WordPress: Múltiples vulnerabilidades en complementos

• Global Content Blocks Plugin 1.x
• Menu Creator Plugin 1.x
• Fast Secure Contact Form 3.x
• File Groups 1.x
• WP-Stats-Dashboard 2.x
• Contus HD FLV Player 1.x
• WP DS FAQ Plugin 1.x
• Odihost Newsletter 1.x

• Global Content Blocks Plugin 1.3.
• Menu Creator Plugin: Editar el código fuente y filtrar adecuadamente la entrada “menu_id” en “wp-content/plugins/wp-menu-creator/updateSortOrder.php”.
• Fast Secure Contact Form 3.0.3.2.
• File Groups 1.1.3.
• WP-Stats-Dashboard 2.6.6.1, y editar el código fuente para filtrar adecuadamente el parámetro de entrada “onchange” en “wp-content/plugins/wp-stats-dashboard/view/admin/blocks/select-trend.php”.
• Contus HD FLV Player: Editar el código fuente y filtrar adecuadamente las entradas “playid”  y “listItem” en “wp-content/plugins/contus-hd-flv-player/process-sortable.php”.
• WP DS FAQ: Editar el código fuente y filtrar adecuadamente la entrada “id” en  “wp-content/plugins/wp-ds-faq/ajax.php”.
• Odihost Newsletter: Editar el código fuente y filtrar adecuadamente la entrada”id”  en “wp-content/plugins/odihost-newsletter-plugin/includes/openstat.php”.

NOTAS IMPORTANTES – Otras recomendaciones:

• Utilizar un Firewall de Aplicación Web (WAF).
• Realizar un proceso de aseguramiento (hardening) del servidor utilizado. Principalmente del sistema operativo, de la base de datos, del servidor web y del lenguaje PHP.
• No utilizar programas, complementos, módulos  o agregados en ambientes de producción sin realizar pruebas de seguridad. Tener en cuenta que muchos de los complementos disponibles no cuentan con una codificación que minimice los riesgos de seguridad.
• Remover todo complemento o módulo que no sea necesario o utilizado y mantener actualizados tanto la aplicación WordPress, como todos los complementos utilizados.