Hoy te traigo un resumen del informe semanal de vulnerabilidades de WordPress proporcionado por Wordfence Intelligence. Durante la última semana, se han revelado 90 vulnerabilidades en 77 plugins de WordPress. Afortunadamente, no se han encontrado vulnerabilidades en los temas de WordPress.

La misión de Wordfence Intelligence es hacer que la información sobre vulnerabilidades sea fácilmente accesible para todos, como la comunidad de WordPress, para que tanto individuos como organizaciones puedan utilizar estos datos para hacer de Internet un lugar más seguro.

Nuevas reglas de Firewall desplegadas la semana pasada

El equipo de inteligencia de amenazas de Wordfence revisa cada vulnerabilidad para determinar su impacto y gravedad, además de evaluar la probabilidad de explotación, para verificar que el Firewall de Wordfence proporciona una protección suficiente.

La semana pasada, el equipo implementó protección mejorada a través de reglas de firewall para las siguientes vulnerabilidades:

• Unlimited Elements For Elementor (Free Widgets, Addons, Templates) <= 1.5.60 – Subida arbitraria de archivos en el gestor de archivos.
• ReviewX <= 1.6.13 – Actualización arbitraria de Usermeta para la escalada de privilegios de autenticación (suscriptor+).
• WAF-RULE-600 – Datos redactados mientras trabajamos con el desarrollador para asegurar que la vulnerabilidad sea parcheada.

Los clientes de Wordfence Premium, Care y Response recibieron esta protección de inmediato, mientras que los usuarios que aún utilizan la versión gratuita de Wordfence recibirán esta protección mejorada después de un retraso de 30 días.

Vulnerabilidades parcheadas y sin parchear de la semana pasada

• Vulnerabilidades sin parchear: 26
• Vulnerabilidades parcheadas: 64

Software con vulnerabilidades sin parchear

A continuación, te presento una lista de los software con vulnerabilidades que aún no han sido parcheadas. Te recomiendo que revises cada uno de ellos y tomes las medidas necesarias para proteger tu sitio web:

1. Unlimited Elements For Elementor (Free Widgets, Addons, Templates) <= 1.5.60
2. WooCommerce Follow-Up Emails <= 4.9.40
3. Leyka <= 3.30
4. Recently Viewed Products <= 1.0.0
5. MStore API <= 3.9.1
6. MStore API <= 3.9.2
7. LearnDash LMS <= 4.5.3
8. Contact Form Entries <= 1.3.0
9. OAuth Single Sign On – SSO (OAuth Client) <= 6.23.3
10. SupportCandy <= 3.1.6

Recomendaciones de seguridad

Es esencial que mantengas tu sitio web de WordPress actualizado, incluyendo todos los plugins y temas. Si estás utilizando alguno de los plugins mencionados en este informe, te insto a que los actualices de inmediato para proteger tu sitio web de posibles ataques.

Si un plugin o tema que estás utilizando no ha sido actualizado por su desarrollador y está en la lista de vulnerabilidades sin parchear, te recomendaría desactivarlo y buscar alternativas más seguras.

Recuerda, la seguridad de tu sitio web es crucial, no solo para ti, sino también para tus visitantes. Mantén tu sitio seguro y protegido siguiendo las mejores prácticas de seguridad de WordPress y manteniéndote al día con las últimas vulnerabilidades y parches.

Si quieres recibir informes de vulnerabilidades como este y otros informes de seguridad de WordPress importantes en tu bandeja de entrada en el momento en que se publican, puedes suscribirte a la lista de correo de Wordfence.

Mantén tu sitio web seguro y protegido. ¡Hasta la próxima!