Informe de vulnerabilidad de WordPress: junio de 2021, parte 3
Publicado: 2021-06-16Los complementos y temas vulnerables son la razón número 1 por la que los sitios web de WordPress son pirateados. El Informe de vulnerabilidad de WordPress semanal impulsado por WPScan cubre las vulnerabilidades principales, el tema y el complemento de WordPress reciente, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.
Cada vulnerabilidad tendrá una clasificación de gravedad de Baja , Media , Alta o Crítica . La divulgación responsable y la notificación de vulnerabilidades es una parte integral para mantener segura la comunidad de WordPress. Comparta esta publicación con sus amigos para ayudar a correr la voz y hacer que WordPress sea más seguro para todos.
Vulnerabilidades del núcleo de WordPress
A día de hoy, la versión actual de WordPress es 5.7.2. ¡Asegúrese de que todos sus sitios web estén actualizados!
Vulnerabilidades de los complementos de WordPress
1. Recientemente
Complemento: Recientemente
Vulnerabilidad : inyección de código autenticado
Parcheado en la versión : 3.0.5
Gravedad : alta
Complemento: Recientemente
Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
Parcheado en la versión : 3.0.5
Gravedad : media
2. Publicaciones populares de WordPress
Complemento: Publicaciones populares de WordPress
Vulnerabilidad : inyección de código autenticado
Parcheado en la versión 5.3.3
Puntuación de gravedad : alta
Complemento: Publicaciones populares de WordPress
Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
Parcheado en la versión 5.3.3
Puntuación de gravedad : media
3. Endurecimiento de WP
Complemento: WP Hardening
Vulnerabilidad : secuencias de comandos entre sitios reflejadas a través de URI
Parcheado en la versión : 1.2.2
Puntuación de gravedad : media
Complemento: WP Hardening
Vulnerabilidad : secuencias de comandos entre sitios reflejadas a través de historyvalue
Parcheado en la versión : 1.2.2
Puntuación de gravedad : alta
4. Comentarios como No me gusta
Complemento: Comentarios como No me gusta
Vulnerabilidad : Agregar Bypass de Me gusta / No me gusta
Parcheado en la versión : 1.1.4
Puntuación de gravedad : media
5. Editor de archivos de configuración de WP
Complemento: Editor de archivos de configuración de WP
Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
6. Admin Columns Free y Pro
Complemento: Admin Columns Free
Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
Parcheado en la versión : 4.3
Puntuación de gravedad : media
Complemento: Admin Columns Pro
Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
Parcheado en la versión : 5.5.1
Puntuación de gravedad : media
7. WP Google Maps
Complemento: WP Google Maps
Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
Parcheado en la versión : 8.1.12
Puntuación de gravedad : media
8. Pasarela de pago Stripe para WooCommerce
Complemento: Pasarela de pago Stripe para WooCommerce
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 3.6.0
Puntuación de gravedad : alta
9. Qtranslate Slug
Complemento : Qtranslate Slug
Vulnerabilidad : derivación de CSRF
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
10. CSS-js-php personalizado
Complemento: css-js-php personalizado
Vulnerabilidad : derivación de CSRF
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
11. Funciones múltiples
Complemento: múltiples roles
Vulnerabilidad : derivación de CSRF
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
12. Solución de mercado de múltiples proveedores para WooCommerce
Complemento: Solución de mercado de múltiples proveedores para WooCommerce
Vulnerabilidad : derivación de CSRF
Parcheado en la versión : 3.74
Puntuación de gravedad : media
13. JoomSport
Complemento : JoomSport
Vulnerabilidad : inyección de objetos PHP no autenticados
Parcheado en la versión : 5.1.8
Puntuación de gravedad : media
14. Control deslizante inteligente 3
Complemento: Smart Slider 3
Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
Parcheado en la versión : 3.5.0.9
Puntuación de gravedad : media
15. Política de cookies fácil
Complemento: Política de cookies sencilla
Vulnerabilidad : control de acceso roto a secuencias de comandos almacenadas entre sitios
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta
16. Welcart e-Commerce
Complemento : Welcart e-Commerce
Vulnerabilidad : secuencias de comandos entre sitios
Parcheado en la versión : 2.2.4
Puntuación de gravedad : media
17. WP Prayer
Complemento: WP Prayer
Vulnerabilidad : Actualización de la configuración del complemento arbitrario a través de CSRF
Parcheado en la versión : 1.6.7
Puntuación de gravedad : media
Vulnerabilidades del tema de WordPress
1. Jannah
Tema: Jannah
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 5.4.4
Puntuación de gravedad : alta
2. Tema motor
Tema: tema del motor
Vulnerabilidad : inclusión de archivos locales no autenticados
Parcheado en la versión : 3.1.0
Puntuación de gravedad : alta
3. Bienes inmuebles 7
Tema: Inmobiliaria 7
Vulnerabilidad : 3.1.1
Parcheado en la versión : Secuencias de comandos entre sitios reflejados
Puntuación de gravedad : alta
Una nota sobre divulgación responsable
Quizás se pregunte por qué se revelaría una vulnerabilidad si les da a los piratas informáticos un exploit para atacar. Bueno, es muy común que un investigador de seguridad encuentre e informe de forma privada la vulnerabilidad al desarrollador de software.
Con la divulgación responsable , el informe inicial del investigador se realiza de forma privada a los desarrolladores de la empresa propietaria del software, pero con el acuerdo de que los detalles completos se publicarán una vez que se haya puesto a disposición un parche. En el caso de vulnerabilidades de seguridad importantes, puede haber un ligero retraso en la divulgación de la vulnerabilidad para que más personas tengan tiempo de parchear.
El investigador de seguridad puede proporcionar una fecha límite para que el desarrollador de software responda al informe o proporcione un parche. Si no se cumple este plazo, el investigador puede revelar públicamente la vulnerabilidad para presionar al desarrollador para que emita un parche.
Revelar públicamente una vulnerabilidad y aparentemente introducir una vulnerabilidad de día cero, un tipo de vulnerabilidad que no tiene parche y está siendo explotada en la naturaleza, puede parecer contraproducente. Pero es la única ventaja que tiene un investigador para presionar al desarrollador para que parchee la vulnerabilidad.
Si un pirata informático descubriera la vulnerabilidad, podría usar el Exploit silenciosamente y causar daño al usuario final (este es usted), mientras que el desarrollador de software sigue contento con dejar la vulnerabilidad sin parchear. Project Zero de Google tiene pautas similares cuando se trata de revelar vulnerabilidades. Publican los detalles completos de la vulnerabilidad después de 90 días, independientemente de que se haya parcheado o no.
Reciba una alerta por correo electrónico cuando iThemes Security Pro encuentre una vulnerabilidad conocida en su sitio
El escáner de sitios del complemento iThemes Security Pro es otra forma de asegurar y proteger su sitio web de WordPress de la causa número uno de todos los hackeos de software: complementos y temas obsoletos con vulnerabilidades conocidas. Site Scanner comprueba su sitio en busca de vulnerabilidades conocidas y aplica automáticamente un parche si hay alguno disponible.
El complemento iThemes Security Pro puede enviarle por correo electrónico los resultados de un escaneo del sitio si encuentra complementos, temas o la versión principal de WordPress vulnerables en su sitio. Los resultados de Site Scan se mostrarán en el widget.
Si Site Scan detecta una vulnerabilidad, haga clic en el enlace de la vulnerabilidad para ver la página de detalles.
Una vez que haya habilitado la Programación de escaneo del sitio, diríjase a la configuración del Centro de notificaciones del complemento. En esta pantalla, desplácese hasta la sección Resultados del análisis del sitio .
Haga clic en la casilla para habilitar el correo electrónico de notificación y luego haga clic en el botón Guardar configuración .
Ahora, durante cualquier escaneo programado del sitio, recibirá un correo electrónico si iThemes Security Pro descubre alguna vulnerabilidad conocida. El correo electrónico se verá así.
Obtenga iThemes Security Pro para proteger su sitio
iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza bruta, aplicación de contraseña sólida y más, puede agregar una capa adicional de seguridad a su sitio web.
Obtén iThemes Security Pro
¿Se perdió alguno de los informes de vulnerabilidad de WordPress de junio?
Ponte al día a continuación:
- Junio de 2021, parte 1
- Junio de 2021, parte 2
Cada semana, Michael elabora el Informe de vulnerabilidad de WordPress para ayudar a mantener sus sitios seguros. Como Product Manager en iThemes, nos ayuda a seguir mejorando la línea de productos de iThemes. Es un nerd gigante y le encanta aprender sobre tecnología, tanto antigua como nueva. Puede encontrar a Michael pasando el rato con su esposa e hija, leyendo o escuchando música cuando no está trabajando.
