Estrenábamos en junio el reporte de vulnerabilidades en WordPress , gracias a la información que aporta iThemes Security.
Seguimos con el listado de vulnerabilidades. Pasemos a ver ya el reporte de plugins tanto los que siguen en el repositorio de WordPress y que ya han correjido los problemas… cómo los que se han eliminado
En esta ocasión les ha tocado a alguno de los ‘grandes’ de WordPress, y la lista es larga.
VULNERABILIDADES DE PLUGINS
Plugin para hacer el like de facebook.
Detectado un ‘athentication bypass attack’. Eliminalo ya!
Yoast SEO
Vulnerabilidad resuelta ante un ataque de autentificación XSS.
Si no lo has hecho aún, actualiza cuanto antes!!
WooCommerce
La popular herramienta de comercio electrónico para WordPress, corrije en su reciente actualización, unos problemas serios de seguridad:
Corrije una vulnerabilidad en la comprovación del tipo de archivo y una vulnerabilidad de falsificación de petición en sitios cruzados
Ad Inserter
Complemento de gestión de anuncios. Incluye funciones avanzadas para insertar anuncios en posiciones definidas.
La última versión corrije un ataque de autenticación de ruta transversal; La vulnerabilidad permitia acceder a directorios que no estaban dentro de la zona restringida para este uso.
Ocean Extra
Ocean Extra añade funciones adicionales al tema OceanWP: widgets, metaboxes, activar / desactivar las secciones del personalizador, habilitar / deshabilitar scripts y estilos del tema.
La versión 1.5.9 corrije la vulnerable a un cambio de configuración no autenticado e inyección de CSS. La vulnerabilidad permitirá a un atacante cambiar algunas configuraciones de WordPress e inyectar CSS para dañar el sitio.
WP Statistics
Herramienta sencilla de estadísticas para tu web. Con gráficos y estadísticas visuales, Reconocimiento del país del visitante, Reconocimiento de la ciudad del visitante, número de visitantes procedentes de cada motor de búsqueda, etc.
La versión 12.6.7 corrije la vulnerabilidad inyección de SQL ciega
Visitors Traffic Real Time Statistics
Complemento de estadísticas y tráfico para WordPress. Este complemento sirve para realizar un seguimiento de visitantes, navegadores, sistemas operativos, visitas, etc.
Corrije una vulnerabilidad de falsificación de petición en sitios cruzados
Essential Real Estate
Permite administrar listados de propiedades y enviar propiedades a través de back-end y front-end. Pago global, construcción de mercado, gestión de agentes, etc.
Con la versión 1.7.2, se corrije una vulnerabilidad cross-site scripting.
Appointment Booking Calendar
Complemento para citas/reservas en línea de intervalos de tiempo disponibles en un calendario.
Con la versión 1.3.19, se corrije una vulnerabilidad cross-site scripting.
Gallery PhotoBlocks
Galería de fotos e imágenes con bordes justificados. Zoom de las imágenes estilo caja de luz. Permite agregar efectos a la galería en modo cuadrícula.
La versión 1.1.41, se corrije una vulnerabilidad cross-site scripting.
Slimstat Analytics
Seguimiento de los clientes usuarios registrados, eventos de Javascript, intrusiones, campañas de correo electrónico…
La versión 4.8.4 corrije una vulnerabilidad de falsificación de petición en sitios cruzados
WP Google Maps
Vulnerable a Cross-Site Request Forgery (Falsificación de solicitudes entre sitios) y a Stored XSS attack….
Actualiza a la nueva versión del plugin.
LiveChat
Vulnerable a Cross-Site Request Forgery (Falsificación de solicitudes entre sitios) y a Stored XSS attack….
Actualiza cuanto antes.
WP Like Button
Vulnerable a Authentication Bypass attack.
WordPress ha eliminado el complemento de su repositorio, así que elimínalo cuanto antes y busca un reemplazo.
File Manager
Según reporta WebARX, si se explotan las vulnerabilidades del plugin, cualquier usuario conectado podrá ver, eliminar o descargar copias de seguridad… pudiendo encontrar información confidencial que podría acarrear problemas adicionales.
La vulnerabilidad ha sido parcheada y debes actualizar a la versión 5.2.
Ultimate Member
Es vulnerable a a Cross-Site Request Forgery (Falsificación de solicitudes entre sitios) y a Stored XSS attack….
Esta información la reporta iThemes Security en su blog.
Cómo siempre, mi recomendación es que actualices los plugins, temas y core de tu instalación para mantenerlos al día… y si estás usando alguno de los plugins reportados en esta lista de vulnerabilidades de julio, te tomes un tiempo y actualices ya mismo el plugin o plugins en cuestión.
Desde CreativaGrafica podemos ofrecerte un plan de mantenimiento para tu web wordpress, así cómo mantenimiento para ecommerce.