Resumen de vulnerabilidades de WordPress: junio de 2020, parte 1
Publicado: 2020-08-18Las nuevas vulnerabilidades de plugins y temas de WordPress se revelaron durante la primera quincena de junio, por lo que queremos mantenerlos al tanto. En esta publicación, cubrimos el plugin, el tema y las vulnerabilidades centrales recientes de WordPress y qué hacer si está ejecutando uno de los plugins o temas vulnerables en su sitio web.
El resumen de vulnerabilidades de WordPress se divide en tres categorías diferentes:
- Núcleo de WordPress
- Complementos de WordPress
- Temas de WordPress
Cada vulnerabilidad tendrá una clasificación de amenaza de Baja , Media , Alta o Crítica .
Vulnerabilidades del núcleo de WordPress
1. Actualización a WordPress 5.4.2 - Crítico
Las versiones 5.4.2 de WordPress ya están disponibles. Esta es una versión de seguridad y mantenimiento importante. Las versiones anteriores se ven afectadas por varios errores de seguridad, que se corrigen en la versión 5.4.2. Si aún no ha actualizado a 5.4, también hay versiones actualizadas de 5.3 y anteriores que solucionan los problemas de seguridad.
Puede descargar WordPress 5.4.2 desde WordPress.org, o visitar su Panel de administración de WP> Actualizaciones y hacer clic en Actualizar ahora . Si tiene sitios que admiten actualizaciones automáticas en segundo plano, ya deberían haberse actualizado.
Vulnerabilidades de los complementos de WordPress
Hasta ahora, se han descubierto varias vulnerabilidades nuevas de plugins de WordPress este mes. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo.
1. Arrastrar y soltar la carga de varios archivos para el formulario de contacto 7: fundamental
Arrastrar y soltar carga de archivos múltiples para las versiones del Formulario de contacto 7 anteriores a la 1.3.3.3 tienen una vulnerabilidad de omisión de carga de archivos no autenticados.
2. Page Builder: PageLayer - Creador de sitios web de arrastrar y soltar - Alto
Page Builder: PageLayer - Las versiones del creador de sitios web de arrastrar y soltar por debajo de 1.1.2 tienen un AJAX sin protección que conduce a XSS y un CSRF que conduce a vulnerabilidades XSS.
3. Mapas de MapPress - Crítico
Las versiones de MapPress Maps por debajo de 2.54.6 tienen una vulnerabilidad de Verificaciones de capacidad inadecuadas en llamadas AJAX.
4. Imagen Galería de fotos Cuadrícula final de mosaicos - Crítica
Image Photo Gallery Las versiones finales de Cuadrícula de mosaicos inferiores a 3.4.19 tienen una vulnerabilidad de secuencias de comandos de sitios cruzados almacenadas autenticadas.
5. bbPress - Crítico
Las versiones de bbPress inferiores a 2.6.5 tienen una vulnerabilidad de escalada de privilegios no autenticados cuando el registro de nuevo usuario está habilitado.
6. Programador múltiple - Alto
Todas las versiones de Multi Scheduler tienen una eliminación arbitraria de registros a través de la vulnerabilidad CSRF.
7. JobSearch - Alto
Las versiones de JobSearch inferiores a 1.5.1 tienen una vulnerabilidad de secuencias de comandos entre sitios reflejados no autenticadas.
8. AdRotate - Medio
Las versiones de AdRotate inferiores a 5.8.4 tienen una vulnerabilidad de inyección de SQL autenticado.
9. Elementor Page Builder - Alto
Las versiones de Elementor Page Builder anteriores a 2.9.10 tienen una vulnerabilidad XSS almacenada autenticada.
10. SportsPress - Alto
Las versiones de SportsPress anteriores a la 2.7.2 tienen una vulnerabilidad de secuencias de comandos entre sitios almacenadas y autenticadas.
Temas de WordPress
1. Careerfy - Alto
Las versiones Careerfy inferiores a 3.9.0 tienen una vulnerabilidad de secuencias de comandos entre sitios reflejados no autenticadas.
2. Periódico - Alto
Las versiones de periódicos anteriores a la 10.3.4 tienen una vulnerabilidad de secuencias de comandos entre sitios reflejados autenticadas.
¡Nuevo! Proteja su sitio web de WordPress con iThemes Security Site Scan.
¿Sabía que el 60% de las infracciones de sitios web implican vulnerabilidades para las que había un parche disponible pero no aplicado? Esto significa que tener software con vulnerabilidades conocidas instalado en su sitio les brinda a los piratas informáticos los planos que necesitan para hacerse cargo de su sitio.
Cada día, es cada vez más difícil realizar un seguimiento de cada vulnerabilidad de WordPress revelada . Tienes que comparar esa lista con las versiones de complementos y temas que has instalado en tu sitio… y asegurarte de actualizar constantemente.
Para resolver este problema, hoy nos complace anunciar que el complemento iThemes Security Pro está implementando una mejor manera de proteger sus sitios contra las vulnerabilidades del software , el principal culpable de los sitios de WordPress pirateados y comprometidos.
El nuevo y mejorado Análisis de sitios de seguridad de WordPress impulsado por iThemes realiza comprobaciones automáticas de las vulnerabilidades conocidas del sitio web y, si hay un parche disponible, iThemes Security Pro ahora aplicará automáticamente la solución para usted ... para que usted no tenga que hacerlo. Uf. eso es algo de tranquilidad.
Un complemento de seguridad de WordPress puede ayudar a proteger su sitio web
iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 30 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza bruta, aplicación de contraseña sólida y más, puede agregar una capa adicional de seguridad a su sitio web.
Cada semana, Michael elabora el Informe de vulnerabilidad de WordPress para ayudar a mantener sus sitios seguros. Como Product Manager en iThemes, nos ayuda a seguir mejorando la línea de productos de iThemes. Es un nerd gigante y le encanta aprender sobre tecnología, tanto antigua como nueva. Puede encontrar a Michael pasando el rato con su esposa e hija, leyendo o escuchando música cuando no está trabajando.
