Informe semanal de vulnerabilidades de WordPress del 13 al 19 de mayo de 2024

administración

Informe semanal de vulnerabilidades de WordPress de WP-Firewall (del 13 al 19 de mayo de 2024)

En el panorama de seguridad de WordPress en constante evolución, es fundamental estar a la vanguardia de las vulnerabilidades. En WP-Firewall, nuestra misión es brindar protección sólida y actualizaciones oportunas para salvaguardar sus sitios de WordPress. Esta semana, profundizamos en las últimas vulnerabilidades informadas desde el 13 de mayo de 2024 hasta el 19 de mayo de 2024 y cómo WP-Firewall está equipado para protegerlo contra estas amenazas.

La importancia de la vigilancia en la seguridad de WordPress

WordPress controla el 40% de la web, lo que lo convierte en un objetivo principal para los ciberataques. Con el descubrimiento continuo de nuevas vulnerabilidades, es fundamental contar con una estrategia de seguridad proactiva. WP-Firewall no solo ofrece un potente complemento de firewall, sino que también brinda servicios de seguridad integrales para garantizar que su sitio permanezca seguro.

Descripción general de vulnerabilidades

La semana pasada se revelaron 107 vulnerabilidades en 82 complementos y 8 temas de WordPress. Estas vulnerabilidades fueron aportadas por 42 investigadores, lo que pone de relieve el esfuerzo colaborativo de la comunidad de seguridad de WordPress. A continuación, se incluye un desglose detallado de las vulnerabilidades:

Total de vulnerabilidades parcheadas y no parcheadas

Parcheado: 96
Sin parchear: 11

Vulnerabilidades totales por gravedad de CVSS

Gravedad media: 86
Alta gravedad: 14
Gravedad crítica: 7

Vulnerabilidades totales por tipo de CWE

– Secuencias de comandos entre sitios (XSS): 61
– Autorización faltante: 17
– Falsificación de solicitud entre sitios (CSRF): 7
– Inyección SQL: 3
– Carga de archivos sin restricciones: 3
– Recorrido de ruta: 2
– Omisión de autenticación: 1
– Control de acceso inadecuado: 1
– Falsificación de solicitud del lado del servidor (SSRF): 1
– Abrir redirección: 1

Protección mejorada con WP-Firewall

En WP-Firewall, monitoreamos y actualizamos continuamente nuestras reglas de firewall para protegernos contra nuevas amenazas. Nuestros usuarios premium reciben actualizaciones en tiempo real, lo que garantiza una protección inmediata contra vulnerabilidades emergentes. A continuación, se muestran las nuevas reglas de firewall implementadas la semana pasada:

– WAF-RULE-700: Datos redactados mientras trabajamos con el proveedor en un parche.
– WAF-RULE-699: Datos redactados mientras trabajamos con el proveedor en un parche.

Los clientes Premium, Care y Response recibieron esta protección de inmediato, mientras que los usuarios de la versión gratuita recibirán estas actualizaciones después de un retraso de 30 días.

Vulnerabilidades destacadas

Vulnerabilidades críticas

1. Kognetiks Chatbot para WordPress <= 2.0.0 – Carga de archivos arbitrarios sin autenticación
– Calificación CVSS: 10.0
– Identificador CVE: CVE-2024-32700
– Estado del parche: parcheado
– Publicado: 13 de mayo de 2024

2. Crear aplicación en línea <= 1.0.21 – Omisión de autenticación mediante encabezado
– Calificación CVSS: 9.8
– Identificador CVE: CVE-2024-3658
– Estado del parche: sin parchear
– Publicado: 17 de mayo de 2024

3. Plugin de formulario de contacto de Fluent Forms <= 5.1.16 – Falta autorización**
– Calificación CVSS: 9.8
– Identificador CVE: CVE-2024-2771
– Estado del parche: parcheado
– Publicado: 17 de mayo de 2024

Vulnerabilidades de alta gravedad

1. Galería de videos todo en uno <= 3.6.5 – Inclusión de archivos locales autenticados**
– Calificación CVSS: 8.8
– Identificador CVE: CVE-2024-4670
– Estado del parche: parcheado
– Publicado: 14 de mayo de 2024

2. **Alt Text AI <= 1.4.9 – Inyección SQL autenticada**
– **Calificación CVSS:** 8,8
– **ID CVE:** CVE-2024-4847
– **Estado del parche:** Parcheado
– **Publicado:** 14 de mayo de 2024

3. **Suscriptores de correo electrónico de Icegram Express <= 5.7.19 – Falta autorización**
– **Calificación CVSS:** 8,8
– **ID CVE:** CVE-2024-4010
– **Estado del parche:** Parcheado
– **Publicado:** 14 de mayo de 2024

El compromiso de WP-Firewall con la seguridad

Nuestro equipo en WP-Firewall se dedica a brindar el más alto nivel de seguridad para su WordPress## Informe semanal de vulnerabilidad de WordPress de WP-Firewall (del 13 de mayo de 2024 al 19 de mayo de 2024)

Misión de WP-Firewall

En el panorama de seguridad de WordPress en constante evolución, es fundamental estar a la vanguardia de las vulnerabilidades. En WP-Firewall, nuestra misión es brindar protección sólida y actualizaciones oportunas para salvaguardar sus sitios de WordPress. Esta semana, profundizamos en las últimas vulnerabilidades informadas desde el 13 de mayo de 2024 hasta el 19 de mayo de 2024 y cómo WP-Firewall está equipado para protegerlo contra estas amenazas.

La importancia de la vigilancia en la seguridad de WordPress

WordPress controla el 40% de la web, lo que lo convierte en un objetivo principal para los ciberataques. Con el descubrimiento continuo de nuevas vulnerabilidades, es fundamental contar con una estrategia de seguridad proactiva. WP-Firewall no solo ofrece un potente complemento de firewall, sino que también brinda servicios de seguridad integrales para garantizar que su sitio permanezca seguro.

Protección mejorada con WP-Firewall

En WP-Firewall, monitoreamos y actualizamos continuamente nuestras reglas de firewall para proteger contra nuevas amenazas. Nuestros usuarios premium reciben actualizaciones en tiempo real, lo que garantiza una protección inmediata contra vulnerabilidades emergentes. Nuestro equipo en WP-Firewall se dedica a brindar el más alto nivel de seguridad para su sitio de WordPress.

El último informe sobre vulnerabilidades de WordPress: una perspectiva desde WP-Firewall

El ecosistema de WordPress es un espacio vibrante y dinámico, pero también atrae una cantidad significativa de actividad maliciosa. Cada semana se descubren nuevas vulnerabilidades y los atacantes buscan constantemente formas de explotarlas. Por eso, mantenerse informado sobre las últimas amenazas es fundamental para todos los propietarios de sitios de WordPress.

Este informe destaca la asombrosa cantidad de 107 vulnerabilidades en 82 complementos y 8 temas. Si bien esta cifra puede parecer abrumadora, subraya la importancia de las medidas de seguridad proactivas.

WP-Firewall: tu escudo contra las últimas amenazas

En WP-Firewall, comprendemos la gravedad de estas vulnerabilidades. Nos comprometemos a brindarles a nuestros usuarios las soluciones de seguridad más sólidas y actualizadas para proteger sus sitios de WordPress. Nuestro enfoque de seguridad es multicapa y abarca:

  • Un cortafuegos potentel: Nuestro firewall está diseñado para bloquear el tráfico malicioso y evitar ataques antes de que puedan llegar a su sitio. Actualizamos constantemente nuestras reglas de firewall para abordar las amenazas más recientes, incluidas aquellas destacadas en el informe de Wordfence.
  • Detección de amenazas en tiempo real:Aprovechamos la inteligencia avanzada sobre amenazas para identificar y bloquear actores maliciosos y patrones de ataque conocidos. Este enfoque proactivo garantiza que su sitio esté protegido contra las amenazas más comunes y emergentes.
  • Escaneo de vulnerabilidades: Ofrecemos servicios integrales de análisis de vulnerabilidades para identificar y solucionar posibles debilidades en su instalación, complementos y temas de WordPress. Esto le ayuda a mantenerse a la vanguardia y a abordar las vulnerabilidades antes de que puedan ser explotadas.
  • Soporte de expertos: Nuestro equipo de expertos en seguridad está disponible las 24 horas, los 7 días de la semana para brindar asistencia y orientación sobre todos los aspectos de la seguridad de WordPress. Podemos ayudarlo a comprender las últimas amenazas, implementar las mejores prácticas y responder a los incidentes de seguridad.

Conclusiones clave del informe

El informe revela varias tendencias clave que los propietarios de sitios de WordPress deben tener en cuenta:

  • Prevalencia de secuencias de comandos entre sitios (XSS): Las vulnerabilidades XSS fueron el tipo de vulnerabilidad más común reportado, representando 61 de las 107 vulnerabilidades. Los ataques XSS permiten a los atacantes inyectar scripts maliciosos en su sitio web, lo que podría robar datos de los usuarios, redirigirlos a sitios web maliciosos o tomar el control de su sitio.
  • Vulnerabilidades críticas: El informe también destacó varias vulnerabilidades críticas, incluidas las que afectan a complementos populares como Kognetiks Chatbot y Build App Online. Estas vulnerabilidades podrían permitir a los atacantes obtener el control total de su sitio web, por lo que es esencial aplicarles un parche de inmediato.
  • Vulnerabilidades sin parches: Si bien muchas de las vulnerabilidades reportadas en el informe de Wordfence han sido corregidas, todavía quedan 11 vulnerabilidades sin corregir. Esto significa que los sitios web que usan estos complementos o temas aún corren el riesgo de sufrir ataques.

La respuesta de WP-Firewall: cómo proteger su sitio

WP-Firewall está trabajando activamente para proteger a nuestros usuarios de las vulnerabilidades señaladas en el informe de Wordfence. Ya hemos implementado reglas de firewall mejoradas para bloquear ataques dirigidos a estas vulnerabilidades.

Más allá del informe: un enfoque proactivo para la seguridad de WordPress

Si bien es fundamental mantenerse informado sobre las últimas vulnerabilidades, es igualmente importante adoptar un enfoque proactivo en materia de seguridad de WordPress. A continuación, se indican algunas prácticas recomendadas que todo propietario de un sitio de WordPress debería seguir:

  • Mantenga actualizados el núcleo, los complementos y los temas de WordPress: Actualice periódicamente el núcleo, los complementos y los temas de WordPress para asegurarse de que está ejecutando las últimas versiones con los últimos parches de seguridad.
  • Utilice contraseñas seguras: Elige contraseñas seguras para tu cuenta de administrador de WordPress y otras cuentas de usuario. Evita usar contraseñas comunes y considera usar un administrador de contraseñas para generar y almacenar contraseñas seguras.
  • Habilitar la autenticación de dos factores (2FA): La autenticación de dos factores añade una capa adicional de seguridad al exigir a los usuarios que introduzcan un código desde su dispositivo móvil además de su contraseña. Esto hace que sea mucho más difícil para los atacantes acceder a su sitio web.
  • Limitar privilegios de usuario: Otorgue a los usuarios únicamente los privilegios mínimos que necesitan para realizar sus tareas. Esto ayuda a evitar el acceso no autorizado a datos y configuraciones confidenciales.
  • Realice copias de seguridad de su sitio web periódicamente: Las copias de seguridad periódicas son fundamentales para recuperar su sitio web en caso de que se produzca un incidente de seguridad. Considere la posibilidad de utilizar un complemento o servicio de copia de seguridad fiable para automatizar el proceso de copia de seguridad.
  • Tenga cuidado con los ataques de phishing: Los ataques de phishing son una forma habitual de que los atacantes accedan a su sitio web. Tenga cuidado al hacer clic en enlaces incluidos en correos electrónicos o redes sociales y siempre verifique la autenticidad de cualquier sitio web antes de ingresar sus credenciales de inicio de sesión.

WP-Firewall: su socio de confianza en seguridad de WordPress

El informe de Intelligence sirve como un duro recordatorio de la amenaza siempre presente a la seguridad de WordPress. En WP-Firewall, nos comprometemos a proporcionar a nuestros usuarios las herramientas y la experiencia que necesitan para mantenerse seguros. Le recomendamos que tome medidas proactivas para proteger su sitio web y que se ponga en contacto con nosotros si tiene alguna pregunta o inquietud.

Juntos, podemos hacer del ecosistema de WordPress un lugar más seguro para todos.


wordpress security update banner

Reciba WP Security Weekly gratis 👋
Regístrate ahora
!!

Regístrese para recibir la actualización de seguridad de WordPress en su bandeja de entrada todas las semanas.

¡No hacemos spam! Lea nuestro política de privacidad para más información.