Resumen de vulnerabilidades de WordPress: octubre de 2019, parte 1

Temas de WordPress

Cómo ser proactivo con respecto a las vulnerabilidades de los complementos y temas de WordPress

La ejecución de software obsoleto es la razón número uno por la que los sitios de WordPress son pirateados. Es crucial para la seguridad de su sitio de WordPress que tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez a la semana para realizar actualizaciones.

Las actualizaciones automáticas pueden ayudar

Las actualizaciones automáticas son una excelente opción para los sitios web de WordPress que no cambian con mucha frecuencia. La falta de atención a menudo deja estos sitios desatendidos y vulnerables a los ataques. Incluso con la configuración de seguridad recomendada, la ejecución de software vulnerable en su sitio puede brindarle a un atacante un punto de entrada a su sitio.

Con la función de administración de versiones del complemento iThemes Security Pro, puede habilitar las actualizaciones automáticas de WordPress para asegurarse de obtener los últimos parches de seguridad. Estas configuraciones ayudan a proteger su sitio con opciones para actualizar automáticamente a nuevas versiones o para aumentar la seguridad del usuario cuando el software del sitio está desactualizado.

Opciones de actualización de la gestión de versiones

• Actualizaciones de WordPress: instale automáticamente la última versión de WordPress.
• Actualizaciones automáticas de complementos : instale automáticamente las últimas actualizaciones de complementos. Esto debe estar habilitado a menos que mantenga activamente este sitio a diario e instale las actualizaciones manualmente poco después de su lanzamiento.
• Actualizaciones automáticas de temas : instale automáticamente las últimas actualizaciones de temas. Esto debe estar habilitado a menos que su tema tenga personalizaciones de archivos.
• Control granular sobre las actualizaciones de complementos y temas : es posible que tenga complementos / temas que le gustaría actualizar manualmente o retrasar la actualización hasta que el lanzamiento haya tenido tiempo de probarse estable. Puede elegir Personalizado para tener la oportunidad de asignar cada complemento o tema para que se actualice inmediatamente ( Activar ), no se actualice automáticamente ( Desactivar ) o se actualice con un retraso de una cantidad específica de días ( Retraso ).

Fortalecimiento y alerta ante problemas críticos

• Fortalezca el sitio cuando se ejecute software desactualizado : agregue automáticamente protecciones adicionales al sitio cuando no se haya instalado una actualización disponible durante un mes. El complemento iThemes Security habilitará automáticamente una seguridad más estricta cuando no se haya instalado una actualización durante un mes. En primer lugar, obligará a todos los usuarios que no tengan habilitado el factor doble a proporcionar un código de inicio de sesión enviado a su dirección de correo electrónico antes de volver a iniciar sesión. En segundo lugar, deshabilitará el Editor de archivos WP (para impedir que las personas editen el plugin o el código del tema) , Pingbacks XML-RPC y bloquean múltiples intentos de autenticación por solicitud XML-RPC (los cuales harán que XML-RPC sea más fuerte contra ataques sin tener que desactivarlo por completo).
• Buscar otros sitios antiguos de WordPress : esto buscará otras instalaciones de WordPress desactualizadas en su cuenta de alojamiento. Un solo sitio de WordPress desactualizado con una vulnerabilidad podría permitir a los atacantes comprometer todos los demás sitios en la misma cuenta de alojamiento.
• Enviar notificaciones por correo electrónico : para problemas que requieren intervención, se envía un correo electrónico a los usuarios de nivel de administrador.

Infracciones de la Web

1. Hackers que usan GIF para atacar Drupal

Akami, una empresa de investigación de seguridad, ha notado un aumento en los ataques que incorporan códigos maliciosos dentro de archivos .gif. La buena noticia es que Drupal parcheó esta vulnerabilidad hace más de un año. La mala noticia es que los sitios mal mantenidos aún no se han actualizado.

La razón número uno por la que los ataques maliciosos tienen éxito se debe al software desactualizado. No seas el chico / chica cuyo sitio se ve comprometido por una actualización de un año. Actualiza tu sitio

2. La vulnerabilidad de la señal permite a los piratas informáticos escuchar micrófonos de Android

Google Project Zero reveló recientemente una vulnerabilidad en la aplicación de mensajería Signal. La vulnerabilidad se puede usar al llamar al teléfono de alguien usando la aplicación Signal. Durante la llamada telefónica, el pirata informático deberá presionar el botón de silencio mientras suena el teléfono del objetivo. Al presionar el botón de silencio forzará al dispositivo del objetivo a responder la llamada, permitiendo que el atacante espíe su marca.

Después de ser notificado del error por Google Project Zero, Signal lanzó rápidamente un parche. El exploit requería que el atacante eliminara y modificara el código de la aplicación. Afortunadamente, debido a la dificultad, no hay informes de que el exploit se use en la naturaleza.