Video: Cómo Actualizar WORDPRESS profesionalmente | Sin quebrar tu web (Noviembre 2024)
Si posee un sitio de WordPress, asegúrese de estar al tanto de las actualizaciones, no solo para la plataforma principal, sino también para todos los temas y complementos.
WordPress tiene más de 70 millones de sitios web en todo el mundo, lo que lo convierte en un objetivo atractivo para los ciberdelincuentes. Los atacantes frecuentemente secuestran instalaciones vulnerables de WordPress para alojar páginas de spam y otro contenido malicioso.
Los investigadores han descubierto una serie de vulnerabilidades graves en estos complementos populares de WordPress en las últimas semanas. Verifique el panel de su administrador y asegúrese de tener las últimas versiones instaladas.
1. MailPoet v2.6.7 disponible
Investigadores de la compañía de seguridad web Sucuri encontraron un error de carga remota de archivos en MailPoet, un complemento que permite a los usuarios de WordPress crear boletines, publicar notificaciones y responder automáticamente. Anteriormente conocido como wysija-newsletters, el complemento se ha descargado más de 1.7 millones de veces. Los desarrolladores parchearon la falla en la versión 2.6.7. Las versiones anteriores son todas vulnerables.
"Este error debe tomarse en serio; le da al intruso potencial el poder de hacer lo que quiera en el sitio web de su víctima", dijo Daniel Cid, director de tecnología de Sucuri, en una publicación de blog el martes. "Permite que se cargue cualquier archivo PHP. ¡Esto puede permitir que un atacante use su sitio web para atraer a phishing, enviar SPAM, alojar malware, infectar a otros clientes (en un servidor compartido), y así sucesivamente!"
Sucuri descubrió que la vulnerabilidad suponía que cualquiera que hiciera la llamada específica para cargar el archivo era un administrador, sin verificar realmente que el usuario estaba autenticado. "Es un error fácil de cometer", dijo Cid.
2. TimThumb v2.8.14 disponible
La semana pasada, un investigador publicó detalles de una vulnerabilidad grave en TimThumb v2.8.13, un complemento que permite a los usuarios recortar, hacer zoom y cambiar el tamaño de las imágenes automáticamente. El desarrollador detrás de TimThumb, Ben Gillbanks, corrigió la falla en la versión 2.8.14, que ahora está disponible en Google Code.
La vulnerabilidad estaba en la función WebShot de TimThumb y permitía a los atacantes (sin autenticación) eliminar de forma remota las páginas y modificar el contenido inyectando código malicioso en sitios vulnerables, según un análisis de Sucuri. WebShot permite a los usuarios tomar páginas web remotas y convertirlas en capturas de pantalla.
"Con un comando simple, un atacante puede crear, eliminar y modificar cualquier archivo en su servidor", escribió Cid.
Dado que WebShot no está habilitado de manera predeterminada, la mayoría de los usuarios de TimThumb no se verán afectados. Sin embargo, el riesgo de ataques de ejecución remota de código permanece porque los temas de WordPress, los complementos y otros componentes de terceros usan TimThumb. De hecho, el investigador Pichaya Morimoto, quien reveló la falla en la lista de Divulgación completa, dijo que WordThumb 1.07, WordPress Gallery Plugin e IGIT Posts Slider Widget eran posiblemente vulnerables, así como temas del sitio themify.me.
Si tiene WebShot habilitado, debe deshabilitarlo abriendo el tema o el archivo timthumb del complemento y estableciendo el valor de WEBSHOT_ENABLED en falso, recomendó Sucuri.
En realidad, si todavía usa TimThumb, es hora de considerar la eliminación gradual. Un análisis reciente de Incapsula encontró que el 58 por ciento de todos los ataques de inclusión de archivos remotos contra sitios de WordPress involucraron a TimThumb. Gillbanks no ha mantenido TimThumb desde 2011 (para arreglar un día cero) ya que la plataforma principal de WordPress ahora admite miniaturas de publicaciones.
"No he usado TimThumb en un tema de WordPress desde antes del anterior exploit de seguridad de TimThumb en 2011", dijo Gillbanks.
3. All in One SEO Pack v2.1.6 disponible
A principios de junio, los investigadores de Sucuri revelaron una vulnerabilidad de escalada de privilegios en All in ONE SEO Pack. El complemento optimiza los sitios de WordPress para motores de búsqueda, y la vulnerabilidad permitiría a los usuarios modificar títulos, descripciones y metaetiquetas incluso sin privilegios de administrador. Este error podría encadenarse con un segundo defecto de escalada de privilegios (también solucionado) para inyectar código JavaScript malicioso en las páginas del sitio y "hacer cosas como cambiar la contraseña de la cuenta del administrador para dejar algo de puerta trasera en los archivos de su sitio web", dijo Sucuri.
Según algunas estimaciones, alrededor de 15 millones de sitios de WordPress usan el paquete todo en uno de SEO. Semper Fi, la compañía que administra el complemento, lanzó una solución en 2.1.6 el mes pasado.
4. Login Rebuilder v1.2.3 disponible
El Boletín de Seguridad Cibernética US-CERT de la semana pasada incluyó dos vulnerabilidades que afectan los complementos de WordPress. El primero fue un error de falsificación de solicitudes entre sitios en el complemento de Reconstructor de inicio de sesión que permitiría a los atacantes secuestrar la autenticación de usuarios arbitrarios. Esencialmente, si un usuario ve una página maliciosa mientras está conectado al sitio de WordPress, los atacantes podrían secuestrar la sesión. El ataque, que no requirió autenticación, podría resultar en la divulgación no autorizada de información, modificación e interrupción del sitio, de acuerdo con la Base de Datos Nacional de Vulnerabilidad.
Las versiones 1.2.0 y anteriores son vulnerables. El desarrollador 12net lanzó una nueva versión 1.2.3 la semana pasada.
5. JW Player v2.1.4 disponible
El segundo problema incluido en el boletín US-CERT fue una vulnerabilidad de falsificación de solicitudes entre sitios en el complemento JW Player. El complemento permite a los usuarios incrustar clips de audio y video Flash y HTML5, así como sesiones de YouTube, en el sitio de WordPress. Los atacantes podrían secuestrar de forma remota la autenticación de los administradores engañados para que visiten un sitio malicioso y eliminar los reproductores de video del sitio.
Las versiones 2.1.3 y anteriores son vulnerables. El desarrollador corrigió la falla en la versión 2.1.4 la semana pasada.
Las actualizaciones regulares son importantes
El año pasado, Checkmarx analizó los 50 complementos más descargados y los 10 mejores complementos de comercio electrónico para WordPress y encontró problemas de seguridad comunes como la inyección de SQL, las secuencias de comandos entre sitios y la falsificación de solicitudes entre sitios en el 20 por ciento de los complementos.
Sucuri advirtió la semana pasada que "miles" de sitios de WordPress habían sido pirateados y que se agregaron páginas de spam al directorio principal de wp-includes en el servidor. "Las páginas de SPAM están ocultas dentro de un directorio aleatorio dentro de wp-includes", advirtió Cid. Las páginas se pueden encontrar en / wp-includes / finance / paydayloan, por ejemplo.
Si bien Sucuri no tenía una "prueba definitiva" de cómo se veían comprometidos estos sitios, "en casi todos los casos, los sitios web ejecutan instalaciones obsoletas de WordPress o cPanel", escribió Cid.
WordPress tiene un proceso de actualización bastante sencillo para sus complementos y sus archivos principales. Los propietarios del sitio deben verificar e instalar periódicamente actualizaciones para todas las actualizaciones. También vale la pena revisar todos los directorios, como wp-includes, para asegurarse de que los archivos desconocidos no se hayan establecido.
"Lo último que quiere cualquier propietario de un sitio web es descubrir más tarde que sus recursos de marca y sistema se han utilizado para actos nefastos", dijo Cid.
