WordPress Actualización Urgente Versión 4.8.3

Se ha descubierto una vulnerabilidad que afecta a versiones anteriores a la 4.8.3. y según las propias palabras del descubridor del problema, Anthony Ferrara, -Si estás leyendo esto y no has actualizado, deja de leer y actualiza WordPress.

Esta vulnerabilidad permitía ataques de inyección de SQLi y aunque, en principio, no parece que sea capaz de atacar directamente el core de WordPress, si que es capaz de hacerlo con ciertos plugins, como HyperDB y themes.

Por ahora no hay noticias de ningún caso en concreto que se haya visto afectado por esta vulnerabilidad, pero es previsible que, ahora que ha salido a la luz, sea aprovechada en distintos ataques.


Cómo Solucionar el Problema

La vulnerabilidad está considerada como grave, pero la solución es bien sencilla, entrar al panel de administrador de WordPress y actualizar.

Si están activadas las actualizaciones automáticas en WordPress, seguramente ya estará actualizado y se habrá recibido el email avisando:

actualizaciones automaticas de WordPress

También es muy recomendable actualizar cualquier plugin o theme que tengamos instalado, aunque esté desactivado. En los próximos días es previsible que se lancen varias actualizaciones de los plugins y themes, así que sólo hay que estar atento y actualizar todo, sobre todo WordPress a su versión 4.8.3.

Como siempre, es recomendable tener una copia de seguridad de los archivos y de la base de datos antes de actualizar.

Polémica Servida por la Vulnerabilidad

Polémica Servida por la Vulnerabilidad

Esta vulnerabilidad ha venido con una polémica ya que, en un principio, se iba a solucionar con la actualización 4.8.2, justo la anterior a esta y que se liberó el pasado mes.

El problema no se resolvió del todo y la actualización causó varios problemas en muchos sitios web. Anthony Ferrara afirma que avisó a WordPress de que no se había solucionado el problema, pero no se solucionó hasta la versión 4.8.3.

Esto no deja de ser un problema, ya que ha pasado mucho tiempo desde que WordPress recibió el aviso, hasta que solucionó por fin el problema.

Esto no suele ser normal, ya que WordPress soluciona sus agujeros de seguridad con celeridad, pero en esta ocasión no ha sido así.

WordPress informó en la versión 4.8.2 de esta forma:

$wpdb->prepare() puede crear peticiones inseguras e inesperadas que lleven a una inyección SQL (SQLi). El núcleo de WordPress no es directamente vulnerable a este problema pero hemos añadido un refuerzo para evitar que plugins y temas provoquen accidentalmente una vulnerabilidad.

Link aquí.

Y ahora en la versión 4.8.3 informa de esta forma:

Las versiones de WordPress 4.8.2 y anteriores están afectadas por un problema por el que $wpdb->prepare() puede crear peticiones inseguras e inesperadas que podrían generar potenciales inyecciones SQL (SQLi). El núcleo de WordPress no es vulnerable por sí mismo a este problema, pero hemos añadido esta actualización para fortalecerlo y evitar que plugins y temas provoquen accidentalmente una vulnerabilidad.

Link aquí.

Queda claro que no solucionaron el problema en la versión anterior.
 

Qué Puede Pasar si no se Actualiza WordPress

Qué Puede Pasar si no se Actualiza WordPress

Aunque WordPress han avisado que la vulnerabilidad no afecta al core del sistema, el uso de algunos plugins y themes si que está comprometido.

Cualquier atacante puede usar esta vulnerabilidad para inyectar código y atacar a los visitantes del sitio web.

Hace poco hablamos de una noticia en la que se comentaba que se están realizando ataques a WordPress con la intención de minar criptomonedas , pero también se podría instalar malware en el dispositivo del visitante con cualquier tipo de intención maliciosa, robo de contraseñas, envío de spam, etc…

Cómo Saber si WordPress está Infectado

Según WordPress, si se actualiza el sistema no debería de haber ningún problema. También sería recomendable actualizar plugins y themes para solucionar cualquier posible agujero.

Existen multitud de sitios web que con solo añadir la URL escasean el sitio en busca de malware, pero si eres cliente de Hostinet, de eso nos encargamos nosotros.

Todos nuestros servidores son escaseados a diario en busca de cualquier tipo de malware que haya conseguido instalarse en cualquier sitio web.

Al detectarlo, el sistema se encarga de poner los archivos infectados en cuarentena para que no infecte a nadie más, se avisa al cliente por email indicándole cuáles son los archivos con problemas y los pasos a seguir, ademas de proteger la web con usuario y contraseña para que nadie más pueda modificar nada hasta que no se resuelva el problema.

Si no eres cliente de Hostinet y usas WordPress, tenemos una planes de hosting WordPress preparados especialmente apara sacarle todo el provecho al CMS.

Todos los planes de alojamiento web para WordPress tiene características comunes como:

Dependiendo de cuanto disco duro o ancho de banda se necesite, se pueden elegir entre diversos planes. Algunas de las opciones preferidas por nuestros clientes son la siguientes:

Hosting WordPress