Resumen de vulnerabilidades de WordPress: abril de 2020, parte 1

Publicado: 2020-08-18

Las nuevas vulnerabilidades de plugins y temas de WordPress se revelaron durante la primera quincena de abril, por lo que queremos mantenerlos al tanto. En esta publicación, cubrimos el plugin, el tema y las vulnerabilidades centrales recientes de WordPress y qué hacer si está ejecutando uno de los plugins o temas vulnerables en su sitio web.

El resumen de vulnerabilidades de WordPress se divide en cuatro categorías diferentes:

  1. Núcleo de WordPress
  2. Complementos de WordPress
  3. Temas de WordPress

Vulnerabilidades del núcleo de WordPress

No se han revelado vulnerabilidades de WordPress en 2020.

Vulnerabilidades de los complementos de WordPress

Hasta ahora, se han descubierto varias vulnerabilidades nuevas de plugins de WordPress este mes. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo.

1. IMPress para IDX Broker

IMPress para IDX Broker por debajo de la versión 2.6.2 tiene una Publicación autenticada, Modificación / Eliminación y Scripting de sitios cruzados (XSS) almacenado autenticado a través de vulnerabilidades desprotegidas 'idx_update_recaptcha_key'.

Las vulnerabilidades se han parcheado y debe actualizar a la versión 2.6.2.

2. Banners emergentes de CM para WordPress

Los banners CM Pop-Up para las versiones de WordPress anteriores a la 1.4.11 tienen una vulnerabilidad XSS almacenada autenticada.

La vulnerabilidad se ha parcheado y debe actualizar a la versión 1.4.11.

3. Clasificar matemáticas

Las versiones de Rank Math inferiores a 1.0.4.1 tienen vulnerabilidades de creación de redireccionamiento y escalado de privilegios.

Las vulnerabilidades se han parcheado y debe actualizar a la versión 1.4.1.

4. LifterLMS

Las versiones de LifterLMS inferiores a 3.37.15 tienen una vulnerabilidad de escritura arbitraria de archivos.

La vulnerabilidad se ha parcheado y debe actualizar a la versión 3.37.15.

5. Creador de páginas de Elementor

Las versiones de Elementor Page Builder anteriores a 2.9.6 tienen una vulnerabilidad de escalamiento de privilegios en modo seguro autenticado.

La vulnerabilidad se ha parcheado y debe actualizar a la versión 2.9.6.

6. LearnDash

Las versiones de LearnDash anteriores a la 3.1.6 tienen una vulnerabilidad de inyección de SQL no autenticado.

La vulnerabilidad ha sido parcheada y debe actualizar a la versión 3.1.6.

7. Iniciar sesión por Auth0

Las versiones de inicio de sesión por Auth0 por debajo de 4.0.0 tienen múltiples vulnerabilidades.

La vulnerabilidad se ha parcheado y debe actualizar a la versión 4.0.0.

8. WordPress WP-Advanced-Search

Las versiones de WordPress WP-Advanced-Search inferiores a 3.3.6 tienen una vulnerabilidad de inyección SQL no autenticada.

La vulnerabilidad se ha parcheado y debe actualizar a la versión 3.3.6.

9. Formulario de contacto 7 Selector de fechas

Todas las versiones de Contact Form 7 Datepicker tienen una vulnerabilidad de secuencias de comandos entre sitios almacenadas y autenticadas.

Elimine el complemento, se ha cerrado en el repositorio de complementos de WordPress.org pendiente de revisión.

10. Galería de imágenes de arte

Todas las versiones de Art-Picture-Gallery tienen una vulnerabilidad de carga de archivos arbitraria no autenticada.

Elimine el complemento, se ha cerrado en el repositorio de complementos de WordPress.org pendiente de revisión.

11. Información de la última modificación de WP

Las versiones de WP Last Modified Info por debajo de 1.6.6 tienen una vulnerabilidad de XSS almacenado autenticado.

La vulnerabilidad se ha parcheado y debe actualizar a la versión 1.6.6.

12. WP Lead Plus X

Todas las versiones de WP Lead Plus X tienen una vulnerabilidad de falsificación de solicitudes entre sitios.

Elimine el complemento hasta que se publique un parche.

13. Complementos definitivos para Gutenberg

Ultimate Addons para las versiones de Gutenberg anteriores a la 1.14.8 tienen una vulnerabilidad de cambio de configuración autenticado.

La vulnerabilidad se ha parcheado y debe actualizar a la versión 1.14.8.

14. Klarna Checkout para WooCommerce

Las versiones de Klarna Checkout para WooCommerce inferiores a 2.0.10 tienen una vulnerabilidad de desactivación, activación e instalación de complementos arbitrarios autenticados.

15. Tickera - Venta de entradas para eventos de WordPress

Tickera: las versiones de venta de entradas de eventos de WordPress anteriores a 3.4.6.9 tienen una vulnerabilidad de exposición de datos confidenciales no autenticados.

La vulnerabilidad se ha parcheado y debe actualizar a la versión 3.4.6.9.

16. Encuesta receptiva

Todas las versiones de Responsive Poll tienen autenticación rota y faltan comprobaciones de capacidad en llamadas AJAX.

Elimine el complemento, se ha cerrado en el repositorio de complementos de WordPress.org pendiente de revisión.

17. Auxiliar de biblioteca de medios

Las versiones de Media Library Assistant por debajo de la 2.82 tienen vulnerabilidades de secuencias de comandos de sitios cruzados almacenados autenticadas e inclusión de archivos locales limitados no autenticados.

La vulnerabilidad se ha parcheado y debe actualizar a la versión 2.82.

Temas de WordPress

No se han revelado vulnerabilidades del tema en abril de 2020.

Cómo ser proactivo con respecto a las vulnerabilidades de los complementos y temas de WordPress

La ejecución de software obsoleto es la razón número uno por la que los sitios de WordPress son pirateados. Es crucial para la seguridad de su sitio de WordPress que tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez a la semana para realizar actualizaciones.

Las actualizaciones automáticas pueden ayudar

Las actualizaciones automáticas son una excelente opción para los sitios web de WordPress que no cambian con mucha frecuencia. La falta de atención a menudo deja estos sitios desatendidos y vulnerables a los ataques. Incluso con la configuración de seguridad recomendada, la ejecución de software vulnerable en su sitio puede brindarle a un atacante un punto de entrada a su sitio.

Con la función de administración de versiones del complemento iThemes Security Pro, puede habilitar las actualizaciones automáticas de WordPress para asegurarse de obtener los últimos parches de seguridad. Estas configuraciones ayudan a proteger su sitio con opciones para actualizar automáticamente a nuevas versiones o para aumentar la seguridad del usuario cuando el software del sitio está desactualizado.

Opciones de actualización de la gestión de versiones
  • Actualizaciones de WordPress: instale automáticamente la última versión de WordPress.
  • Actualizaciones automáticas de complementos : instale automáticamente las últimas actualizaciones de complementos. Esto debe estar habilitado a menos que mantenga activamente este sitio a diario e instale las actualizaciones manualmente poco después de su lanzamiento.
  • Actualizaciones automáticas de temas : instale automáticamente las últimas actualizaciones de temas. Esto debe estar habilitado a menos que su tema tenga personalizaciones de archivos.
  • Control granular sobre las actualizaciones de complementos y temas : es posible que tenga complementos / temas que le gustaría actualizar manualmente o retrasar la actualización hasta que el lanzamiento haya tenido tiempo de probarse estable. Puede elegir Personalizado para tener la oportunidad de asignar cada complemento o tema para que se actualice inmediatamente ( Activar ), no se actualice automáticamente ( Desactivar ) o se actualice con un retraso de una cantidad específica de días ( Retraso ).
Fortalecimiento y alerta ante problemas críticos
  • Fortalezca el sitio cuando se ejecute software desactualizado : agregue automáticamente protecciones adicionales al sitio cuando no se haya instalado una actualización disponible durante un mes. El complemento iThemes Security habilitará automáticamente una seguridad más estricta cuando no se haya instalado una actualización durante un mes. En primer lugar, obligará a todos los usuarios que no tengan habilitado el factor doble a proporcionar un código de inicio de sesión enviado a su dirección de correo electrónico antes de volver a iniciar sesión. En segundo lugar, deshabilitará el Editor de archivos WP (para impedir que las personas editen el plugin o el código del tema) , Pingbacks XML-RPC y bloquean múltiples intentos de autenticación por solicitud XML-RPC (los cuales harán que XML-RPC sea más fuerte contra ataques sin tener que desactivarlo por completo).
  • Buscar otros sitios antiguos de WordPress : esto buscará otras instalaciones de WordPress desactualizadas en su cuenta de alojamiento. Un solo sitio de WordPress desactualizado con una vulnerabilidad podría permitir a los atacantes comprometer todos los demás sitios en la misma cuenta de alojamiento.
  • Enviar notificaciones por correo electrónico : para problemas que requieren intervención, se envía un correo electrónico a los usuarios de nivel de administrador.

¿Gestiona varios sitios de WP? Actualice complementos, temas y núcleos a la vez desde el panel de sincronización de iThemes

iThemes Sync es nuestro panel de control central para ayudarlo a administrar múltiples sitios de WordPress. Desde el panel de sincronización, puede ver las actualizaciones disponibles para todos sus sitios y luego actualizar los complementos, temas y el núcleo de WordPress con un solo clic . También puede recibir notificaciones diarias por correo electrónico cuando haya una nueva actualización disponible.

Prueba Sync GRATIS durante 30 díasMás información

Un complemento de seguridad de WordPress puede ayudar a proteger su sitio web

iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 30 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza bruta, aplicación de contraseña sólida y más, puede agregar una capa adicional de seguridad a su sitio web.

Obtenga más información sobre la seguridad de WordPress con 10 consejos clave. Descargue el libro electrónico ahora: una guía para la seguridad de WordPress
Descargar ahora