Todas las versiones actuales de WordPress son vulnerables

Cómo desinstalar y eliminar un tema de WordPress

Los ataques consisten en utilizar como arma una lista de vulnerabilidades de seguridad conocidas en 19 plugins y temas diferentes que probablemente estén instalados en un sitio de WordPress, utilizándola para desplegar un implante que puede dirigirse a un sitio web específico para ampliar aún más la red.

Doctor Web dijo que identificó una segunda versión de la puerta trasera, que utiliza un nuevo dominio de comando y control (C2), así como una lista actualizada de fallas que abarcan 11 plugins adicionales, llevando el total a 30.

Se dice que ambas variantes incluyen un método no implementado para forzar las cuentas de administrador de WordPress, aunque no está claro si se trata de un remanente de una versión anterior o de una funcionalidad que aún no ha visto la luz. “Si dicha opción se implementa en versiones más recientes de la puerta trasera, los ciberdelincuentes podrán incluso atacar con éxito algunos de esos sitios web que utilizan versiones actuales de plugins con vulnerabilidades parcheadas”, señala la compañía.

Se recomienda a los usuarios de WordPress que mantengan actualizados todos los componentes de la plataforma, incluidos los complementos y temas de terceros. También se aconseja utilizar nombres de usuario y contraseñas fuertes y únicos para proteger sus cuentas.

  Las fotos grandes pierden calidad al subirlas a WordPress ¿tiene solución?

¿Es WordPress vulnerable?

La Base de Datos Nacional de Vulnerabilidades del Gobierno de EE.UU. publicó advertencias sobre múltiples vulnerabilidades que afectan a WordPress. Hay múltiples tipos de vulnerabilidades que afectan a WordPress, incluyendo un tipo conocido como Cross Site Scripting, a menudo referido como XSS.

¿Cuáles son las vulnerabilidades de WordPress 4.9 15?

WordPress es propenso a múltiples vulnerabilidades, incluyendo cross-site scripting, escalada de privilegios, bypass de seguridad, denegación de servicio y vulnerabilidades de inyección de objetos PHP.

Cómo escanear un sitio web en busca de vulnerabilidades con Burp Scanner

La base de datos de vulnerabilidades del Gobierno de los Estados Unidos e investigadores de seguridad de WordPress publicaron alertas de vulnerabilidades de plugins de WordPress. Entre esos plugins, nueve de los más populares afectan a más de 1,3 millones de sitios web.

Los investigadores señalaron que, dado que este plugin afecta a un área sensible de los sitios de WordPress en el sentido de que sirve para añadir código a los sitios web, la variedad de acciones maliciosas podría extenderse a la adición de puertas traseras y el ataque a los visitantes del sitio.

“El plugin Popup Builder WordPress anterior a la versión 4.0.7 no valida ni escapa correctamente de los parámetros orderby y order antes de utilizarlos en una sentencia SQL en el panel de administración, lo que podría permitir a usuarios con privilegios elevados realizar inyecciones SQL”

Investigadores de seguridad de WPScan informaron de una vulnerabilidad de inyección SQL que afecta al plugin Database Backup for WordPress que maneja la parte más sensible de cualquier instalación de WordPress, la base de datos.

  Insisten en clases semipresenciales - Diario El Bono

Los investigadores de seguridad descubrieron que este plugin contiene un problema que podría dar lugar a un ataque Reflected Cross-Site Scripting. Se aconseja a los editores que actualicen al menos a la versión 3.0.4 del plugin.

Nikto Web Vulnerability Scanner – Pruebas de Penetración Web – #1

“La seguridad afecta a todos por igual. No hay un tema específico, objetivo o audiencia cuando se trata de seguridad de sitios web”, dijo Victor Santoyo, Sr. Ejecutivo de Cuentas de Sucuri Security, durante su sesión “Security lessons learned from 2021” en WordCamp Europe 2022.

Los ciberataques hacen perder tiempo, energía y dinero. Y también pueden amenazar su autoridad y reputación, especialmente si los visitantes de su sitio se ven afectados por los ataques. Aunque es imposible cuantificar el número de amenazas cotidianas a las que puede enfrentarse su sitio, es esencial reconocer y comprender los problemas específicos de WordPress en caso de que sea víctima de uno de ellos.

Una ventaja de utilizar una plataforma de creación de sitios web en lugar de construir un sitio desde cero es que los desarrolladores mejorarán continuamente la funcionalidad y la seguridad de la plataforma para ofrecer una experiencia de usuario perfecta.

Los desarrolladores de WordPress lanzan actualizaciones cada tres meses aproximadamente. Se recomienda encarecidamente a todos los usuarios de WordPress que descarguen estas actualizaciones cuando estén disponibles, ya sea manualmente o activando las actualizaciones automáticas. Cada una de estas actualizaciones suele incluir mejoras, correcciones de errores y correcciones de vulnerabilidades de seguridad más críticas. Por lo tanto, actualizar los archivos principales puede ayudar a mejorar la funcionalidad, el rendimiento y la compatibilidad del sitio, además de la seguridad.

  4 tips (más) para evitar ser hackeado

Vulnerabilidad de Shell Upload en WordPress Slideshow Gallery 1.4.6

La información proporcionada por la base de datos de información proviene de diferentes fuentes que han sido revisadas por terceros. No existe ningún tipo de responsabilidad sobre la información. Actúe bajo su propia responsabilidad.

Cuida la eficiencia para estar siempre activo, no tendrá ninguna afectación notable al tiempo de carga de la web pública (sólo se conecta a la api cuando un administrador instala/actualiza algo y también vía cron cada varias horas).

“WPVulnerability” ha sido traducido a 11 idiomas. Gracias a los traductores por sus contribuciones.Traduce “WPVulnerability” a tu idioma.¿Interesado en el desarrollo? Navega por el código, echa un vistazo al repositorio SVN, o suscríbete al registro de desarrollo por RSS.