Ya ha salido WordPress 4.8.2, con nueve parches de seguridad que los administradores de webs que empleen este CMS querrán aplicar lo antes posible.
Este año ya han publicado seis versiones que incluyen parches de seguridad, desde que en enero se solucionó silenciosamente una problemática vulnerabilidad día cero, siendo esta nueva actualización la primera desde la versión 4.7.5 de mayo.
En la parte de mantenimiento encontramos otras seis actualizaciones de software, pero si nos centramos en lo que más preocupa a los lectores de este blog, es decir: la seguridad, tenemos cinco vulnerabilidades XSS, dos de directorio transversal (directory traversal) y una que atañe a una redirección abierta.
También se ha fortalecido, por precaución, el método $wpdb->prepare().
El problema no se encuentra en el núcleo de WordPress, si no en lo que el núcleo permite realizar al código en el vasto ecosistema de plugins y plantillas de WordPress.
WordPress tiene un buen equipo de seguridad pero el ejército de plugins y plantillas de terceros es a su vez su punto fuerte y el mayor problema de seguridad.
Recientemente el plugin Display Widgets, usado por unas 200.000 webs, se retiró después de que se detectara que contenía una puerta trasera que permitía el spam.
El fortalecimiento de $wpdb->prepare() es importante ya que la mejor defensa contra una inyección SQL es asegurar que las consultas SQL tienen una correcta vía de escape. La mejor manera de conseguirlo, según WordPress es usando “prepare”.
Por esto los desarrolladores usarán “prepare” precisamente para prevenir este tipo de ataque. Aunque la última versión de WordPress se supone que está libre de estos problemas, los desarrolladores de plugins y plantillas deberían testear su código en las versiones antiguas.
La actualización de seguridad afecta a todas las versiones anteriores incluyendo la 4.8.1.
WordPress enfatiza que la única versión oficial es la 4.8. Las anteriores puede que no reciban actualizaciones de seguridad que solucionen los problemas que se detecten.
Las estadísticas muestran que solo un 40% de las webs ejecutan la versión oficial. Esto no es una sorpresa, un estudio independiente en 2013 mostraba que el 73% de las webs con WordPress ejecutaban software obsoleto que contenía fallos de seguridad conocidos.
Esto es relevante ya que los ciberdelincuentes buscan maneras de comprometer el mayor número de páginas con el menor esfuerzo posible, y la difusión de WordPress es enorme con aproximadamente un 28% de todo Internet.
Esta es la razón por la que todas las actualizaciones de WordPress comienzan con este consejo tan sencillo:
“Recomendamos encarecidamente que actualices tus webs lo antes posible”
Nosotros compartimos totalmente su consejo.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario