Portada Wordpress Post Grid y Team Showcase, Plugins de WordPress con Problemas de Seguridad
Si eres usuario de alguno de los plugins Post Grid o Team Showcase en tu WordPress, tu sitio puede estar en peligro.
Se detectaron problemas de seguridad en los dos plugins, los mismo problemas en ambos, que ya han corregido en las versiones más recientes de los plugins.
Los dos plugins han sido creados por el mismo desarrollador, el cual, como es lógico, usaba características similares en los dos plugins usando el mismo código.
Al usar el mismo código, los problemas de seguridad afectaron al los dos plugins, aunque también ha sido más fácil solucionarlo.
En cualquier caso, ya uses uno de los dos plugins o los dos, debes actualizarlos los antes posible.
Las versiones corregidas son:
Si tienes alguna versión anterior actualiza cuanto antes, ya que ahora que se ha hecho público el problema, es probable que un atacante intente aprovecharse de los plugins no actualizados.
El plugin Post Grid es bastante popular y está instalado en más de 60 mil sitios WordPress.
Lo que hace el plugin Post Grid es mostrar el contenido como si fuera en una cuadrícula o parrilla (grid) con un bonito diseño.
Existen multitud de themes en WordPress que presentan este tipo de diseños, durante un tiempo estuvieron muy de moda, pero cambiar el theme a veces no es posible o presenta muchos problemas de configuración.
Por ese motivo el plugin Post Grid es tan popular, porque podemos utilizarlo en casi cualquier theme de WordPress y conseguir el diseño que queremos sin tener que realizar grandes modificaciones en nuestro WordPress.
Tiene calificaciones altas en las opiniones de los usuarios, por lo que si te interesa un plugin de estas características, puedes usarlo pese al problema de seguridad.
¡¡Pero asegúrate de descargar la versión 2.0.73 o superior!
El plugin Team Showcase no es tan popular como el su plugin «hermano», ya que cuenta tan sólo con 6000 descargas activadas, que tampoco está nada mal.
La función de este plugin es simple, mostrar a los miembros del equipo del sitio web, empresa, proyecto, etc…
Seguramente habrás visto en muchos sitios web un apartado de «Quiénes Somos» o algo parecido y desde ahí se muestra una imagen de cada miembro o trabajador.
De esta forma se «humaniza» el sitio web y de alguna forma se demuestra que detrás de la pantalla, hay personas reales.
Hay muchos themes que ya cuentan con esta opción por defecto, pero como en el caso anterior, no todos lo incluyen y cambiar de theme para añadir esta función, no parece tener mucho sentido.
En cualquier caso, el problema de seguridad ya ha sido resuelto y no deberías tener problemas por usarlo si te interesa.
Puedes buscarlo en la sección de plugins de tu WordPress o descargarlo desde aquí.
Como hemos comentado antes, los dos plugins comparten parte del código, por lo tanto los problemas de seguridad afectan a los dos plugin por igual.
El problema viene dado porque se permite subir diseños personalizados por el usuario, en lugar de usar los preestablecidos por el desarrollador.
Esto está muy bien, ya que un usuario con ciertos conocimientos puede adaptar los plugins al diseño de su sitio para su integración total.
El problema es que es una puerta de acceso, la cual bien configurada, no es un problema.
El problema es que un suscriptor del sitio podía utilizar los shorcodes del plugin para lanzar una petición a un servidor externo.
En ese servidor externo podría existir un diseño personalizado, en apariencia normal, pero que incluyera contenido malicioso para que se ejecutara en el WordPress.
A partir de ahí, el atacante podría hacerse con el control de WordPress, esconder una puerta trasera, robar contraseñas, etc…
Como verás, los problemas pueden ser serios, así que vale la pena que actualices lo antes posible los plugins.
Es posible que tras ver que los plugins Post Grid y Team Showcase han tenido problemas de seguridad, no quieras usarlos por desconfianza.
La verdad es que no deberías preocuparte en exceso, ya que muchos plugins de WordPress tienen problemas de seguridad puntuales, incluso los más importantes.
Lo más importante es que el desarrollador solucione los problemas de una manera rápida y esté en constante evolución, desconfía de los plugins que llevan mucho tiempo sin actualizarse.
En este caso el desarrollador ha solucionado el problema con una actualización de los plugins en un tiempo más que aceptable (menos de 24 horas), así que puedes confiar en él, aunque no servirá de nada si no actualizas los plugins.