Resumen de vulnerabilidades de WordPress: diciembre de 2019
Publicado: 2020-01-16Durante la primera quincena de diciembre se revelaron algunas vulnerabilidades nuevas de plugins y temas de WordPress, por lo que queremos mantenerlos al tanto. En esta publicación, cubrimos el plugin, el tema y las vulnerabilidades centrales recientes de WordPress y qué hacer si está ejecutando uno de los plugins o temas vulnerables en su sitio web.
El resumen de vulnerabilidades de WordPress se divide en cuatro categorías diferentes:
- 1. núcleo de WordPress
- 2. Complementos de WordPress
- 3. Temas de WordPress
- 4. Infracciones de toda la Web
Nota: Puede pasar al Cuadro de resumen de vulnerabilidades para la primera parte de diciembre de 2019 que se enumera a continuación.
Vulnerabilidades del núcleo de WordPress
Versión de seguridad y mantenimiento de WordPress 5.3.1
El equipo de WordPress reveló recientemente tres vulnerabilidades en la versión 5.3 de WordPress:
- Los usuarios sin privilegios pueden hacer que una publicación sea pegajosa a través de la API REST.
- La vulnerabilidad de Cross-Site Scripting se puede almacenar en enlaces.
- Vulnerabilidad almacenada de secuencias de comandos de sitios cruzados utilizando contenido del editor de bloques.
Se pueden encontrar más detalles en la publicación de la versión de seguridad y mantenimiento de WordPress 5.3.1.
Lo que debes hacer
Vulnerabilidades de los complementos de WordPress
Hasta ahora, se han descubierto varias vulnerabilidades nuevas de plugins de WordPress este mes. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo.
1. Corrector ortográfico de WP
WP Spell Check versión 7.1.9 y anteriores es vulnerable a un ataque de falsificación de solicitud entre sitios.
Lo que debes hacer
2. CSS Hero
CSS Hero versión 4.03 y anteriores es vulnerable a un ataque XSS reflejado autenticado.
Lo que debes hacer
3. Complementos definitivos para Beaver Builder
Ultimate Addons para Beaver Builder versión 1.24.0 y anteriores es vulnerable a un ataque de derivación de autenticación.
Lo que debes hacer
4. Complementos definitivos para Elementor
Ultimate Addons para Elementor versión 1.20.0 y anteriores es vulnerable a un ataque de derivación de autenticación.
Lo que debes hacer
5. Scoutnet Kalender
Las versiones 1.1.0 y anteriores de Scoutnet Kalender son vulnerables a un ataque de secuencias de comandos de sitios cruzados almacenados.
Lo que debes hacer
Temas de WordPress
1. Hipnotizar
Las versiones 1.6.89 y anteriores de Mesmerize tienen una vulnerabilidad de actualización de opciones autenticadas.
Lo que debes hacer
2. Materialis
Las versiones de Materialis 1.0.172 y anteriores tienen una vulnerabilidad de actualización de opciones autenticadas.
Lo que debes hacer
3. ListingPro
Las versiones 2.0.14.2 y anteriores de ListingPro tienen una vulnerabilidad de secuencias de comandos entre sitios reflejada y persistente.
Lo que debes hacer
4. Superlista
Las versiones 2.9.2 y anteriores de Superlist son vulnerables a un ataque de secuencias de comandos de sitios cruzados almacenados.
Lo que debes hacer
Cómo ser proactivo con respecto a las vulnerabilidades de los complementos y temas de WordPress
La ejecución de software obsoleto es la razón número uno por la que los sitios de WordPress son pirateados. Es crucial para la seguridad de su sitio de WordPress que tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez a la semana para realizar actualizaciones.
Las actualizaciones automáticas pueden ayudar
Las actualizaciones automáticas son una excelente opción para los sitios web de WordPress que no cambian con mucha frecuencia. La falta de atención a menudo deja estos sitios desatendidos y vulnerables a los ataques. Incluso con la configuración de seguridad recomendada, la ejecución de software vulnerable en su sitio puede brindarle a un atacante un punto de entrada a su sitio.
Con la función de administración de versiones del complemento iThemes Security Pro, puede habilitar las actualizaciones automáticas de WordPress para asegurarse de obtener los últimos parches de seguridad. Estas configuraciones ayudan a proteger su sitio con opciones para actualizar automáticamente a nuevas versiones o para aumentar la seguridad del usuario cuando el software del sitio está desactualizado.
Opciones de actualización de la gestión de versiones
- Actualizaciones de WordPress: instale automáticamente la última versión de WordPress.
- Actualizaciones automáticas de complementos : instale automáticamente las últimas actualizaciones de complementos. Esto debe estar habilitado a menos que mantenga activamente este sitio a diario e instale las actualizaciones manualmente poco después de su lanzamiento.
- Actualizaciones automáticas de temas : instale automáticamente las últimas actualizaciones de temas. Esto debe estar habilitado a menos que su tema tenga personalizaciones de archivos.
- Control granular sobre las actualizaciones de complementos y temas : es posible que tenga complementos / temas que le gustaría actualizar manualmente o retrasar la actualización hasta que el lanzamiento haya tenido tiempo de probarse estable. Puede elegir Personalizado para tener la oportunidad de asignar cada complemento o tema para que se actualice inmediatamente ( Activar ), no se actualice automáticamente ( Desactivar ) o se actualice con un retraso de una cantidad específica de días ( Retraso ).
Fortalecimiento y alerta ante problemas críticos
- Fortalezca el sitio cuando se ejecute software desactualizado : agregue automáticamente protecciones adicionales al sitio cuando no se haya instalado una actualización disponible durante un mes. El complemento iThemes Security habilitará automáticamente una seguridad más estricta cuando no se haya instalado una actualización durante un mes. En primer lugar, obligará a todos los usuarios que no tengan habilitado el factor doble a proporcionar un código de inicio de sesión enviado a su dirección de correo electrónico antes de volver a iniciar sesión. En segundo lugar, deshabilitará el Editor de archivos WP (para impedir que las personas editen el plugin o el código del tema) , Pingbacks XML-RPC y bloquean múltiples intentos de autenticación por solicitud XML-RPC (los cuales harán que XML-RPC sea más fuerte contra ataques sin tener que desactivarlo por completo).
- Buscar otros sitios antiguos de WordPress : esto buscará otras instalaciones de WordPress desactualizadas en su cuenta de alojamiento. Un solo sitio de WordPress desactualizado con una vulnerabilidad podría permitir a los atacantes comprometer todos los demás sitios en la misma cuenta de alojamiento.
- Enviar notificaciones por correo electrónico : para problemas que requieren intervención, se envía un correo electrónico a los usuarios de nivel de administrador.
¿Gestiona varios sitios de WP? Actualice complementos, temas y núcleos a la vez desde el panel de sincronización de iThemes
iThemes Sync es nuestro panel de control central para ayudarlo a administrar múltiples sitios de WordPress. Desde el panel de sincronización, puede ver las actualizaciones disponibles para todos sus sitios y luego actualizar los complementos, temas y el núcleo de WordPress con un solo clic . También puede recibir notificaciones diarias por correo electrónico cuando haya una nueva actualización disponible.
Infracciones de la Web
Incluimos brechas de toda la web porque es esencial también estar al tanto de las vulnerabilidades fuera del ecosistema de WordPress. Los ataques al software del servidor pueden exponer datos confidenciales. Las violaciones de la base de datos pueden exponer las credenciales de los usuarios en su sitio, abriendo la puerta para que los atacantes accedan a su sitio.
1. Trucos de cámara de anillo
Desafortunadamente, algunas familias informan sobre episodios de acoso después de que sus dispositivos Ring fueran pirateados. Si está utilizando una cámara de seguridad que le permite ver de forma remota una transmisión en vivo, debe saber cómo los piratas informáticos están ingresando a Ring Cameras.
Según un portavoz de Ring, estos informes de piratería fueron aislados y no estaban relacionados con piratería o violación de Ring Security. Esa es una excelente noticia, y significa que el probable culpable de los ataques fueron las contraseñas débiles y no usar 2FA. Un ataque de fuerza bruta, cuando un bot malintencionado intenta una combinación aleatoria de nombres de usuario y contraseñas hasta que uno tiene éxito y pueden acceder a su cuenta.
Afortunadamente para nosotros, es bastante fácil proteger sus cuentas de un ataque de fuerza bruta. Según las investigaciones de seguridad de Google, dicen que el uso de la autenticación de dos factores detendrá el 100% de los ataques de bots. Si está instalando un dispositivo de IoT, especialmente uno que le permite ver y escuchar lo que sucede dentro de su casa, asegúrese de protegerse a usted y a su familia mediante el uso de una contraseña segura y autenticación de dos factores.
Resumen de vulnerabilidades de WordPress para
Diciembre de 2019, Parte 1
WP Spell Check versión 7.1.9 y anteriores es vulnerable a un ataque de falsificación de solicitud entre sitios.
Ultimate Addons para Beaver Builder versión 1.24.0 y anteriores es vulnerable a un ataque de derivación de autenticación.
Ultimate Addons para Elementor versión 1.20.0 y anteriores es vulnerable a un ataque de derivación de autenticación.
CSS Hero versión 4.03 y anteriores es vulnerable a un ataque XSS reflejado autenticado.
Las versiones 1.1.0 y anteriores de Scoutnet Kalender son vulnerables a un ataque de secuencias de comandos de sitios cruzados almacenados.
Exportar usuarios a CSV versión 1.3 y anteriores tiene una vulnerabilidad de acceso a CSV no autorizado.
Las versiones 1.6.89 y anteriores de Mesmerize tienen una vulnerabilidad de actualización de opciones autenticadas.
Las versiones de Materialis 1.0.172 y anteriores tienen una vulnerabilidad de actualización de opciones autenticadas.
Las versiones 2.9.2 y anteriores de Superlist son vulnerables a un ataque de secuencias de comandos de sitios cruzados almacenados.
Las versiones 2.0.14.2 y anteriores de ListingPro tienen una vulnerabilidad de secuencias de comandos entre sitios reflejada y persistente.
Un complemento de seguridad de WordPress puede ayudar a proteger su sitio web
iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 30 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza bruta, aplicación de contraseña sólida y más, puede agregar una capa adicional de seguridad a su sitio web.
Obtener iThemes Security
Cada semana, Michael elabora el Informe de vulnerabilidad de WordPress para ayudar a mantener sus sitios seguros. Como Product Manager en iThemes, nos ayuda a seguir mejorando la línea de productos de iThemes. Es un nerd gigante y le encanta aprender sobre tecnología, tanto antigua como nueva. Puede encontrar a Michael pasando el rato con su esposa e hija, leyendo o escuchando música cuando no está trabajando.
