Usuarios de WordPress, actualizad vuestros plugins!

0

WordPress

Tenemos nuevas noticias sobre actualizaciones de seguridad para plugins de WordPress. Se han encontrado vulnerabilidades en diferentes añadidos del popular gestor de contenido. Hablamos de vulnerabilidades graves, así que os invitamos a leer el artículo para saber si tenéis que tomar acciones.

Plugin Jetpack y theme TwentyFifteen para WordPress

Este plugin y la mencionada plantilla tienen fallos de seguridad importantes que podrían permitir un ataque de tipo XSS o Cross Site Scripting. Ya se han comprobado ataques “in the wild” como los califican los especialistas cuando el problema s eha descubierto a través de un ataque real y no en pruebas de laboratorio.

El plugin Jetpack, con más de un millón de usuarios activos, junto al tema TwentyFifteen (que no es otro que uno de los temas predefinidos del CMS) son susceptibles de recibir ataques XSS basados en DOM. Este problea se localiza en el paquete de iconos denominado Genericons, que contiene un archivo inseguro, de nombre “example.html”.

Privilegios de administrador, una mala idea

Los ataques XSS basados en DOM requieren que el objetivo atacado realice un click sobre un enlace malicioso para tener éxito. Entonces, se ejecutará un código Javascript en el navegador. De esta forma el atacante puede tomar el control de la web si el usuario ha iniciado sesión como administrador.

Ataque XSS sobre plugins de WordPress

WordPress ya ha publicado un parche de seguridad para solucionar el problema. Por defecto, todos los temas y plugins publicados en el repositorio de WordPress.org han sido actualizados para eliminar el dichoso archivo HTML que permite el ataque.

La cosa está que arde

Se trata del último de una serie de problemas de seguridad descubiertos en la plataforma. Entre las vulnerabilidades recientes, comentamos un problema que afectó a millones de usuarios del CMS mediante un exploit Zero Day que inyectaba y ejecutaba código malicioso en los comentarios del sitio web.

Recomendaciones

Tened en cuenta que, para estar a salvo de futuros exploits, los usuarios y empresas deben actualizar regularmente los sitios web de WordPress a sus últimas versiones. También es una excelente idea contar con una fiable solución antimalware con protección antiexploit.

Los plugins de seguridad que nos ofrece la plataforma también nos pueden ayudar a supervisar los posibles fallos, así como a mitigarlos si aparecen.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR