Resumen de vulnerabilidades de WordPress: diciembre de 2020, parte 1

Publicado: 2020-12-09

Las nuevas vulnerabilidades de plugins y temas de WordPress se revelaron durante la primera quincena de diciembre. Esta publicación cubre los complementos, temas y vulnerabilidades centrales recientes de WordPress y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.

El resumen de vulnerabilidades de WordPress se divide en tres categorías diferentes: núcleo de WordPress, complementos de WordPress y temas de WordPress.

En el informe de diciembre, parte 1

    Vulnerabilidades del núcleo de WordPress

    Este mes no se han revelado nuevas vulnerabilidades del núcleo de WordPress.

    Sin embargo, ayer se lanzó una nueva versión principal del núcleo de WordPress. WordPress 5.6 incluye varias funciones nuevas y mejoras, así que asegúrese de actualizar.

    Vulnerabilidades de los complementos de WordPress

    1. WPJobBoard

    Las versiones de WPJobBoard inferiores a 5.7.0 tienen vulnerabilidades de inyección de SQL no autenticado, XSS reflejado y XFS.

    La vulnerabilidad está parcheada y debe actualizar a la versión 5.7.0.

    2. Complemento WP Google Map

    Las versiones de WP Google Map Plugin inferiores a 4.1.4 tienen una vulnerabilidad de inyección SQL autenticada.

    La vulnerabilidad está parcheada y debe actualizar a la versión 4.1.4.

    3. BuddyPress

    Versiones de BuddyPress por debajo de 6.4.0 Falta de vulnerabilidad de verificación de capacidad.

    La vulnerabilidad está parcheada y debe actualizar a la versión 6.4.0.

    4. Gerente de eventos

    Las versiones de Events Manager por debajo de la 5.9.8 tienen una vulnerabilidad de Cross-Site Scripting y SQL Injection.

    La vulnerabilidad está parcheada y debe actualizar a la versión 5.9.8.

    5. Puerta de edad

    Las versiones de Age Gate inferiores a 2.13.5 tienen una vulnerabilidad de redireccionamiento abierto no autenticado.

    La vulnerabilidad está parcheada y debe actualizar a la versión 2.13.5.

    6. Canto

    Todas las versiones de Canto tienen una vulnerabilidad SSRF ciega no autenticada.

    Elimine el complemento hasta que se publique una solución de seguridad.

    7. Creador de perfiles

    Las versiones de Profile Builder por debajo de 3.3.3 tienen una vulnerabilidad de Inyección SQL ciega autenticada.

    La vulnerabilidad está parcheada y debe actualizar a la versión 2.2.9.

    8. Membresías pagas Pro

    Las versiones de Paid Memberships Pro anteriores a la 2.5.1 tienen una vulnerabilidad de secuencias de comandos entre sitios autenticadas.

    La vulnerabilidad está parcheada y debe actualizar a la versión 2.5.1.

    9. Publicación de cartera de Themify

    Las versiones de Themify Portfolio Post anteriores a 1.1.6 son una vulnerabilidad de secuencias de comandos entre sitios almacenadas y autenticadas.

    La vulnerabilidad está parcheada y debe actualizar a la versión 1.1.6.

    10. Fácil WP SMTP

    Las versiones de Easy WP SMTP inferiores a 1.4.3 tienen una vulnerabilidad de divulgación de registros de depuración.

    La vulnerabilidad está parcheada y debe actualizar a la versión 1.4.3.

    Vulnerabilidades del tema de WordPress

    1. Wibar

    Las versiones de Wibar anteriores a la 1.2.1 tienen una vulnerabilidad de secuencias de comandos entre sitios almacenadas y autenticadas.

    La vulnerabilidad está parcheada y debe actualizar a la versión 1.2.1.

    Consejo de seguridad de diciembre: Por qué necesita un usuario universal para recibir soporte

    Cada vez que crea un nuevo usuario en su sitio web, está agregando otro punto de entrada que un pirata informático podría explotar. Pero es probable que en ocasiones necesite ayuda externa para su sitio web, como cuando busca ayuda o después de contratar a un contratista independiente. Necesita una forma segura de agregar acceso de administrador temporal a su sitio web.

    Otorgar acceso externo a su sitio web: sus típicas malas opciones

    Normalmente, tiene dos opciones para proporcionar acceso externo a su sitio web…. y tampoco son geniales .

    1. Comparta las credenciales de su usuario administrador

    Su primera y peor opción es compartir el nombre de usuario y la contraseña de su usuario administrador de WordPress.

    Por qué compartir sus credenciales de administrador es una idea terrible

    • Seguridad reducida : si comparte las credenciales de su usuario, tendrá que deshabilitar la autenticación de dos factores para permitir que la persona que usa sus credenciales inicie sesión. Google compartió en su blog que el uso de la autenticación de dos factores o la verificación de dos pasos puede detener el 100% de los ataques de bots automatizados. Deshabilitar la autenticación de dos factores, incluso por un período corto de tiempo, reduce drásticamente la seguridad de su sitio web.
    • Inconveniente : compartir sus credenciales requiere que cambie su contraseña. Si olvida cambiar su contraseña, hay una o más personas que tienen acceso de administrador a su sitio web cuando lo deseen.

    2. Cree un usuario independiente para el técnico de soporte

    Si bien crear un nuevo usuario administrador para el especialista en soporte es mejor que compartir sus credenciales de administrador, todavía no es genial.

    Por qué es terrible crear un usuario para la tecnología de soporte

    • Mayor vulnerabilidad : la creación de un nuevo usuario administrador agrega otro punto de entrada que podría explotarse. Si no tiene una política de contraseñas, el técnico de soporte podría elegir una contraseña débil, haciendo que su inicio de sesión de WordPress sea más vulnerable a los ataques.
    • Inconveniente : pasar por el proceso de configuración de un nuevo usuario cada vez que necesite ayuda externa requiere mucho tiempo. Debe crear el nuevo usuario y luego recordar eliminar al usuario cuando ya no necesite acceder a su sitio web. Una de las mejores prácticas de seguridad de WordPress es eliminar a cualquier usuario no utilizado de su sitio web.

    Otorgar acceso externo a su sitio web: la mejor manera

    La función de escalamiento de privilegios de iThemes Security Pro le permite otorgar a un usuario capacidades adicionales temporalmente.

    Privilege Escalation hace que sea fácil y seguro crear un usuario universal que puede brindar a cualquier desarrollador externo o técnico de soporte que necesite acceso temporal a su sitio web.

    Con Privilege Escalation, puede crear un nuevo usuario y nombrarlo Soporte y darle el rol de usuario Suscriptor. La próxima vez que necesite proporcionar acceso temporal a su sitio web, puede pasar al usuario de Soporte de un suscriptor a un administrador. Veremos cómo hacer esto más adelante en la publicación, pero primero, hablemos de por qué Privilege Escalation es una mejor manera de otorgar acceso a su sitio web.

    Por qué la ampliación de privilegios es mejor

    • Fácil : no tiene que crear un nuevo usuario cada vez que necesite otorgar acceso a su sitio web.
    • Automático : la escalada de privilegios solo dura 24 horas. Una vez transcurridas las 24 horas, el usuario pierde automáticamente todos los privilegios adicionales. No es necesario que recuerde eliminar usuarios o cambiar las contraseñas.
    • Sin sacrificios en seguridad : aún puede requerir que este usuario de soporte universal use el método de correo electrónico de dos factores para iniciar sesión, lo que significa que tiene el mismo nivel de seguridad que tiene con sus otros usuarios administradores. Debido a que el rol de usuario real es un suscriptor, no corre ningún riesgo real de dejarlo en su sitio web.

    Cómo utilizar la ampliación de privilegios en iThemes Security Pro

    Para comenzar, habilite Privilege Escalation en la página principal de la configuración de seguridad.

    Puede crear un nuevo usuario y nombrarlo Soporte y darle el rol de usuario Suscriptor. La próxima vez que necesite proporcionar acceso temporal a su sitio web, navegue a la página de perfil de su usuario de Soporte.

    Actualice la dirección de correo electrónico para permitir que la persona de soporte externa solicite una nueva contraseña. Luego, desplácese hacia abajo hasta que vea la configuración de Escalada temporal de privilegios. Haga clic en la palanca Establecer función temporal y seleccione Administrador. El usuario ahora tendrá acceso de administrador durante las próximas 24 horas.

    Si no necesitan las 24 horas completas, puede revocar la escalada de privilegios desde la página de perfil de usuario. Si necesita más de 24 horas, puede establecer el número exacto de días que necesita en el campo Días .

    Mira como funciona

    Un complemento de seguridad de WordPress puede ayudar a proteger su sitio web

    iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza bruta, aplicación de contraseña sólida y más, puede agregar una capa adicional de seguridad a su sitio web.

    Obtén iThemes Security Pro

    resumen de vulnerabilidades