WordPress 4.2.3 ya está disponible, actualízate ahora
Si gestionas una página web, hay muchas posibilidades (en concreto una entre cinco) que estés usando el sistema de gestión de contenidos (CMS por sus siglas en inglés) WordPress. Si es tu caso, debes actualizarlo ya.
La última versión, la 4.2.3, vio la luz el 23 de julio de 2015. Incluye un parche para solucionar un problema de cross-site scripting (XSS), que imprescindible para tu web.
La vulnerabilidad a los usuario de WordPress que tuvieran permiso de Autor o Colaborador añadir código Javascript (algo que en teoría solo pueden hacer los Editores y Administradores) por medio de códigos abreviados (shortcodes).
Si puedes añadir Javascript a una web, puedes usarla para todo tipo de acciones maliciosas, como por ejemplo infectar con malware a sus visitantes.
Afortunadamente, el atacante debería tener los privilegios de Colaborador, lo que hace menos peligroso el fallo. Pero por supuesto es mucho más seguro cerrar esa peligrosa puerta instalando la actualización que se acaba de publicar.
Entre los cientos de millones de webs que usan WordPress, existen multitud que permiten registrar usuarios desconocidos con todos lo privilegios y muchas otras tiene mal configurados los privilegios de sus usuarios o simplemente no los actualizan cuando un empleado deja la empresa, por no hablar del uso contraseñas no seguras.
Cualquiera de estos casos (y muchos otros que no vamos a citar) permiten a un ataque ganar esos privilegios necesarios para comprometer nuestra web. Y seguro que lo intentarán dado el vasto número de páginas que usan este CMS.
Los grupos de cibercriminales usan enormes redes de ordenadores llamadas botnets, para distribuir malware y buscar maneras sencillas de recolectar más víctimas.
Vulnerabilidades en plataformas web exitosas como WordPress o Drupal les ofrecen una manera sencilla de atacar millones de webs con sus herramientas automáticas. Y os aseguramos que son muy rápidos.
En octubre de 2014, el equipo de seguridad de Drupal informaba que habían detectado ataques automáticos a las tres horas de que se hiciera pública una vulnerabilidad crítica del sistema.
Dos semanas después, en un sobrio mensaje, avisaban que si no habías actualizado tu web en las siete horas siguientes al anuncio del problema, asumieras que tu web estaba comprometida.
Por eso la regla número en cuanto a seguridad en WordPress es siempre ejecuta la última versión del software. Afortunadamente es más sencillo desde la versión 3.7 publicada en octubre de 2013 ya que dispone de la opción de actualizarse automáticamente.
Comprueba la versión de tu web. Si no es la 4.2.3 actualízala lo antes posible.
Dejar un comentario