WordPress 4.9.7 Actualización de Seguridad – Los Autores podían Hacerse con el Control de WordPress

Categorias: Wordpress

WordPress 4.9.7 Actualización de Seguridad - El Perfil “Autor” podía Hacerse con el Control

Las actualizaciones en WordPress son algo muy habituales, tanto que ya no llaman la atención cuando llega una.

Por lo general, se añaden nuevas funcionalidades, se arreglan algunos errores que se han detectado y no menos importante, se solucionan errores de seguridad.

La versión de WordPress 4.9.6, que era la última estable disponible y la que estaría instalada en la mayoría de las instalaciones de WordPress, tenía un problema de seguridad importante que podía afectar a todos las instalaciones que usaran los perfiles de Autor o superior.

Por lo general, los distintos perfiles en WordPress se utilizan cuando varias personas escriben artículos o suben contenido a WordPress.

Si únicamente hay un administrador que se encarga de todo en una instalación de WordPress, estas funciones no se suelen activar y por lo tanto, esta vulnerabilidad no les afectaría.

No obstante, muchos sitios basados en WordPress necesitan de estos roles para generar los contenidos del sitio web y esta vulnerabilidad ha estado activa durante 7 meses, aunque se dio a conocer el 26/06/2018, así que es muy recomendable actualizar cuanto antes.


Autores y otros Perfiles con Privilegios, la Base de la Vulnerabilidad

En WordPress, es muy común que los usuarios se puedan registrar, ya sea para obtener beneficios, poder escribir comentarios, etc…

Cuando un usuario se registra en WordPress, por defecto se le otorga el perfil de Suscriptor.

Con este perfil pueden loguearse con su nombre de usuario y contraseña. Pueden acceder a zonas restringidas para usuarios no registrados, escribir y contestar comentarios y poco más.

El administrador de un sitio WordPress, puede cambiar el perfil de cualquier usuario registrado de una forma muy sencilla:

Autores y otros Perfiles con Privilegios, la Base de la Vulnerabilidad

Por ejemplo, un Colaborador puede escribir artículos en WordPress, pero no publicarlos, un editor o el administrador debe aprobarlos.

En cambio, un perfil de Autor si que permite publicar sus artículos directamente, pero nada más y por encima de este estaría el Editor que puede hacer lo que quiera con los artículos del resto de usuarios, pero no puede administrar WordPress, ni añadir plugins, ni modificar themes etc…, de esto se encarga el Administrador.

El problema de la versión 4.9.6 de WordPress, es que un atacante con el perfil de Autor, podía eliminar cualquier archivo de WordPress.

Por ejemplo, podía eliminar el archivo wp-config, de este modo volvería a empezar el proceso de instalación de WordPress, que el atacante podía realizar con sus datos para hacerse con la administración del sitio.

También podía eliminar el archivo .htaccess, en el que pueden existir restricciones de seguridad que, al eliminar el archivo, son eliminadas y darle acceso al atacante a zonas restringidas para él o ejecutar código malicioso en el sitio.

En cualquier caso, la imaginación del atacante sería el límite y lo más preocupante es que no necesitaría averiguar la forma de entrar en WordPress, ya que al tener el perfil de Autor, entraría con su usuario y contraseña sin ningún problema.

Como hemos comentado antes, no es lo más habitual usar cientos de Autores en WordPress, aunque en sitios muy grandes donde escriben mucho contenido a diario, los Autores son imprescindibles.

Cuando un administrador le otorga el perfil de Autor a un usuario, generalmente se fía de él, pero lo peor que puede hacer es publicar algo inapropiado.

No puede modificar otros artículos de otros autores, ni puede eliminar o aprobar otros artículos, por lo que su capacidad de acción está limitada.

Además, si un WordPress tiene muchos perfiles de Autor suelen tener también Editores que se encarguen de controlar todo el contenido, aunque bueno, los usuarios con el perfil de Editor también podían utilizar esta vulnerabilidad, así que no parece una solución.

Autores y editores en WordPress con privilegios que no deberían la Base de la Vulnerabilidad


Actualizar WordPress a la Versión 4.9.7

La actualización de WordPress 4.9.7 es una actualización menor, por lo que es posible que se actualice de manera automática, al menos que no se tengan activadas las actualizaciones automáticas.

En caso de no hacerlo es muy recomendable actualizar y totalmente imprescindible si se hace uso de los perfiles de Autor, Editor, etc…

Como siempre, antes de actualizar es recomendable disponer de una copia de seguridad reciente, por lo que pueda pasar.


Hosting WordPress SSD con Seguridad anti Malware en Hostinet

En Hostinet tenemos muy en cuenta la seguridad de nuestros hosting. En los hosting WordPress SSD que ofrecemos a nuestros clientes, tienen incorporada una protección anti Malware.

En el caso de que algún Autor hubiese utilizado esta vulnerabilidad de WordPress para inyectar código malicioso, nuestro sistema lo detectaría, aislaría los archivos infectados y avisaría al cliente para que pudiera remediarlo, ¡como si fuera un antivirus!

Además, los planes de hosting WordPress disponen de muchas otras características interesantes, como el soporte técnico avanzado en WordPress, panel de control cPanel, certificados SSL gratuitos, etc…

Hosting WordPress