WordPress publica una actualización crítica de seguridad

WordPress, la herramienta más utilizada en Internet para crear blogs, acaba de publicar un actualización crítica de seguridad.

Entre otros parches, hay uno llamado “vulnerabilidad crítica de scripting entre sitios que podría permitir a un usuario anónimo comprometer un sitio”.

Afortunadamente, este problema no afecta a WordPress 4, que está en funcionamiento desde septiembre de este año. Por lo que si ya te habías actualizado tu WordPress aún es necesario que instales la versión 4.0.1 pero este no será uno de los agujeros que parcheará. Si aun sigues con la versión 3, deberías actualizarte inmediatamente.

Como el propio WordPress explica en su sección de descargas en la que puedes acceder a todas sus versiones, ninguna es segura salvo la última.

wp-releases-5001

Sin embargo las estadísticas de uso nos muestran que el 55% de las instalaciones aun usan la versión 3.

Por eso, las versiones 3.9, 3.8 y 3.7 aun reciben actualizaciones, llamadas “mantenimiento pasivo” incluso si ya no se ofrece trabaja activamente en ellas.

Ambas versiones, 3 y 4 reciben 8 ocho parches que mejoran la seguridad de esta herramienta.

Uno de los más importantes tiene que ver con la posibilidad de comprometer cuentas de usuarios que no se hubieran conectado desde 2008. Dado el sistema de almacenamiento de las contraseñas anterior a esa fecha que utilizaba un sistema de cifrado MD5, un ciberdelincuente que se hiciera con la base de datos de un sitio realizado WordPress podría llegar a descifrarla.

También se ha cambiado la longitud máxima de una contraseña, que se ha fijado en 4096 caracteres.

Resumiendo, si usas WordPress 3 te aconsejamos encarecidamente que instales la versión 4 ya que la 3 no recibe un mantenimiento activo. Como podéis observar existen amenazas seria por las que un ciberdelincuente puede tomar las tiendas de vuestra web y usarla como trampolín para distribuir su malware. No les facilites su trabajo, instala las actualizaciones y si tienes algún usuario que no se ha conectado desde 2008, oblígale a cambiar su contraseña o en último caso elimínalo directamente.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Dejar un comentario

Your email address will not be published. Required fields are marked *