Imagen vulnerabilidades

WORDPRESS: Vulnerabilidades de Agosto 2019

Seguimos con el reporte mensual de vulnerabilidades de WordPress.

Pasemos a ver ya el reporte de plugins tanto los que siguen en el repositorio de WordPress y que ya han correjido los problemas… cómo los que se han eliminado

VULNERABILIDADES DE PLUGINS

Galería Nextgen

Vulnerable a una inyección SQL. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 3.2.11.

Easy Forms for Mailchimp

Vulnerable a una inyección de código. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 6.5.3.

WP Social Feed Gallery

No tienen las verificaciones de autorización adecuadas. La vulnerabilidad podría permitir a los usuarios de bajo nivel realizar un ataque de falsificación entre sitios. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 2.4.8.

Social LikeBox & Feed

Vulnerable a un ataque de scripting y falsificación de solicitudes entre sitios. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 2.8.5.

Variation Swatches for WooCommerce

Vulnerable a un ataque de secuencias de comandos de solicitud entre sitios. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 1.0.62.

WP SVG Icons

Vulnerable a una falsificación de solicitud entre sitios que conduce a un ataque de ejecución remota de código. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 3.2.3.

Bold Page Builder

Vulnerable a un ataque de gestión de privilegios inadecuados. La vulnerabilidad permite a los usuarios no autenticados realizar tareas que deberían limitarse a los usuarios administradores. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 2.3.2.

Import Export WordPress Users

Vulnerable a una inyección CSV. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 1.3.2

UserPro

UserPro versión 4.9.33 y siguientes es vulnerable a un ataque de Cross-Site Scripting.

Elimina el complemento hasta que se publique una actualización con un parche.

WP Private Content Plus

Vulnerable a un ataque de cambio de opciones no autenticado. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 2.0.

A pesar de la actualización, el complemento está cerrado en el repositorio de wp.org pendiente de revisión.

Shapepress DSGVO

Vulnerable a un ataque de Cross-Site Scripting and Forgery. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 2.2.20.

WooCommerce Product Feed

Vulnerable a un ataque de Cross-Site Scripting. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 3.1.15.

Pie Register

Vulnerable a una inyección SQL. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 3.1.2.

Easy Property Listings

Vulnerable a un ataque de Cross-Site Scripting. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 3.4.

HandL UTM Grabber

Vulnerable a un ataque de falsificación entre sitios. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 2.6.5.

Web Librarian

Vulnerable a una inyección SQL. La vulnerabilidad ha sido parcheada y debes actualizar a la versión 3.5.5.

Puedes ver la recopilación de vulnerabilidades anteriores en este enlace: Vulnerabilidades de WordPress

Esta información la reporta iThemes Security en su blog.

Cómo siempre, mi recomendación es que actualices los plugins, temas y core de tu instalación para mantenerlos al día… y si estás usando alguno de los plugins reportados en esta lista de vulnerabilidades de julio, te tomes un tiempo y actualices ya mismo el plugin o plugins en cuestión.

Desde CreativaGrafica podemos ofrecerte un plan de mantenimiento para tu web wordpress, así cómo mantenimiento para ecommerce.

Imagen vulnerabilidades

WORDPRESS: Vulnerabilidades de Julio 2019

Estrenábamos en junio el reporte de vulnerabilidades en WordPress , gracias a la información que aporta iThemes Security.

Seguimos con el listado de vulnerabilidades. Pasemos a ver ya el reporte de plugins tanto los que siguen en el repositorio de WordPress y que ya han correjido los problemas… cómo los que se han eliminado

En esta ocasión les ha tocado a alguno de los ‘grandes’ de WordPress, y la lista es larga.

VULNERABILIDADES DE PLUGINS

wp-like-button

Plugin para hacer el like de facebook.

Detectado un ‘athentication bypass attack’. Eliminalo ya!

Yoast SEO

Vulnerabilidad resuelta ante un ataque de autentificación XSS.

Si no lo has hecho aún, actualiza cuanto antes!!

WooCommerce

La popular herramienta de comercio electrónico para WordPress, corrije en su reciente actualización, unos problemas serios de seguridad:

Corrije una vulnerabilidad en la comprovación del tipo de archivo y una vulnerabilidad de falsificación de petición en sitios cruzados

Ad Inserter

Complemento de gestión de anuncios. Incluye funciones avanzadas para insertar anuncios en posiciones definidas.

La última versión corrije un ataque de autenticación de ruta transversal; La vulnerabilidad permitia acceder a directorios que no estaban dentro de la zona restringida para este uso.

Ocean Extra

Ocean Extra añade funciones adicionales al tema OceanWP: widgets, metaboxes, activar / desactivar las secciones del personalizador, habilitar / deshabilitar scripts y estilos del tema.

La versión 1.5.9 corrije la vulnerable a un cambio de configuración no autenticado e inyección de CSS. La vulnerabilidad permitirá a un atacante cambiar algunas configuraciones de WordPress e inyectar CSS para dañar el sitio.

WP Statistics

Herramienta sencilla de estadísticas para tu web. Con gráficos y estadísticas visuales, Reconocimiento del país del visitante, Reconocimiento de la ciudad del visitante, número de visitantes procedentes de cada motor de búsqueda, etc.

La versión 12.6.7 corrije la vulnerabilidad inyección de SQL ciega

Visitors Traffic Real Time Statistics

Complemento de estadísticas y tráfico para WordPress. Este complemento sirve para realizar un seguimiento de visitantes, navegadores, sistemas operativos, visitas, etc.

Corrije una vulnerabilidad de falsificación de petición en sitios cruzados

Essential Real Estate

Permite administrar listados de propiedades y enviar propiedades a través de back-end y front-end. Pago global, construcción de mercado, gestión de agentes, etc.

Con la versión 1.7.2, se corrije una vulnerabilidad cross-site scripting.

Appointment Booking Calendar

Complemento para citas/reservas en línea de intervalos de tiempo disponibles en un calendario.

Con la versión 1.3.19, se corrije una vulnerabilidad cross-site scripting.

Gallery PhotoBlocks

Galería de fotos e imágenes con bordes justificados. Zoom de las imágenes estilo caja de luz. Permite agregar efectos a la galería en modo cuadrícula.

La versión 1.1.41, se corrije una vulnerabilidad cross-site scripting.

Slimstat Analytics

Seguimiento de los clientes usuarios registrados, eventos de Javascript, intrusiones, campañas de correo electrónico…

La versión 4.8.4 corrije una vulnerabilidad de falsificación de petición en sitios cruzados

WP Google Maps

Vulnerable a Cross-Site Request Forgery (Falsificación de solicitudes entre sitios) y a Stored XSS attack….

Actualiza a la nueva versión del plugin.

LiveChat

Vulnerable a Cross-Site Request Forgery (Falsificación de solicitudes entre sitios) y a Stored XSS attack….

Actualiza cuanto antes.

WP Like Button

Vulnerable a Authentication Bypass attack.

WordPress ha eliminado el complemento de su repositorio, así que elimínalo cuanto antes y busca un reemplazo.

File Manager

Según reporta WebARX, si se explotan las vulnerabilidades del plugin, cualquier usuario conectado podrá ver, eliminar o descargar copias de seguridad… pudiendo encontrar información confidencial que podría acarrear problemas adicionales.

La vulnerabilidad ha sido parcheada y debes actualizar a la versión 5.2.

Ultimate Member

Es vulnerable a a Cross-Site Request Forgery (Falsificación de solicitudes entre sitios) y a Stored XSS attack….

Esta información la reporta iThemes Security en su blog.

Cómo siempre, mi recomendación es que actualices los plugins, temas y core de tu instalación para mantenerlos al día… y si estás usando alguno de los plugins reportados en esta lista de vulnerabilidades de julio, te tomes un tiempo y actualices ya mismo el plugin o plugins en cuestión.

Desde CreativaGrafica podemos ofrecerte un plan de mantenimiento para tu web wordpress, así cómo mantenimiento para ecommerce.

Imagen vulnerabilidades

WORDPRESS: Vulnerabilidades de Junio 2019

Estrenamos en junio, gracias a la información que aporta iThemes Security, el reporte de vulnerabilidades en WordPress, así como del estado actual.

Buenas prácticas

La ejecución de software obsoleto es la razón principal de pirateo de sitios de WordPress. Es crucial para la seguridad de su sitio de WordPress que tengas una rutina de actualización. La recomendación es que inicies sesión en tus sitios al menos una vez a la semana para realizar actualizaciones.

Actualizaciones automáticas pueden ayudar

Las actualizaciones automáticas son una opción a tener en cuenta para los sitios web de WordPress que no cambian muy a menudo. Incluso con la configuración de seguridad recomendada, la ejecución de software vulnerable en tu sitio puede dar a un atacante un punto de entrada a tu Web.

La mejor opción és realizar un mantenimiento manual y comprovación visual. En ocasiones, las actualizaciones automáticas pueden dejar tu sitio web caido… de hecho, con las nuevas versiones, es más difícil que quede toda la web caída… pero si puede pasar que WordPress desactive el plugin conflictivo… (y si se trata del maquetador visual… te queda la web maja).

Ten en cuenta que este proceso puedes hacerlo tu, sin ningún coste, con un poco de dedicación i atención a los plugins y temas que se van a actualizar, así como la realización si o si de copias de seguridad. Pero permíteme recordarte que desde creativagrafica, ofrecemos servicios de mantenimiento web WordPress para Webs ‘básicas’, ‘empresariales’ y ‘ecommerce’, muy ajustados por si no tienes tiempo, ganas o se te hace muy pesado…

Pasemos a ver ya el reporte de vulnerabilidades de julio.

VULNERABILIDADES DE PLUGINS

Real Estate Manager

Plugin que añade funcionalidades cómo carrusel, formularios de registro, formulario de inicio y salida, búsqueda, mapas…

Vulnerable por ‘Plugin Arbitrary Settings Update attack’.

Aunque se ha eliminado la descarga del repositorio de WordPress, se sigue vendiendo el plugin en la web del desarrollador. Así que si usas la versión comercial, contacta con el desarrollador para que te confirme la situación real del plugin, y la vulnerabilidad.

La recomendación a priori es que busques un reemplazo… o cómo mínimo que lo quites.

ads-for-wp

Gestor de anuncios. Anuncios ilimitados, Adsense, condiciones, código propio…

Afectado por vulnerabilidad de falsificación de petición en sitios cruzados

Este plugin se eliminó del repositorio de plugins de WordPress. Actualmente se puede descargar del repositorio oficial… Lo mantengo en esta primera parte del reporte porque lo acaban de añadir…

WP-Members Membership Plugin

Convierte su sitio de WordPress en un sitio de membresía. Restrinje el contenido premium, crea campos de registro personalizados…

Afectado por vulnerabilidad de falsificación de petición en sitios cruzados

Este plugin corrije la vulnerabilidad en las versiones más actuales liberadas.

Seo by Rank Math

Ayuda a mejorar tu seo.

Afectado por vulnerabilidad de Cross-Site Scripting

Este plugin corrije la vulnerabilidad en las versiones más actuales liberadas.

WebP Express

Ayuda a mejorar tu seo.

Afectado por vulnerabilidad de Cross-Site Scripting, Arbitrary File Upload, an Unauthorized Access attacks.

Este plugin corrije la vulnerabilidad en las versiones más actuales liberadas.

contacto

Este formulario está gestionado por FORMA CREATIVA GRAFICA, S.L. B25848474. Con domicilio social en España. El prpopósito de este formulario es para contacto comercial, entrando en la base de datos. Tras enviar este mensaje, te estás registrando a nuestra newsletter. Recibirás un mensaje para verificarr tu suscripción a la NEWSLETTER de la que puedes darte de baja en cualquier momento mediante los enlaces que verás en los correos.