Informe de vulnerabilidad de WordPress: junio de 2021, parte 3

Publicado: 2021-06-16

Los complementos y temas vulnerables son la razón número 1 por la que los sitios web de WordPress son pirateados. El Informe de vulnerabilidad de WordPress semanal impulsado por WPScan cubre las vulnerabilidades principales, el tema y el complemento de WordPress reciente, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.

Cada vulnerabilidad tendrá una clasificación de gravedad de Baja , Media , Alta o Crítica . La divulgación responsable y la notificación de vulnerabilidades es una parte integral para mantener segura la comunidad de WordPress. Comparta esta publicación con sus amigos para ayudar a correr la voz y hacer que WordPress sea más seguro para todos.

En el informe de la tercera parte de junio
    ¡Reciba el informe semanal de vulnerabilidades de WordPress directamente en su bandeja de entrada!
    Regístrate ahora

    Vulnerabilidades del núcleo de WordPress

    A día de hoy, la versión actual de WordPress es 5.7.2. ¡Asegúrese de que todos sus sitios web estén actualizados!

    Este mes no se han revelado nuevas vulnerabilidades del núcleo de WordPress. Asegúrese de ejecutar WordPress 5.7.2 en todos sus sitios.

    Vulnerabilidades de los complementos de WordPress

    1. Recientemente

    Complemento: Recientemente
    Vulnerabilidad : inyección de código autenticado
    Parcheado en la versión : 3.0.5
    Gravedad : alta

    Complemento: Recientemente
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
    Parcheado en la versión : 3.0.5
    Gravedad : media

    2. Publicaciones populares de WordPress

    Complemento: Publicaciones populares de WordPress
    Vulnerabilidad : inyección de código autenticado
    Parcheado en la versión 5.3.3
    Puntuación de gravedad : alta

    Complemento: Publicaciones populares de WordPress
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
    Parcheado en la versión 5.3.3
    Puntuación de gravedad : media

    3. Endurecimiento de WP

    Complemento: WP Hardening
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas a través de URI
    Parcheado en la versión : 1.2.2
    Puntuación de gravedad : media

    Complemento: WP Hardening
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas a través de historyvalue
    Parcheado en la versión : 1.2.2
    Puntuación de gravedad : alta

    4. Comentarios como No me gusta

    Complemento: Comentarios como No me gusta
    Vulnerabilidad : Agregar Bypass de Me gusta / No me gusta
    Parcheado en la versión : 1.1.4
    Puntuación de gravedad : media

    5. Editor de archivos de configuración de WP

    Complemento: Editor de archivos de configuración de WP
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
    Parcheado en la versión : Sin solución conocida
    Puntuación de gravedad : media

    6. Admin Columns Free y Pro

    Complemento: Admin Columns Free
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
    Parcheado en la versión : 4.3
    Puntuación de gravedad : media

    Complemento: Admin Columns Pro
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
    Parcheado en la versión : 5.5.1
    Puntuación de gravedad : media

    7. WP Google Maps

    Complemento: WP Google Maps
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
    Parcheado en la versión : 8.1.12
    Puntuación de gravedad : media

    8. Pasarela de pago Stripe para WooCommerce

    Complemento: Pasarela de pago Stripe para WooCommerce
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas
    Parcheado en la versión : 3.6.0
    Puntuación de gravedad : alta

    9. Qtranslate Slug

    Complemento : Qtranslate Slug
    Vulnerabilidad : derivación de CSRF
    Parcheado en la versión : Sin solución conocida
    Puntuación de gravedad : media

    10. CSS-js-php personalizado

    Complemento: css-js-php personalizado
    Vulnerabilidad : derivación de CSRF
    Parcheado en la versión : Sin solución conocida
    Puntuación de gravedad : media

    11. Funciones múltiples

    Complemento: múltiples roles
    Vulnerabilidad : derivación de CSRF
    Parcheado en la versión : Sin solución conocida
    Puntuación de gravedad : media

    12. Solución de mercado de múltiples proveedores para WooCommerce

    Complemento: Solución de mercado de múltiples proveedores para WooCommerce
    Vulnerabilidad : derivación de CSRF
    Parcheado en la versión : 3.74
    Puntuación de gravedad : media

    13. JoomSport

    Logotipo de JoomSport

    Complemento : JoomSport
    Vulnerabilidad : inyección de objetos PHP no autenticados
    Parcheado en la versión : 5.1.8
    Puntuación de gravedad : media

    14. Control deslizante inteligente 3

    Complemento: Smart Slider 3
    Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
    Parcheado en la versión : 3.5.0.9
    Puntuación de gravedad : media

    15. Política de cookies fácil

    Complemento: Política de cookies sencilla
    Vulnerabilidad : control de acceso roto a secuencias de comandos almacenadas entre sitios
    Parcheado en la versión : Sin solución conocida
    Puntuación de gravedad : alta

    16. Welcart e-Commerce

    Complemento : Welcart e-Commerce
    Vulnerabilidad : secuencias de comandos entre sitios
    Parcheado en la versión : 2.2.4
    Puntuación de gravedad : media

    17. WP Prayer

    Complemento: WP Prayer
    Vulnerabilidad : Actualización de la configuración del complemento arbitrario a través de CSRF
    Parcheado en la versión : 1.6.7
    Puntuación de gravedad : media

    Vulnerabilidades del tema de WordPress

    1. Jannah

    Tema: Jannah
    Vulnerabilidad : secuencias de comandos entre sitios reflejadas
    Parcheado en la versión : 5.4.4
    Puntuación de gravedad : alta

    2. Tema motor

    Tema: tema del motor
    Vulnerabilidad : inclusión de archivos locales no autenticados
    Parcheado en la versión : 3.1.0
    Puntuación de gravedad : alta

    3. Bienes inmuebles 7

    Tema: Inmobiliaria 7
    Vulnerabilidad : 3.1.1
    Parcheado en la versión : Secuencias de comandos entre sitios reflejados
    Puntuación de gravedad : alta

    Una nota sobre divulgación responsable

    Quizás se pregunte por qué se revelaría una vulnerabilidad si les da a los piratas informáticos un exploit para atacar. Bueno, es muy común que un investigador de seguridad encuentre e informe de forma privada la vulnerabilidad al desarrollador de software.

    Con la divulgación responsable , el informe inicial del investigador se realiza de forma privada a los desarrolladores de la empresa propietaria del software, pero con el acuerdo de que los detalles completos se publicarán una vez que se haya puesto a disposición un parche. En el caso de vulnerabilidades de seguridad importantes, puede haber un ligero retraso en la divulgación de la vulnerabilidad para que más personas tengan tiempo de parchear.

    El investigador de seguridad puede proporcionar una fecha límite para que el desarrollador de software responda al informe o proporcione un parche. Si no se cumple este plazo, el investigador puede revelar públicamente la vulnerabilidad para presionar al desarrollador para que emita un parche.

    Revelar públicamente una vulnerabilidad y aparentemente introducir una vulnerabilidad de día cero, un tipo de vulnerabilidad que no tiene parche y está siendo explotada en la naturaleza, puede parecer contraproducente. Pero es la única ventaja que tiene un investigador para presionar al desarrollador para que parchee la vulnerabilidad.

    Si un pirata informático descubriera la vulnerabilidad, podría usar el Exploit silenciosamente y causar daño al usuario final (este es usted), mientras que el desarrollador de software sigue contento con dejar la vulnerabilidad sin parchear. Project Zero de Google tiene pautas similares cuando se trata de revelar vulnerabilidades. Publican los detalles completos de la vulnerabilidad después de 90 días, independientemente de que se haya parcheado o no.

    Reciba una alerta por correo electrónico cuando iThemes Security Pro encuentre una vulnerabilidad conocida en su sitio

    El escáner de sitios del complemento iThemes Security Pro es otra forma de asegurar y proteger su sitio web de WordPress de la causa número uno de todos los hackeos de software: complementos y temas obsoletos con vulnerabilidades conocidas. Site Scanner comprueba su sitio en busca de vulnerabilidades conocidas y aplica automáticamente un parche si hay alguno disponible.

    El complemento iThemes Security Pro puede enviarle por correo electrónico los resultados de un escaneo del sitio si encuentra complementos, temas o la versión principal de WordPress vulnerables en su sitio. Los resultados de Site Scan se mostrarán en el widget.

    Si Site Scan detecta una vulnerabilidad, haga clic en el enlace de la vulnerabilidad para ver la página de detalles.

    Una vez que haya habilitado la Programación de escaneo del sitio, diríjase a la configuración del Centro de notificaciones del complemento. En esta pantalla, desplácese hasta la sección Resultados del análisis del sitio .

    Haga clic en la casilla para habilitar el correo electrónico de notificación y luego haga clic en el botón Guardar configuración .

    Ahora, durante cualquier escaneo programado del sitio, recibirá un correo electrónico si iThemes Security Pro descubre alguna vulnerabilidad conocida. El correo electrónico se verá así.

    resultados del escaneo del sitio

    Obtenga iThemes Security Pro para proteger su sitio

    iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza bruta, aplicación de contraseña sólida y más, puede agregar una capa adicional de seguridad a su sitio web.

    Obtén iThemes Security Pro

    ¿Se perdió alguno de los informes de vulnerabilidad de WordPress de junio?

    Ponte al día a continuación:

    • Junio ​​de 2021, parte 1
    • Junio ​​de 2021, parte 2