Plugins y plantillas

Uno de los plugins más populares para la creación de formularios, Ninja forms, con más de 1 millón de instalaciones activas, presenta un fallo muy crítico en varias de sus versiones que permitiría a los atacantes introducir código malicioso en tu WordPress.

Este fallo de seguridad ha sido corregido en las versiones 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4, y 3.6.11. Si usas alguna de esas líneas de versión, actualiza cuanto antes.

Descubierta una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Download Manager, activo en más de 100.000 instalaciones de WordPress.

Se recomienda actualizar a la versión 3.2.43, la última vigente en el momento de esta publicación, que corrige la vulnerabilidad detectada.

Plugins de optimización y de mejora de velocidad de carga para WordPress hay muchos, gratuitos y de pago.

Si quieres saber cuales son los mejores y recomendaciones sobre que combinaciones de ellos utilizar, puedes consultar el siguiente artículo: https://nimbo.software/plugins-optimizacion-mejorar-velocidad-wordpress/

Instalado en más de 1 millón de sitios web, la versión 5.0.4 y anteriores del plugin Essential Addons for Elementor presentan una vulnerabilidad importante que permite al atacante insertar y subir ficheros localmente al sitio web. De este modo podrían ejecutar código PHP malicioso que normalmente no se podría ejecutar.

Más información: https://patchstack.com/articles/critical-vulnerability-fixed-in-essential-addons-for-elementor-plugin/

La nueva vulnerabilidad detectada afecta a los sitios web que tengan instalado algunos de estos 3 plugins: Login/Singup Popup, Side Cart Woocommerce, Waitlist Woocommerce.

Un atacante podría actualizar de forma arbitraria diferentes opciones del sitio web, engañando a los administradores para que realicen alguna acción como pulsar en un link.

Más información en: https://thehackernews.com/2022/01/high-severity-vulnerability-in-3.html

En el 2021 se reportaron más de 10.000 vulnerabilidades en plugins de terceros para WordPress. Pero lo realmente grave es que el 77% de todas estas vulnerabilidades conocidas pueden ser aprovechadas por atacantes al haber exploits públicos que se aprovechan de estos fallos.

Esta es una de las razones por las que los ataques a sitios web hechos en WordPress están creciendo. Por esto es importantísimo mantener tu WordPress actualizado y seguro.

Para saber más: https://www.techspot.com/news/92983-wordpress-plugin-vulnerabilities-more-than-doubled-2021.html

Este popular plugin está instalado en más de 3 millones de sitios web. Los desarrolladores han lanzado una actualización el pasado 7 de diciembre, pero muchos webmasters no han actualizado aún. Unos 800.000 sitios web podrían verse afectados.

Marc Montpas (experto en seguridad de Automattic) ha descubierto 2 vulnerabilidades críticas que afectan a las versiones comprendidas entre la 4.0.0 y la 4.1.5.2.

La versión 4.1.5.3 corrige estas vulnerabilidades.

El equipo de Wordfence ha detectado una vulnerabilidad importante que afecta al plugin «Starter Templates — Elementor, Gutenberg & Beaver Builder Templates» con más de 1 millón de instalaciones activas.

El fallo permitiría a un usuario con nivel colaborador del sitio en el que esté instalado, a sobre escribir cualquier página e instalar código JavaScript malicioso.

Se recomienda actualizar a la versión 2.7.1 en la que se corrige este fallo de seguridad.

Fuente de la noticia (en inglés): https://www.wordfence.com/blog/2021/11/over-1-million-sites-impacted-by-vulnerability-in-starter-templates-plugin/

Este plugin tiene más de 1 millón de instalaciones activas. La vulnerabilidad permitiría a los atacantes hacerse con el control de WordPress y realizar descargas maliciosas.

Se recomienda actualizar a la versión 2.6.5, la más reciente y segura en el momento de la publicación de esta noticia.

Puedes ver la noticia (en inglés) en https://www.searchenginejournal.com/optinmonster-vulnerability/425433/