Usuarios de WordPress, actualizad vuestros plugins!

WordPress

Tenemos nuevas noticias sobre actualizaciones de seguridad para plugins de WordPress. Se han encontrado vulnerabilidades en diferentes añadidos del popular gestor de contenido. Hablamos de vulnerabilidades graves, así que os invitamos a leer el artículo para saber si tenéis que tomar acciones.

Plugin Jetpack y theme TwentyFifteen para WordPress

Este plugin y la mencionada plantilla tienen fallos de seguridad importantes que podrían permitir un ataque de tipo XSS o Cross Site Scripting. Ya se han comprobado ataques “in the wild” como los califican los especialistas cuando el problema s eha descubierto a través de un ataque real y no en pruebas de laboratorio.

El plugin Jetpack, con más de un millón de usuarios activos, junto al tema TwentyFifteen (que no es otro que uno de los temas predefinidos del CMS) son susceptibles de recibir ataques XSS basados en DOM. Este problea se localiza en el paquete de iconos denominado Genericons, que contiene un archivo inseguro, de nombre “example.html”.

[pullquote]El archivo es vulnerable a un ataque DOM, que significa Document Object Model level.[/pullquote]

Privilegios de administrador, una mala idea

Los ataques XSS basados en DOM requieren que el objetivo atacado realice un click sobre un enlace malicioso para tener éxito. Entonces, se ejecutará un código Javascript en el navegador. De esta forma el atacante puede tomar el control de la web si el usuario ha iniciado sesión como administrador.

Ataque XSS sobre plugins de WordPress

WordPress ya ha publicado un parche de seguridad para solucionar el problema. Por defecto, todos los temas y plugins publicados en el repositorio de WordPress.org han sido actualizados para eliminar el dichoso archivo HTML que permite el ataque.

La cosa está que arde

Se trata del último de una serie de problemas de seguridad descubiertos en la plataforma. Entre las vulnerabilidades recientes, comentamos un problema que afectó a millones de usuarios del CMS mediante un exploit Zero Day que inyectaba y ejecutaba código malicioso en los comentarios del sitio web.

Recomendaciones

Tened en cuenta que, para estar a salvo de futuros exploits, los usuarios y empresas deben actualizar regularmente los sitios web de WordPress a sus últimas versiones. También es una excelente idea contar con una fiable solución antimalware con protección antiexploit.

Los plugins de seguridad que nos ofrece la plataforma también nos pueden ayudar a supervisar los posibles fallos, así como a mitigarlos si aparecen.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.