WordPress realiza importante actualización de seguridad para asegurar la protección de sus usuarios contra ataques cibernéticos.
Nuestro favorito sistema de gestión de contenidos web, WordPress, lanzó la actualización el pasado 15 de septiembre, con el fin de solucionar tres vulnerabilidades y 26 fallos que afectan a las versiones 4.3 y anteriores.
Las vulnerabilidades que esta nueva versión corrige incluyan dos vulnerabilidades de scripts cruzados (XSS) y un escalado potencial de privilegios, dos de los cuales fueron encontrados por investigadores de la empresa israelí de seguridad cibernética, Check Point, tras una encuesta de un mes de duración que investigaba posibles defectos en la plataforma.
Quizás la vulnerabilidad más grave que se ha abordado es la que implica una función específica a WordPress que se llama shortcodes – etiquetas HTML que fueron introducidas en la versión 2.5 como una forma sencilla de incorporar macros en el código, así ahorrando a los programadores la molestia de volver a escribir el HTML –. La vulnerabilidad surgía al procesar tags de shortcode (CVE-2015-5714) y permitía que un atacante abusara del proceso para inyectar código JavaScript arbitrario que se implementaría al cargar una página.
Una segunda vulnerabilidad XSS fue encontrado en la tabla de la lista de usuarios, por un miembro del equipo interno de seguridad de WordPress.
Tales vulnerabilidades XSS como estas no representan una ocurrencia nueva en el ámbito de la seguridad de las aplicaciones basadas en web, y han proveído una plataforma de lanzamiento para una serie de ataques cibernéticos, tanto criminales como gubernamentales.
La última vulnerabilidad rectificada fue una que permitía a los usuarios sin permisos adecuados publicar entradas privadas y hacerlas fijas (CVE-2015-5715).
Aunque estas vulnerabilidades fueron notificadas hace un par de meses, el equipo WordPress ha tardado en arreglar todos los defectos debido a posibles problemas de compatibilidad con varios plugins de terceros que se podrían haber roto en el proceso.
Según los investigadores externos responsables del descubrimiento de dos de las vulnerabilidades, estas se deben en gran mayoría al hecho de que gran parte de los plugins de terceros son creados por programadores o desarrolladores de empresas pequeñas, a quienes no se proporcionan las mismas revisiones de seguridad y calidad que se proporcionan al equipo de WordPress core. Por lo tanto, insisten que WordPress aún cuenta con unos de los códigos más seguros que han visto.
En adición a las tres vulnerabilidades, esta última actualización de la plataforma abierta corrige 26 fallos, una lista completa de los cuales se puede leer aquí.
WordPress 4.3.1 está ya disponible para todos. Descárgalo aquí o simplemente pásate por Escritorio -> Actualizaciones y haz clic en “Actualizar ahora”. Los sitios que tengan las actualizaciones automáticas activadas ya están trabajando con WordPress 4.3.1.