Informe de vulnerabilidad de WordPress: septiembre de 2021, parte 3
Publicado: 2021-09-15Los complementos y temas vulnerables son la razón número 1 por la que los sitios web de WordPress son pirateados. El Informe de vulnerabilidad de WordPress semanal impulsado por WPScan cubre las vulnerabilidades principales, el tema y el complemento de WordPress reciente, y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.
Cada vulnerabilidad tendrá una clasificación de gravedad de Baja , Media , Alta o Crítica . La divulgación responsable y la notificación de vulnerabilidades es una parte integral para mantener segura la comunidad de WordPress.
Como uno de los informes de vulnerabilidad de WordPress más grandes hasta la fecha, comparta esta publicación con sus amigos para ayudar a correr la voz y hacer que WordPress sea más seguro para todos.
Vulnerabilidades del núcleo de WordPress
Se revelaron y solucionaron varios problemas de seguridad centrales de WordPress. WordPress 5.8.1 fue lanzado como una versión de seguridad y mantenimiento. Como práctica recomendada, asegúrese siempre de ejecutar la última versión del núcleo de WordPress.
1. WordPress 5.4 a 5.8
Vulnerabilidad : exposición de datos a través de la API REST
Parcheado en la versión : 5.8.1
Puntuación de gravedad : media
Vulnerabilidad : XSS autenticado en el editor de bloques
Parcheado en la versión : 5.8.1
Puntuación de gravedad : media
Vulnerabilidad : Actualización de la biblioteca Lodash
Parcheado en la versión : 5.8.1
Puntuación de gravedad : media
Vulnerabilidades de los complementos de WordPress
En esta sección, se han revelado las últimas vulnerabilidades de los complementos de WordPress. Cada lista de complementos incluye el tipo de vulnerabilidad, el número de versión si se parcheó y la clasificación de gravedad.
1. Pinterest Automático
Complemento: Pinterest Automático
Vulnerabilidad : Actualización de opciones arbitrarias no autenticadas
Parcheado en la versión : 4.14.4
Puntuación de gravedad : crítica
2. WordPress automático
Complemento: WordPress Automático
Vulnerabilidad : Actualización de opciones arbitrarias no autenticadas
Parcheado en la versión : 3.53.3
Puntuación de gravedad : crítica
3. ELEX WooCommerce Google Shopping
Complemento : ELEX WooCommerce Google Shopping
Vulnerabilidad : Scripts reflejados entre sitios (XSS)
Parcheado en la versión : 1.2.4
Puntuación de gravedad : alta
4. Registro de usuario
Complemento: registro de usuario
Vulnerabilidad : secuencias de comandos entre sitios almacenadas con privilegios bajos
Parcheado en la versión : 2.0.2
Puntuación de gravedad : media
5. uListing
Complemento : uListing
Vulnerabilidad : Actualización de la opción de blog arbitraria a través de CSRF
Parcheado en la versión : 2.0.9
Puntuación de gravedad : alta
6. Reserva de horas de cita
Complemento: reserva de hora de cita
Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
Parcheado en la versión : 1.3.16
Puntuación de gravedad : baja
Complemento: reserva de hora de cita
Vulnerabilidad : XSS almacenado autenticado
Parcheado en la versión : 1.3.17
Puntuación de gravedad : baja
7. UsersWP
Complemento : UsersWP
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.2.2.29
Puntuación de gravedad : media
8. Calendario editorial de PublishPress
Complemento: Calendario editorial de PublishPress
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 3.5.1
Puntuación de gravedad : alta
9. Mejor búsqueda y reemplazo
Complemento: mejor búsqueda y reemplazo
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.2.9
Puntuación de gravedad : alta
10. Glosario de información sobre herramientas de CM
Complemento: Glosario de información sobre herramientas de CM
Vulnerabilidad : Colaborador + Secuencias de comandos entre sitios almacenados
Parcheado en la versión : 3.9.21
Puntuación de gravedad : media
11. Pasarela de pago Bitcoin / AltCoin para WooCommerce
Plugin: Bitcoin / AltCoin Pasarela de Pagos para WooCommerce
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : 1.6.1
Puntuación de gravedad : alta
12. Modern Events Calendar Lite
Complemento: Calendario de eventos moderno Lite
Vulnerabilidad : Administrador + Secuencias de comandos entre sitios almacenados
Parcheado en la versión : 5.22.2
Puntuación de gravedad : baja
13. Mi Chatbot
Tema: Mi Chatbot
Vulnerabilidad : Scripts reflejados entre sitios (XSS)
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta
14. Página duplicada
Complemento: página duplicada
Vulnerabilidad : Administrador + Secuencias de comandos entre sitios almacenados
Parcheado en la versión : 4.4.3
Puntuación de gravedad : media
15. Efecto meteorológico
Complemento: Efecto meteorológico
Vulnerabilidad : Administrador + Secuencias de comandos entre sitios almacenados
Parcheado en la versión : 1.3.6
Puntuación de gravedad : baja
Complemento: Efecto meteorológico
Vulnerabilidad : CSRF a secuencias de comandos almacenadas entre sitios
Parcheado en la versión : 1.3.4
Puntuación de gravedad : alta
16. Prueba encadenada
Complemento: Prueba encadenada
Vulnerabilidad : secuencias de comandos de sitios cruzados almacenadas y autenticadas
Parcheado en la versión : 1.2.7.2
Puntuación de gravedad : baja
17. Lista de personas académicas de WP
Complemento : Lista de personas académicas de WP
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
18. ¡Konnichiwa! Afiliación
Complemento : Konnichiwa! Afiliación
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
19. Carrusel de portadas 3D
Complemento : Carrusel de portadas 3D
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
20. Más de Google
Complemento : Más de Google
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
21. Autenticación simpleSAMLphp
Plugin: Autenticación simpleSAMLphp
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
22. Complemento de menú personalizado
Complemento : Complemento de menú personalizado
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
23. Widget de amigos de Twitter
Complemento : Widget de amigos de Twitter
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
24. RentPress
Plugin: RentPress
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
25. SP Rental Manager
Complemento : SP Rental Manager
Vulnerabilidad : inyección SQL no autenticada
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta
26. Correo electrónico de activación del usuario
Complemento : correo electrónico de activación del usuario
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
27. WP Google Maps
Complemento: WP Google Maps
Vulnerabilidad : múltiples administradores + secuencias de comandos entre sitios almacenadas
Parcheado en la versión : 8.1.13
Puntuación de gravedad : baja
28. GeoDirectory
Complemento : GeoDirectory
Vulnerabilidad : Secuencias de comandos entre sitios almacenadas (XSS) autenticadas (admin +)
Parcheado en la versión : 2.1.1.3
Puntuación de gravedad : media
29. TranslatePress
Complemento: TranslatePress
Vulnerabilidad : secuencias de comandos entre sitios almacenadas y autenticadas
Parcheado en la versión : 2.0.9
Puntuación de gravedad : baja
30. Contador de título de publicación
Complemento : Contador de títulos de publicaciones
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
31. Insertador de videos de YouTube
Complemento : Insertador de videos de YouTube
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
32. Avisos
Complemento : Avisos
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
33. DJ EmailPublish
Plugin: DJ EmailPublish
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
34. Otro complemento de bol.com
Plugin: Sin embargo, otro bol.com Plugin
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
35. WP-T-Wap
Complemento : WP-T-Wap
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
36. Botón de chat en la página SEO + Whatsapp
Complemento : SEO en la página + Botón de chat de Whatsapp
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
37. WP Scrippets
Plugin: WP Scrippets
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
38. WP Design Maps & Places
Complemento : WP Design Maps & Places
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
39. Formularios de captura de agentes sabios
Complemento : formularios de captura de Wise Agent
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
40. Editar comentarios XT
Complemento : Editar comentarios XT
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
41. RSVPMaker Excel
Plugin: RSVPMaker Excel
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
42. Barra de carga fronteriza
Complemento : barra de carga de borde
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
43. Miniaturas enmarañadas simples
Complemento : miniaturas mate simples
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
44. Tienda simple de WordPress
Complemento : WordPress Simple Shop
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
45. Pasarela de pago de WooCommerce por categoría
Complemento : Pasarela de pago WooCommerce por categoría
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
46. Datos de sitios web personalizados
Complemento : datos de sitios web personalizados
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
47. Búsqueda avanzada
Complemento : búsqueda avanzada
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
48. Integración de Moneybird para WooCommerce
Plugin: Integración de Moneybird para WooCommerce
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
49. Spideranalyse
Plugin: Spideranalyse
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
50. Suscripción OSD
Complemento : Suscripción OSD
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
51. Notificaciones push web de Feedify
Plugin: Feedify Web Notificaciones Push
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
52. Texto desplegable y desplazable
Complemento : Texto desplegable y desplazable
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
53. Integración GNU-Mailman
Complemento : Integración GNU-Mailman
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
54. Biblioteca de errores
Complemento : biblioteca de errores
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
55. SMS OVH
Complemento : SMS OVH
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
56. MoolaMojo
Plugin: MoolaMojo
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
57. Complemento InviteBox de WordPress
Plugin: Plugin de WordPress InviteBox
Vulnerabilidad : secuencias de comandos entre sitios reflejadas
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : media
58. wp-publications
Complemento : wp-publications
Vulnerabilidad : inclusión de archivos locales
Parcheado en la versión : Sin solución conocida
Puntuación de gravedad : alta
59. Horario y calendario de eventos de MotoPress
Complemento: horario y calendario de eventos de MotoPress
Vulnerabilidad : Autor + Secuencias de comandos entre sitios almacenados
Parcheado en la versión : 2.3.19
Puntuación de gravedad : media
60. Eliminar enlaces de comentarios y otras herramientas de comentarios
Complemento: Eliminar enlaces de comentarios y otras herramientas de comentarios
Vulnerabilidad : eliminación arbitraria de comentarios a través de CSRF
Parcheado en la versión : 2.1.6
Puntuación de gravedad : media
61. Calendario de reservas simple de WP
Complemento: WP Simple Booking Calendar
Vulnerabilidad : inyección de SQL autenticado
Parcheado en la versión : 2.0.6
Puntuación de gravedad : media
62. Bloquear y detener los bots malos
Complemento: bloquear y detener los bots malos
Vulnerabilidad : inyecciones SQL autenticadas
Parcheado en la versión : 6.60
Puntuación de gravedad : media
63. Suscripciones de miembros pagadas
Complemento: Suscripciones de miembros pagas
Vulnerabilidad : inyección de SQL autenticado
Parcheado en la versión : 2.4.2
Puntuación de gravedad : media
64. Acordeón fácil
Complemento: Acordeón fácil
Vulnerabilidad : Administrador + Secuencias de comandos entre sitios almacenados
Parcheado en la versión : 2.0.22
Puntuación de gravedad : baja
Vulnerabilidades del tema de WordPress
1. Envuelve
Tema: Envolver
Vulnerabilidad : Scripts reflejados entre sitios (XSS)
Parcheado en la versión : 4.8.4
Puntuación de gravedad : media
Una nota sobre divulgación responsable
Quizás se pregunte por qué se revelaría una vulnerabilidad si les da a los piratas informáticos un exploit para atacar. Bueno, es muy común que un investigador de seguridad encuentre e informe de forma privada la vulnerabilidad al desarrollador de software.
Con la divulgación responsable , el informe inicial del investigador se realiza de forma privada a los desarrolladores de la empresa propietaria del software, pero con el acuerdo de que los detalles completos se publicarán una vez que se haya puesto a disposición un parche. En el caso de vulnerabilidades de seguridad importantes, puede haber un ligero retraso en la divulgación de la vulnerabilidad para que más personas tengan tiempo de parchear.
El investigador de seguridad puede proporcionar una fecha límite para que el desarrollador de software responda al informe o proporcione un parche. Si no se cumple este plazo, el investigador puede revelar públicamente la vulnerabilidad para presionar al desarrollador para que emita un parche.
Revelar públicamente una vulnerabilidad y aparentemente introducir una vulnerabilidad de día cero, un tipo de vulnerabilidad que no tiene parche y está siendo explotada en la naturaleza, puede parecer contraproducente. Pero es la única ventaja que tiene un investigador para presionar al desarrollador para que parchee la vulnerabilidad.
Si un pirata informático descubriera la vulnerabilidad, podría usar el Exploit silenciosamente y causar daño al usuario final (este es usted), mientras que el desarrollador de software sigue contento con dejar la vulnerabilidad sin parchear. Project Zero de Google tiene pautas similares cuando se trata de revelar vulnerabilidades. Publican los detalles completos de la vulnerabilidad después de 90 días, independientemente de que se haya parcheado o no.
Cómo proteger su sitio web de WordPress de complementos y temas vulnerables
Como puede ver en este informe, cada semana se revelan muchas vulnerabilidades de temas y complementos de WordPress nuevos. Sabemos que puede ser difícil estar al tanto de todas las divulgaciones de vulnerabilidades reportadas, por lo que el complemento iThemes Security Pro hace que sea fácil asegurarse de que su sitio no esté ejecutando un tema, complemento o versión principal de WordPress con una vulnerabilidad conocida.
1. Encienda el escáner de sitios de iThemes Security Pro
El Site Scanner del complemento iThemes Security Pro analiza la razón número 1 por la que los sitios de WordPress son pirateados: complementos y temas obsoletos con vulnerabilidades conocidas. Site Scanner comprueba su sitio en busca de vulnerabilidades conocidas y aplica automáticamente un parche si hay alguno disponible.
Para habilitar el escaneo del sitio en nuevas instalaciones, navegue a la pestaña Verificación del sitio en el menú Funciones dentro del complemento y haga clic en la palanca para habilitar el escaneo del sitio .
Para activar un escaneo del sitio manual, haga clic en el botón Escanear ahora en la tarjeta del panel de control de seguridad del escaneo del sitio.
Si Site Scan detecta una vulnerabilidad, haga clic en el enlace de la vulnerabilidad para ver la página de detalles.
En la página de vulnerabilidades de Site Scan, verá si hay una solución disponible para la vulnerabilidad. Si hay un parche disponible, puede hacer clic en el botón Actualizar complemento para aplicar la corrección en su sitio web.
2. Active la administración de versiones para actualizar automáticamente si corrige la vulnerabilidad.
La función de administración de versiones en iThemes Security Pro se integra con Site Scan para proteger su sitio cuando el software desactualizado no se actualiza con la suficiente rapidez. Incluso las medidas de seguridad más estrictas fallarán si ejecuta software vulnerable en su sitio web. Esta configuración ayuda a proteger su sitio con opciones para actualizar a nuevas versiones automáticamente si existe una vulnerabilidad conocida y hay un parche disponible.
Desde la página Configuración en iThemes Security Pro, navegue hasta la pantalla Funciones. Haga clic en la pestaña Verificación del sitio. Desde aquí, use el interruptor para habilitar la Gestión de versiones. Con el equipo de configuración, puede configurar aún más configuraciones, incluida la forma en que desea que iThemes Security Pro maneje las actualizaciones de WordPress, los complementos, los temas y la protección adicional.
Asegúrese de seleccionar la actualización automática si se soluciona un cuadro de vulnerabilidad para que iThemes Security Pro se actualizará automáticamente un plugin o tema si se corrige una vulnerabilidad que fue encontrada por el explorador web.
3. Reciba una alerta por correo electrónico cuando iThemes Security Pro encuentre una vulnerabilidad conocida en su sitio
Una vez que haya habilitado la Programación de escaneo del sitio, diríjase a la configuración del Centro de notificaciones del complemento. En esta pantalla, desplácese hasta la sección Resultados del análisis del sitio .
Haga clic en la casilla para habilitar el correo electrónico de notificación y luego haga clic en el botón Guardar configuración .
Ahora, durante cualquier escaneo programado del sitio, recibirá un correo electrónico si iThemes Security Pro descubre alguna vulnerabilidad conocida. El correo electrónico se verá así.
Obtén iThemes Security Pro y descansa un poco más tranquilo esta noche
iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza bruta, aplicación de contraseña sólida y más, puede agregar capas adicionales de seguridad a su sitio web.
Obtén iThemes Security Pro
Cada semana, Michael elabora el Informe de vulnerabilidad de WordPress para ayudar a mantener sus sitios seguros. Como Product Manager en iThemes, nos ayuda a seguir mejorando la línea de productos de iThemes. Es un nerd gigante y le encanta aprender sobre tecnología, tanto antigua como nueva. Puede encontrar a Michael pasando el rato con su esposa e hija, leyendo o escuchando música cuando no está trabajando.
