Resumen de vulnerabilidades de WordPress: septiembre de 2019, parte 1

Publicado: 2019-09-18

Durante la primera quincena de septiembre se revelaron varias vulnerabilidades de temas y complementos de WordPress nuevos, por lo que queremos mantenerlos al tanto. En esta publicación, cubrimos las vulnerabilidades recientes de los complementos y temas de WordPress y qué hacer si está ejecutando uno de los complementos o temas vulnerables en su sitio web.

Dividimos el Resumen de vulnerabilidades de WordPress en cuatro categorías diferentes:

  • 1. núcleo de WordPress
  • 2. Complementos de WordPress
  • 3. Temas de WordPress
  • 4. Infracciones de la Web

* Incluimos brechas de toda la web porque es esencial también estar al tanto de las vulnerabilidades fuera del ecosistema de WordPress. Los ataques al software del servidor pueden exponer datos confidenciales. Las violaciones de la base de datos pueden exponer las credenciales de los usuarios en su sitio, abriendo la puerta para que los atacantes accedan a su sitio.

Vulnerabilidades del núcleo de WordPress

La versión 5.2.3 de WordPress se lanzó el 4 de septiembre de 2019 para parchear varias vulnerabilidades de seguridad potenciales. Aquí hay un extracto de la publicación de lanzamiento de WordPress 5.2.3.

Correcciones de seguridad en WordPress 5.2.3

  • Felicitaciones a Simon Scannell de RIPS Technologies por encontrar y revelar dos problemas. La primera, una vulnerabilidad de secuencias de comandos entre sitios (XSS) encontrada en las vistas previas de las publicaciones por parte de los colaboradores. El segundo fue una vulnerabilidad de secuencias de comandos entre sitios en los comentarios almacenados.
  • Felicitaciones a Tim Coen por revelar un problema en el que la validación y desinfección de una URL podría conducir a una redirección abierta.
  • Felicitaciones a Anshul Jain por divulgar secuencias de comandos entre sitios reflejadas durante la carga de medios.
  • Apoyos a Zhouyuan Yang de FortiGuard Labs de Fortinet, quien reveló una vulnerabilidad para el cross-site scripting (XSS) en las vistas previas de shortcode.
  • Agradecimientos a Ian Dunn del Core Security Team por encontrar y revelar un caso en el que se podían encontrar secuencias de comandos entre sitios reflejadas en el tablero.
  • Felicitaciones a Soroush Dalili (@irsdl) de NCC Group por revelar un problema con la desinfección de URL que puede conducir a ataques de secuencias de comandos entre sitios (XSS).
  • Además de los cambios anteriores, también estamos actualizando jQuery en versiones anteriores de WordPress. Este cambio se agregó en 5.2.1 y ahora se está incorporando a versiones anteriores.

Vulnerabilidades de los complementos de WordPress

En septiembre se descubrieron varias vulnerabilidades nuevas de plugins de WordPress. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo.

1. Galería de fotos de 10Web

Galería de fotos por 10Web Logo

Photo Gallery by 10Web versión 1.5.34 e inferior del complemento es vulnerable a un ataque de Inyección SQL y Cross-Site Scripting.

Lo que debes hacer

La vulnerabilidad se ha parcheado y debe actualizar a la versión 1.5.35.

2. Administrador de acceso avanzado

Advanced Acess Manager versión 5.9.8.1 e inferior incluye una vulnerabilidad de acceso y descarga de archivos arbitrarios.

Lo que debes hacer

La vulnerabilidad se ha parcheado y debe actualizar a la versión 5.9.9.

3. Entradas para eventos

Logotipo de entradas para eventos

La versión 4.10.7.1 de Entradas de evento y versiones anteriores es vulnerable a una inyección de CSV.

Lo que debes hacer

La vulnerabilidad ha sido parcheada y debe actualizar a la versión 4.10.7.2.

4. Buscar excluir

Buscar excluir logotipo

La versión 1.2.2 y anteriores de Search Exclude es vulnerable a un cambio de configuración arbitrario.

Lo que debes hacer

La vulnerabilidad se ha parcheado y debe actualizar a la versión 1.2.4.

5. LifterLMS

LifterLMS versión 3.34.5 y anteriores es vulnerable a una vulnerabilidad de importación de opciones no autenticadas.

Lo que debes hacer

La vulnerabilidad se ha parcheado y debe actualizar a la versión 1.2.4.

6. Actualizaciones de contenido

Las actualizaciones de contenido versión 2.0.4 y anteriores son vulnerables a una vulnerabilidad de secuencias de comandos entre sitios.

Lo que debes hacer

La vulnerabilidad se ha parcheado y debe actualizar a la versión 2.0.5.

7. Qwizcards

Logotipo de Qwiz

Qwizcards versión 3.36 y anteriores es vulnerable a un ataque de secuencias de comandos de sitios cruzados reflejados no autenticados.

Lo que debes hacer

La vulnerabilidad se ha parcheado y debe actualizar a la versión 3.37.

8. Lista de verificación

La versión 1.1.5 y anteriores de la lista de verificación son vulnerables a un ataque de secuencias de comandos entre sitios reflejados no autenticadas.

Lo que debes hacer

La vulnerabilidad se ha parcheado y debe actualizar a la versión 1.1.9.

9. Pagos de Spryng para WooCommerce

Pagos de Spryng para el logotipo de WooCommerce

Spryng Payments para WooCommerce versión 1.6.7 y anteriores es vulnerable a un ataque Cross-Site Scripting.

Lo que debes hacer

Elimine el complemento hasta que se publique una actualización con un parche.

10. Tienda de fotografías Portrait-Archiv.com

Logotipo de la tienda de fotografías de Portrait-Archiv.com

Portrait-Archiv.com Photostore versión 5.0.4 y anteriores es vulnerable a un ataque de Cross-Site Scripting.

Lo que debes hacer

Elimine el complemento hasta que se publique una actualización con un parche.

11. ECPay Logistics para WooCommerce

Logística ECPay para WooCommerce

ECPay Logistics para WooCommerce versión 1.2.181030 y anteriores es vulnerable a un ataque de Cross-Site Scripting.

Lo que debes hacer

Elimine el complemento hasta que se publique una actualización con un parche.

12. Tecnología Ellipsis Human Presence

Ellipsis Human Presence Technology versión 2.0.8 y anteriores es vulnerable a un ataque de secuencias de comandos de sitios cruzados reflejados no autenticados.

Lo que debes hacer

Elimine el complemento hasta que se publique una actualización con un parche.

13. SlickQuiz

Logotipo de SlickQuiz

SlickQuiz versión 1.6.7 y anteriores es vulnerable a un ataque Cross-Site Scripting e Inyección SQL.

Lo que debes hacer

Elimine el complemento hasta que se publique una actualización con un parche.

Temas de WordPress

No se revelaron vulnerabilidades en el tema de WordPress en la segunda quincena de agosto de 2019.

Cómo ser proactivo con respecto a las vulnerabilidades de los complementos y temas de WordPress

La ejecución de software obsoleto es la razón número uno por la que los sitios de WordPress son pirateados. Es crucial para la seguridad de su sitio de WordPress que tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez a la semana para realizar actualizaciones.

Las actualizaciones automáticas pueden ayudar

Las actualizaciones automáticas son una excelente opción para los sitios web de WordPress que no cambian con mucha frecuencia. La falta de atención a menudo deja estos sitios desatendidos y vulnerables a los ataques. Incluso con la configuración de seguridad recomendada, la ejecución de software vulnerable en su sitio puede brindarle a un atacante un punto de entrada a su sitio.

Con la función de administración de versiones del complemento iThemes Security Pro, puede habilitar las actualizaciones automáticas de WordPress para asegurarse de obtener los últimos parches de seguridad. Estas configuraciones ayudan a proteger su sitio con opciones para actualizar automáticamente a nuevas versiones o para aumentar la seguridad del usuario cuando el software del sitio está desactualizado.

Opciones de actualización de la gestión de versiones
  • Actualizaciones de WordPress: instale automáticamente la última versión de WordPress.
  • Actualizaciones automáticas de complementos : instale automáticamente las últimas actualizaciones de complementos. Esto debe estar habilitado a menos que mantenga activamente este sitio a diario e instale las actualizaciones manualmente poco después de su lanzamiento.
  • Actualizaciones automáticas de temas : instale automáticamente las últimas actualizaciones de temas. Esto debe estar habilitado a menos que su tema tenga personalizaciones de archivos.
  • Control granular sobre las actualizaciones de complementos y temas : es posible que tenga complementos / temas que le gustaría actualizar manualmente o retrasar la actualización hasta que el lanzamiento haya tenido tiempo de probarse estable. Puede elegir Personalizado para tener la oportunidad de asignar cada complemento o tema para que se actualice inmediatamente ( Activar ), no se actualice automáticamente ( Desactivar ) o se actualice con un retraso de una cantidad específica de días ( Retraso ).

Fortalecimiento y alerta ante problemas críticos
  • Fortalezca el sitio cuando se ejecute software desactualizado : agregue automáticamente protecciones adicionales al sitio cuando no se haya instalado una actualización disponible durante un mes. El complemento iThemes Security habilitará automáticamente una seguridad más estricta cuando no se haya instalado una actualización durante un mes. En primer lugar, obligará a todos los usuarios que no tengan habilitado el doble factor a proporcionar un código de inicio de sesión enviado a su dirección de correo electrónico antes de volver a iniciar sesión. En segundo lugar, deshabilitará el Editor de archivos de WP (para impedir que las personas editen el plugin o el código del tema) , XML-RPC pingbacks y bloquea múltiples intentos de autenticación por solicitud XML-RPC (los cuales harán que XML-RPC sea más fuerte contra ataques sin tener que apagarlo por completo).
  • Buscar otros sitios antiguos de WordPress : esto buscará otras instalaciones de WordPress desactualizadas en su cuenta de alojamiento. Un solo sitio de WordPress desactualizado con una vulnerabilidad podría permitir a los atacantes comprometer todos los demás sitios en la misma cuenta de alojamiento.
  • Enviar notificaciones por correo electrónico : para problemas que requieren intervención, se envía un correo electrónico a los usuarios de nivel de administrador.

Infracciones de la Web

1. La cuenta de Twitter de Jack Dorsey fue pirateada

Logotipo de Twitter

Jack Dorsey, CEO de Twitter, fue víctima de un ataque de intercambio de SIM. Un intercambio de SIM es cuando un atacante trabaja con su proveedor de telefonía celular para transferir su teléfono a un teléfono diferente. Después de hacerse cargo de su número de teléfono, el actor malintencionado puede recibir sus códigos SMS de dos factores.

Después de que el grupo de piratas informáticos Chuckling Squad tomó el control del número de teléfono celular de Dorsey, pudieron usar Cloudhopper para enviar los tweets. Cloudhopper es una empresa que anteriormente fue adquirida por Twitter para facilitar que las personas tuiteen a través de mensajes de texto.

2. Vulnerabilidad de phpMyAdmin

Logotipo de phpMyAdmin

La versión 4.9.0.1 de PHP es vulnerable a un nuevo ataque de falsificación de solicitudes entre sitios, y es un día cero. La vulnerabilidad permitirá a un atacante desencadenar un ataque CSRF contra un usuario de phpMyAdmin eliminando cualquier servidor en la página de Configuración.

Asegúrese de actualizar phpMyAdmin después de que se publique un parche de seguridad.

Un complemento de seguridad de WordPress puede ayudar a proteger su sitio web

iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 30 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con la autenticación de dos factores de WordPress, la protección contra la fuerza bruta, la aplicación estricta de contraseñas y más, puede agregar una capa adicional de seguridad a su sitio web.

Obtenga consejos sencillos para mejorar la seguridad de WordPress. Descargue el nuevo libro electrónico: Guía de bolsillo de seguridad de WordPress
Descargar ahora

Obtén iThemes Security Pro