Resumen de vulnerabilidades de WordPress: noviembre de 2020, parte 1

Publicado: 2021-03-10

Durante la primera quincena de noviembre se revelaron bastantes vulnerabilidades de plugins y temas de WordPress. Esta publicación cubre el complemento, el tema y las vulnerabilidades principales de WordPress recientes y qué hacer si ejecuta uno de los complementos o temas vulnerables en su sitio web.

El resumen de vulnerabilidades de WordPress se divide en tres categorías diferentes: núcleo de WordPress, complementos de WordPress y temas de WordPress.

En el informe de noviembre, parte 1

    Vulnerabilidades del núcleo de WordPress

    WordPress 5.5.2 se lanzó el 29 de octubre e incluyó 10 correcciones de seguridad centrales de WordPress.

    Aquí está la lista de correcciones de seguridad mencionadas en la publicación de lanzamiento de WordPress 5.5.2.

    • Solicitudes de deserialización reforzadas.
    • Corrección para deshabilitar las incrustaciones de spam de sitios deshabilitados en una red de varios sitios .
    • Se solucionó un problema de seguridad que podía generar un XSS a partir de variables globales.
    • Se corrigió un problema de escalada de privilegios en XML-RPC.
    • Se solucionó un problema relacionado con la escalada de privilegios en torno a los comentarios de publicaciones a través de XML-RPC.
    • Se corrigió un problema de seguridad en el que un ataque DoS podría conducir a RCE.
    • Se eliminó un método para almacenar XSS en post slugs.
    • Se eliminó el método para omitir metadatos protegidos que podrían llevar a la eliminación arbitraria de archivos.
    • Se eliminó un método que podría conducir a CSRF.
    Las vulnerabilidades se han parcheado, así que actualice WordPress a la versión 5.5.2.

    Vulnerabilidades de los complementos de WordPress

    1. Búsqueda SW Ajax WooCommerce

    Las versiones de SW Ajax WooCommerce Search inferiores a 1.2.8 tienen vulnerabilidades XSS y XFS reflejadas no autenticadas.

    La vulnerabilidad está parcheada y debe actualizar a la versión 1.2.8.

    2. AccessPress Social Icons

    Las versiones de AccessPress Social Icons por debajo de 1.8.1 tienen una vulnerabilidad de inyección SQL autenticada.

    La vulnerabilidad está parcheada y debe actualizar a la versión 1.8.1.

    3. Soporte de cumplimiento de la CCPA del RGPD

    Las versiones de compatibilidad con el cumplimiento de la CCPA del RGPD inferiores a la 2.4 tienen una vulnerabilidad de inyección de objetos PHP no autenticados.

    La vulnerabilidad está parcheada y debe actualizar a la versión 2.4.

    4. Realidad aumentada

    Todas las versiones de realidad aumentada tienen una carga de archivos PHP no autenticada que genera una vulnerabilidad de RCE.

    Elimine el complemento hasta que se publique una solución de seguridad.

    5. Welcart e-Commerce

    Las versiones de comercio electrónico de Welcart anteriores a la 1.9.36 tienen una vulnerabilidad de inyección de objetos PHP autenticada.

    La vulnerabilidad está parcheada y debe actualizar a la versión 1.9.36.

    6. WooCommerce

    Las versiones de WooCommerce inferiores a 4.6.2 tienen una vulnerabilidad de creación de cuenta de invitado.

    La vulnerabilidad está parcheada y debe actualizar a la versión 4.6.2.

    7. Bloques de WooCommerce

    Las versiones de WooCommerce Blocks por debajo de 3.7.1 tienen una vulnerabilidad de creación de cuenta de invitado.

    La vulnerabilidad está parcheada y debe actualizar a la versión 3.7.1.

    8. Abandoned Cart Lite para WooCommerce

    Las versiones de Abandoned Cart Lite para WooCommerce inferiores a 5.8.3 tienen una vulnerabilidad de inyección SQL no autenticada.

    La vulnerabilidad está parcheada y debe actualizar a la versión 5.8.3.

    9. Registro de actividad de WP

    Las versiones de WP Activity Log por debajo de 4.1.5 tienen una vulnerabilidad de inyección SQL en el módulo de base de datos externa.

    La vulnerabilidad está parcheada y debe actualizar a la versión 4.1.5.

    10. Último miembro

    Las versiones de Ultimate Member inferiores a 2.1.12 tienen un aumento de privilegios no autenticado a través de roles de usuario, actualización de perfil y vulnerabilidades de meta de usuario.

    La vulnerabilidad está parcheada y debe actualizar a la versión 2.1.12.

    11. Reseñas de Ultimate

    Las versiones de Ultimate Reviews inferiores a 2.1.33 tienen una vulnerabilidad de inyección de objetos PHP no autenticados.

    La vulnerabilidad está parcheada y debe actualizar a la versión 2.1.33.

    Vulnerabilidades del tema de WordPress

    1. GreenMart

    Las versiones de GreenMart inferiores a 2.4.3 tienen una vulnerabilidad de secuencias de comandos entre sitios reflejados.

    La vulnerabilidad está parcheada y debe actualizar a la versión 2.4.3.

    Consejo de seguridad de noviembre: por qué necesita un registro de seguridad de WordPress

    El registro es una parte esencial de su estrategia de seguridad de WordPress. Un registro y una supervisión insuficientes pueden provocar un retraso en la detección de una infracción de seguridad. La mayoría de los estudios de infracciones muestran que el tiempo para detectar una infracción es de más de 200 días. Esa cantidad de tiempo le permite a un atacante violar otros sistemas, modificar, robar o destruir más datos. Es por esas razones que Insufficient Logging aterrizó en el top 10 de OWASP de riesgos de seguridad de aplicaciones web.

    La mayoría de los estudios de infracciones muestran que el tiempo para detectar una infracción es de más de 200 días.

    Los registros de seguridad de WordPress tienen varios beneficios en su estrategia de seguridad general.

    1. Identificar y detener comportamientos maliciosos.
    2. Detecte actividad que pueda alertarle de una infracción.
    3. Evalúe cuánto daño se hizo.
    4. Ayudante en la reparación de un sitio pirateado.

    Si su sitio es pirateado, querrá tener la mejor información para ayudar en una investigación y recuperación rápidas.

    ¿Qué son los registros de seguridad de WordPress?

    Los registros de seguridad de WordPress en iThemes Security Pro realizan un seguimiento de los eventos de seguridad importantes que ocurren en su sitio web. Es importante supervisar estos eventos para indicar si se produce una infracción de seguridad o cuándo.

    Los registros de seguridad de su sitio web son una parte vital de cualquier estrategia de seguridad. La información que se encuentra en estos registros se puede utilizar para bloquear a los malos actores, resaltar un cambio no deseado en el sitio y ayudar a identificar y parchear el punto de entrada de un ataque exitoso.

    Cómo agregar registros de seguridad de WordPress a su sitio web

    La forma más fácil de agregar registros de seguridad a su sitio web es con un complemento como iThemes Security Pro. Tan pronto como se instale y active iThemes Security Pro, comenzará a monitorear y registrar la actividad de seguridad importante a medida que ocurre en su sitio web.

    complemento de registros de seguridad de wordpress

    iThemes Security Pro luego convierte los datos de sus registros en un panel de seguridad de WordPress en tiempo real para que pueda obtener una mejor vista de toda la actividad de seguridad que ocurre en su sitio.

    Consulte nuestra publicación sobre los registros de seguridad de WordPress para saber qué eventos de seguridad debe monitorear y cómo registrarlos.

    Mira como funciona

    Un complemento de seguridad de WordPress puede ayudar a proteger su sitio web

    iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza bruta, aplicación de contraseña sólida y más, puede agregar una capa adicional de seguridad a su sitio web.

    Obtén iThemes Security Pro

    resumen de vulnerabilidades