Fallo de Seguridad en WordPress 5 – Actualiza a 5.1.1

Categorias: Wordpress

Fallo de Seguridad en WordPress 5 - Actualiza a 5.1.1

Si usas WordPress, es posible que ya estes usando alguna de las versiones 5.xx del popular gestor de contenidos.

Desde su lanzamiento hace unos meses, la nueva versión de WordPress ha sido muy comentada por los importantes cambios respecto a las versiones 4.xx, sobre todo con el nuevo editor Gutenberg.

En cualquier caso, WordPress 5 ha llegado para quedarse y al final, todos los usuarios acabarán usándolo.

Pero si ya lo has instalado y no está actualizado a la versión 5.1.1, debes actualizar cuanto antes.

Se ha detectado un fallo de seguridad que afecta a las versiones anteriores a la 5.1.1 (hablando siempre de la rama 5.x).

Por lo general, si no has cambiado nada de la configuración de WordPress, las actualizaciones menores son automáticas y debería haberse actualizado solo.

Pero en ocasiones, un plugin instalado o un cambio de configuración puede anular las actualizaciones automáticas de WordPress y habría que actualizar de forma manual.

Si tienes instalada la versión 4.9.9, no es necesario que actualices, es más, si actualizas pasarás a usar la versión 5.1.1, con Gutenberg incluido 🙂
 

Vulnerabilidad desde los Comentarios de WordPress

Si hay algo que caracteriza a WordPress es el sistema de comentarios, ya que es uno de los puntos fuertes de los blogs y recordemos que WordPress se creo originalmente para gestionar blogs.

La vulnerabilidad encontrada afecta a los comentarios de WordPress, característica que está activada por defecto en todas las instalaciones de WordPress, así que cualquier sitio WordPress con los comentarios activados, podría haberse visto afectado.

Un atacante podía inyectar código malicioso en una web, añadir un comentario con un enlace a esta web para que un administrador logueado en su WordPress la visite.

Una vez el administrador acceda a web, el malware se encarga de inyectar un XSS malicioso capaz de hacerse con el control del WordPress vulnerable, añadir puertas traseras, etc..

Así que resumiendo, el atacante busca que un administrador de WordPress, logueado con sus credenciales, acceda a un sitio web con código malicioso y así poder acceder a WordPress y hacer lo que quiera sin que el administrador se entere de nada.

Si bien no es lo más común, es más que posible y para evitar esto solo tenemos que actualizar a la versión 5.1.1 de WordPress.
 

Cómo Comprobar que WordPress está Actualizado

La actualización 5.1.1 es una actualización menor y desde hace tiempo, WordPress instala automáticamente las actualizaciones menores.

Así que, por lo general, tu WordPress ya habrá sido actualizado a la versión 5.1.1, pero en ocasiones las actualizaciones automáticas pueden desactivarse, así que no está de más comprobarlo.

Comprobar la versión que tenemos instalada en WordPress es muy sencillo, así como comprobar si existe alguna actualización disponible.

Hay que tener en cuenta que WordPress quiere que actualicemos, así que si tenemos una versión sin actualizar, nos lo va recordar en multitud de sitios.

Por ejemplo, cada vez que accedamos al escritorio de WordPress encontraremos un aviso en la parte superior de que hay una nueva versión disponible e invitándonos a actualizar.

aviso actualizar wordpress panel administrador

Después tenemos el aviso de la parte inferior administrador de WordPress.

Si WordPress está actualizado, nos informará de la versión que estamos usando, pero si no lo está, nos indicará que podemos obtener la última versión.

aviso obtener wordpress en su última versión

Luego tenemos los avisos en el menú de actualizaciones del propio WordPress, donde nos indicará todas las actualizaciones que tengamos disponibles, tanto de WordPress como de plugins o themes.

Por cierto, esto lo podemos ver en dos sitios distintos:

actualizaciones disponibles para wordpress, plugins y themes

Y al acceder, nos encontraremos con un aviso bien grande que tenemos una nueva versión de WordPress disponible y las opciones de actualización.

actualizaciones wordpress opciones disponibles

Como podemos ver, WordPress quiere que actualizaremos y nos avisa constantemente de que tenemos una actualización disponible.

Es importante mantener actualizado WordPress, ya que con cada actualización, suelen incluir parches de seguridad para protegerlo de cualquier vulnerabilidad que pueda surgir.

Que WordPress o cualquier otro CMS tenga un problema de seguridad no es el mayor problema, el problema real es que la vulnerabilidad no sea detectada o los desarrolladores no lo solucionen.

WordPress tiene una gran comunidad detrás y los desarrolladores solucionan lo problemas con sus constantes actualizaciones, pero de nada sirve si nosotros no lo mantenemos actualizado.
 

Hosting WordPress con Seguridad Extra

Todos los hosting WordPress que ofrecemos en Hostinet cuentan con una medida de seguridad extra.

Nuestro sistema anti malware, escanea los alojamientos continuamente en busca de cualquier tipo de malware o código malicioso que se haya podido colar en cualquier instalación de WordPress.

En caso de detectar algo, aísla el archivo infectado y avisa al cliente para que pueda revisar su sitio y solucionar el problema lo antes posible.

Este sistema de seguridad está incorporado en todos los alojamientos web WordPress, además de muchas otras características que puedes ver en la siguiente tabla con alguna de las opciones de hosting para WordPress que ofrecemos en Hostinet:

Hosting WordPress