Resumen de vulnerabilidades de WordPress: septiembre de 2019, parte 2
Publicado: 2019-11-13* Actualizado el 13 de noviembre de 2019 para reflejar la adopción y el parche de Rich Reviews de Starfish Reviews. ¡Muchas gracias a Starfish Reviews por rescatar el complemento Rich Reviews!
Durante la última quincena de septiembre se revelaron varias vulnerabilidades nuevas de plugins y temas de WordPress, por lo que queremos mantenerlos al tanto. En esta publicación, cubrimos las vulnerabilidades recientes de los complementos y temas de WordPress y qué hacer si está ejecutando uno de los complementos o temas vulnerables en su sitio web.
Dividimos el Resumen de vulnerabilidades de WordPress en cuatro categorías diferentes:
- 1. núcleo de WordPress
- 2. Complementos de WordPress
- 3. Temas de WordPress
- 4. Infracciones de la Web
* Incluimos brechas de toda la web porque es esencial también estar al tanto de las vulnerabilidades fuera del ecosistema de WordPress. Los ataques al software del servidor pueden exponer datos confidenciales. Las violaciones de la base de datos pueden exponer las credenciales de los usuarios en su sitio, abriendo la puerta para que los atacantes accedan a su sitio.
Vulnerabilidades del núcleo de WordPress
Vulnerabilidades de los complementos de WordPress
En agosto de este año se descubrieron varias vulnerabilidades nuevas en los complementos de WordPress. Asegúrese de seguir la acción sugerida a continuación para actualizar el complemento o desinstalarlo por completo.
1. Fragmentos de anuncios de Woody
Woody Ad Snippets versión 2.2.8 y anteriores es vulnerable a un ataque de Cross-Site Scripting.
Lo que debes hacer
2. Easy FancyBox
Easy FancyBox versión 1.8.17 y anteriores es vulnerable a un ataque de Cross-Site Scripting.
Lo que debes hacer
3. Filtros de productos AJAX avanzados
Los filtros de productos avanzados AJAX versión 1.3.6 y anteriores son vulnerables a una actualización de configuración no autenticada. La vulnerabilidad permitiría a un atacante redirigir el tráfico a un sitio malicioso.
Lo que debes hacer
4. Dar
La versión 2.5.4 y anteriores es vulnerable a un ataque de omisión de autenticación.
Lo que debes hacer
5. Concesionario de automóviles de motores y anuncios clasificados
Motors Car Dealer & Classified Ads versión 1.4.0 y anteriores tiene múltiples vulnerabilidades, incluida una importación y exportación de configuraciones no autenticadas que conducen a un ataque de secuencias de comandos de sitios cruzados almacenados. La vulnerabilidad permitiría a un atacante redirigir el tráfico a un sitio malicioso.
Lo que debes hacer
6. Preguntas frecuentes definitivas
Ultimate FAQ versión 1.8.24 y anteriores es vulnerable a un ataque de importación y exportación de configuraciones no autenticadas.
Lo que debes hacer
7. DELUCKS SEO
La versión 2.1.7 y anteriores de DELUCKS SEO tienen una vulnerabilidad de actualización de opciones no autenticadas.
Lo que debes hacer
8. Reseñas enriquecidas
Rich Reviews versión 1.7.4 y anteriores tiene una vulnerabilidad de actualización de opciones de complementos no autenticados.
Lo que debes hacer
Temas de WordPress
9. Selio - Directorio de bienes raíces
Selio - Real Estate Directory versión 1.1 y anteriores tiene una vulnerabilidad de inyección de SQL y secuencias de comandos persistentes entre sitios.
Lo que debes hacer
10. Nexos - Inmobiliaria
Nexos - Real Estate versión 1.1 y anteriores tiene una vulnerabilidad de Inyección SQL y Scripting persistente entre sitios.
Lo que debes hacer
Cómo ser proactivo con respecto a las vulnerabilidades de los complementos y temas de WordPress
La ejecución de software obsoleto es la razón número uno por la que los sitios de WordPress son pirateados. Es crucial para la seguridad de su sitio de WordPress que tenga una rutina de actualización. Debe iniciar sesión en sus sitios al menos una vez a la semana para realizar actualizaciones.
Las actualizaciones automáticas pueden ayudar
Las actualizaciones automáticas son una excelente opción para los sitios web de WordPress que no cambian con mucha frecuencia. La falta de atención a menudo deja estos sitios desatendidos y vulnerables a los ataques. Incluso con la configuración de seguridad recomendada, la ejecución de software vulnerable en su sitio puede brindarle a un atacante un punto de entrada a su sitio.
Con la función de administración de versiones del complemento iThemes Security Pro, puede habilitar las actualizaciones automáticas de WordPress para asegurarse de obtener los últimos parches de seguridad. Estas configuraciones ayudan a proteger su sitio con opciones para actualizar automáticamente a nuevas versiones o para aumentar la seguridad del usuario cuando el software del sitio está desactualizado.
Opciones de actualización de la gestión de versiones
- Actualizaciones de WordPress: instale automáticamente la última versión de WordPress.
- Actualizaciones automáticas de complementos : instale automáticamente las últimas actualizaciones de complementos. Esto debe estar habilitado a menos que mantenga activamente este sitio a diario e instale las actualizaciones manualmente poco después de su lanzamiento.
- Actualizaciones automáticas de temas : instale automáticamente las últimas actualizaciones de temas. Esto debe estar habilitado a menos que su tema tenga personalizaciones de archivos.
- Control granular sobre las actualizaciones de complementos y temas : es posible que tenga complementos / temas que le gustaría actualizar manualmente o retrasar la actualización hasta que el lanzamiento haya tenido tiempo de probarse estable. Puede elegir Personalizado para tener la oportunidad de asignar cada complemento o tema para que se actualice inmediatamente ( Activar ), no se actualice automáticamente ( Desactivar ) o se actualice con un retraso de una cantidad específica de días ( Retraso ).
Fortalecimiento y alerta ante problemas críticos
- Fortalezca el sitio cuando se ejecute software desactualizado : agregue automáticamente protecciones adicionales al sitio cuando no se haya instalado una actualización disponible durante un mes. El complemento iThemes Security habilitará automáticamente una seguridad más estricta cuando no se haya instalado una actualización durante un mes. En primer lugar, obligará a todos los usuarios que no tengan habilitado el doble factor a proporcionar un código de inicio de sesión enviado a su dirección de correo electrónico antes de volver a iniciar sesión. En segundo lugar, deshabilitará el Editor de archivos de WP (para impedir que las personas editen el plugin o el código del tema) , XML-RPC pingbacks y bloquea múltiples intentos de autenticación por solicitud XML-RPC (los cuales harán que XML-RPC sea más fuerte contra ataques sin tener que apagarlo por completo).
- Buscar otros sitios antiguos de WordPress : esto buscará otras instalaciones de WordPress desactualizadas en su cuenta de alojamiento. Un solo sitio de WordPress desactualizado con una vulnerabilidad podría permitir a los atacantes comprometer todos los demás sitios en la misma cuenta de alojamiento.
- Enviar notificaciones por correo electrónico : para problemas que requieren intervención, se envía un correo electrónico a los usuarios de nivel de administrador.
Infracciones de la Web
1. DoorDash
DoorDash reveló en una publicación de blog que 4.9 millones de datos de clientes, comerciantes y empleados se vieron comprometidos durante una violación que tuvo lugar el 4 de mayo de 2019.
La violación incluyó nombres, direcciones de correo electrónico, direcciones físicas, números de teléfono y contraseñas hash. Afortunadamente, no almacenaron las contraseñas en texto sin formato, por lo que será muy difícil para el atacante descifrar y usar las contraseñas.
Los últimos 4 dígitos de algunas tarjetas de crédito se vieron comprometidos, pero no se accedió a los números completos de las tarjetas de crédito ni a los números CVV.
Desafortunadamente, algunos de los números de licencia de conducir de los empleados se incluyeron en la infracción.
Si es cliente de DoorDash, puede comunicarse con ellos en el centro de llamadas dedicado para la configuración de soporte al 855–646–4683
2. LastPass
Chrome Project Zero descubrió y reveló una vulnerabilidad en la extensión de LastPass para Chrome y Opera. La vulnerabilidad permitiría a un sitio web malicioso generar una ventana emergente y omitir el do_popupregister () para obtener las credenciales de la última cuenta que inició sesión con LastPass.
No hay evidencia de que esta vulnerabilidad haya sido explotada en la naturaleza y LastPass lanzó un parche para las versiones Chrome y Opera de su extensión.
La vulnerabilidad resalta la importancia de usar la autenticación de dos factores y me entusiasma cada vez más con el futuro sin contraseña.
Un complemento de seguridad de WordPress puede ayudar a proteger su sitio web
iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 30 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con la autenticación de dos factores de WordPress, la protección contra la fuerza bruta, la aplicación estricta de contraseñas y más, puede agregar una capa adicional de seguridad a su sitio web.
Obtener iThemes Security
Cada semana, Michael elabora el Informe de vulnerabilidad de WordPress para ayudar a mantener sus sitios seguros. Como Product Manager en iThemes, nos ayuda a seguir mejorando la línea de productos de iThemes. Es un nerd gigante y le encanta aprender sobre tecnología, tanto antigua como nueva. Puede encontrar a Michael pasando el rato con su esposa e hija, leyendo o escuchando música cuando no está trabajando.
