La versión de 5.2.3 WordPress acaba de salir con media docena de correcciones de seguridad y mejoras de software. No parece que ninguno de los problemas solucionados haya sido divulgado públicamente o identificado con un CVE, pero los administradores que confían en la compatibilidad aún así querrán aplicarlo.
Como de costumbre, el tema dominante es solucionar problemas de cross-site scripting (XSS), incluidos dos descubiertos por Simon Scannell de RIPS Technologies, a quien se le atribuye el descubrimiento del principal fallo de falsificación de solicitudes entre sitios (CSRF) solucionado en WordPress 5.1.1 en marzo de 2019.
Estos están relacionados con las vistas previas de publicaciones y los comentarios almacenados, a los que se deben agregar vulnerabilidades XSS diferentes que afectan a la descarga de medios, las vistas previas de shortcodes, el panel de control y los problemas relacionados con la desinfección de URL.
Las versiones más antiguas de WordPress también obtienen la actualización para jQuery añadida a WordPress 5.2.1 en mayo de 2019.
Los problemas con los plugins
Podría decirse que las actualizaciones de seguridad de WordPress, que aparecen tres o cuatro veces al año y se aplican automáticamente, se han convertido en la parte más sencilla de mantener la seguridad de WordPress.
Esto contrasta con el trabajo de Sísifo de arreglar el flujo constante de agujeros críticos que aparecen entre los 54.922 plugins de la plataforma, incluso si muchos de estos solo son utilizados por un pequeño número de webs.
Por ejemplo, la reciente campaña contra WordPress de puerta trasera, que intentaba crear cuentas de administrador falsas en varios plugins vulnerables (Coming Soon Page & Maintenance Mode, Yellow Pencil Visual CSS Style Editor, Blog Designer, y Bold Page Builder).
La evidencia de que esto se está continuamente explotando sugiere que muchos sitios no se actualizan lo suficientemente rápido (o nunca) lo que los hace vulnerables a campañas que simplemente escanean en busca de objetivos sin parchear.
En marzo de 2019, vimos dos importantes vulnerabilidades en plugins, una en Easy WP para SMTP, y un segundo en Abandoned Cart for WooCommerce. Otro, WP Live Chat Support, sufrió dos fallos significativos en cuestión de semanas.
Y no son solo los plugins. Los ciberdelincuentes pueden usar botnets para forzar el acceso mediante ataques de fuerza bruta de credenciales, como fue el caso en diciembre de 2018 cuando uno infectó a 20.000 webs.
Este, por supuesto, es solo el último ejemplo de ataques generales contra CMS que han estado ocurriendo durante años con WordPress a la cabeza de la lista.
Actualización
WordPress 5.2.3 se puede descargar desde Panel de Control> Actualizaciones, haciendo clic en Actualizar ahora (las webs que admiten actualizaciones en segundo plano ya se deberían estar actualizando).
Y no olvide instalar la próxima versión de WordPress, la 5.3, que se publicará el 12 de noviembre de 2019.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: