador de SEO
Complemento: SEO Booster
Vulnerabilidad : administración + inyección SQL
Instalación activa : más de 4000
Parcheado en la versión : 3.8
Puntuación de gravedad : media
23. Creador de banners de Booking.com
Complemento: creador de banners de Booking.com
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Instalación activa : más de 3000
Parcheado en la versión : 1.4.3
Puntuación de gravedad : baja
24. Perfil de campos adicionales
Complemento: Perfil de campos adicionales
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : más de 2000
Parcheado en la versión : 1.2.4
Puntuación de gravedad : alta
25. Ayudante de producto de Booking.com
Complemento: Booking.com Product Helper
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Instalación activa : más de 2000
Parcheado en la versión : 1.0.2
Puntuación de gravedad : baja
26. SEUR Oficial
Complemento: SEUR Oficial
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Instalación activa : más de 1000
Parcheado en la versión : 1.7.0
Puntuación de gravedad : media
27. Integración de hojas de cálculo
Complemento: Integración de hoja de cálculo
Vulnerabilidad : derivación CSRF
Instalación activa : más de 1000
Parcheado en la versión : 3.6.0
Puntuación de gravedad : media
Complemento: Integración de hoja de cálculo
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : más de 1000
Parcheado en la versión : 3.6.0
Puntuación de gravedad : alta
28. Anuncios de afiliados de ClickBank
Complemento: anuncios de afiliados de ClickBank
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Instalación activa : 700+
Versión parcheada : 1.35
Puntuación de gravedad : baja
Complemento: anuncios de afiliados de ClickBank
Vulnerabilidad : CSRF a secuencias de comandos entre sitios almacenadas
Instalación activa : 700+
Versión parcheada : 1.35
Puntuación de gravedad : alta
29. Estético
Complemento : Stetic
Vulnerabilidad : CSRF a secuencias de comandos entre sitios almacenadas
Instalación activa : 300+
Parcheado en la versión : 1.0.9
Puntuación de gravedad : alta
30. Administrador de eventos móviles
Complemento: Administrador de eventos móviles
Vulnerabilidad : secuencias de comandos entre sitios almacenadas por Admin+
Instalación activa : 20+
Parcheado en la versión : 1.4.4
Puntuación de gravedad : baja
Vulnerabilidades del complemento de WordPress: ninguna solución conocida
En esta sección, las últimas vulnerabilidades de los complementos de WordPress se han revelado en complementos cerrados. Cada lista de complementos incluye el tipo de vulnerabilidad, la calificación de gravedad y la fecha de cierre.
31. Cualquier comentario
Complemento : AnyComment
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Instalación activa : más de 4000
Parcheado en la versión : sin solución conocida
Puntuación de gravedad : media
Vulnerabilidades del complemento de WordPress: complemento cerrado
En esta sección, las últimas vulnerabilidades de los complementos de WordPress se han revelado en complementos cerrados. Cada lista de complementos incluye el tipo de vulnerabilidad, la calificación de gravedad y la fecha de cierre.
32. Pestañas
Complemento: Pestañas
Vulnerabilidad : actualización de opción arbitraria no autenticada
Parcheado en la versión : 3.6.0 – complemento cerrado
Puntuación de gravedad : crítica
33. Complementos de código corto
Complemento : complementos de código corto
Vulnerabilidad : actualización de opción arbitraria no autenticada
Parcheado en la versión : 3.1.0 - complemento cerrado
Puntuación de gravedad : crítica
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Como puede ver en el Informe semanal de vulnerabilidades de WordPress, cada semana se revelan muchas vulnerabilidades nuevas de complementos y temas de WordPress. Sabemos que puede ser difícil mantenerse al tanto de cada divulgación de vulnerabilidad informada, por lo que el complemento iThemes Security Pro facilita asegurarse de que su sitio no esté ejecutando un tema, complemento o versión principal de WordPress con una vulnerabilidad conocida.
1. Instale el complemento iThemes Security Pro
El complemento iThemes Security Pro fortalece su sitio de WordPress contra las formas más comunes en que los sitios web son pirateados. Con más de 30 formas de proteger su sitio en un complemento fácil de usar.
2. Habilite el escaneo del sitio para buscar vulnerabilidades conocidas
La función de gestión de versiones en iThemes Security Pro se integra con Site Scan para proteger su sitio. Los temas vulnerables, los complementos y las versiones principales de WordPress se actualizarán automáticamente para usted.
3. Activar la detección de cambio de archivo
La clave para detectar rápidamente una brecha de seguridad es monitorear los cambios de archivos en su sitio web. La función de detección de cambios de archivos en iThemes Security Pro escaneará los archivos de su sitio web y le avisará cuando ocurran cambios en su sitio web.
Obtenga iThemes Security Pro con el escaneo del sitio
iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, la autenticación de dos factores, la protección de fuerza bruta, la aplicación segura de contraseñas y más, puede agregar capas adicionales de seguridad a su sitio web.
