Escribo este post solo para informaros de las graves vulnerabilidades que se acaban de descubrir en Wordpress y que afectan a muchos plugins y temas, tanto de Codecanyon como del repositorio oficial de wordpress.org
Los que me conocéis ya sabéis mi opinión de estos GNU. Lo único que pido a todos aquellos que tenéis webs desarrolladas en Wordpress, Joomla y similares, es que al menos tengáis los CMS actualizados, así como todos los plugins que se estén usando en vuestras webs. Recuerdo que el 95% de los ataques a sitios webs se producen a través de vulnerabilidades en este tipo de sitios.
En esta ocasión, entre otros plugins, la vulnerabilidad afecta a:
• Jetpack
• WordPress SEO
• Google Analytics by Yoast
• All In one SEO
• Gravity Forms
• Multiple Plugins from Easy Digital Downloads
• UpdraftPlus
• WP-E-Commerce
• WPTouch
• Download Monitor
• Related Posts for WordPress
• My Calendar
• P3 Profiler
• Give
• Multiple iThemes products including Builder and Exchange
• Broken-Link-Checker
• Ninja Forms
La semana pasada, los investigadores de seguridad en Sucuri descubrieron un defecto de seguridad que afecta a estos y otros plugins de WordPress. Debido a que se vieron afectados gran cantidad de componentes la noticia de este agujero de seguridad se ha mantenido en secreto hasta ahora, mientras en Sucuri han continuado buscando más plugins afectados.
El defecto es una (XSS vulnerability).- (ver en Wikipedia). Esto significa que es sencillo para un hacker inyectar el contenido no deseado en su sitio web.
Si usas WordPress, necesitas actualizar todo ya, plugins, temas, etc. Y poner la última versión de WordPress. Tienes más detalles en este post del blog de Sucuri (en inglés). Si tienes clientes o amigos que usan WordPress, avísalos, ya que hay una vulnerabilidad de seguridad MUY grave.
Un abrazo y buen fin de semana para todos.