Vulnerabilidad XSS: actualiza los plugins y temas de WordPress
WordPress es el gran gestor de contenidos de la web. Tanto es así que se calcula que hay más de cien millones de páginas en el mundo que están construidos sobre esta plataforma y que van, desde un sencillo blog personal a proyectos mucho más complejos, como medios de comunicación, tiendas on-line o páginas corporativas de pymes.
Atacar las posibles vulnerabilidades de este CMS (Content Manager System) se ha convertido en una obsesión para muchos cibercriminales, ya que si consiguen explotar una vulnerabilidad del sistema, podrían atacar a miles de webs.
En las últimas semanas, millones de páginas se han visto afectadas por una vulnerabilidad XSS (cross-site scripting) descubierta en las versiones 4.2 y anteriores de la plataforma de blogging, que la misma compañía se ha encargado de solucionar lanzando una actualización automática “en aquellos sites que lo soporten”.
El parche fue lanzado por WordPress horas después de que la vulnerabilidad fuera descubierta por Jouko Pynnönen, un experto en seguridad que se dedica a investigar fallos de código. En la advertencia de seguridad que WordPress difundió, se explicaba que el fallo permitiría que un hacker pudiese tomar el control del servidor de forma remota, inyectar un Java Script en los comentarios, cambiar las contraseñas o crear nuevas cuentas, entre otras.
Un XSS es un script que los atacantes suelen colocar en el formulario de comentarios de un blog o web. Cuando el administrados entra a la sección de comentarios dentro del panel de control de WordPress, ese script se pone en funcionamiento y activa el control remoto.
La vulnerabilidad XSS, según ha explicado la misma compañía, se debe a un “patrón de código común utilizado en plugins de WordPress y temas disponibles des de cualquier fuente”. Así que cualquier usuario que gestione una página de WordPress, independientemente de dónde haya obtenido el tema o plugin, ha tenido que ser consciente de esta vulnerabilidad y tomar medidas inmediatas para garantizar que la página o páginas que administra sean seguras.
No hay manera de saber exactamente qué plugins o temas se han visto afectados, pero con la actualización e instalación del parche, se implementan en las páginas webs mecanismos especiales de protección para prevenir este tipo de ataques.
En estas semanas, en GMK Medialab, agencia de marketing online en Barcelona, hemos trabajado para asegurarnos que los plugins instalados en las páginas de nuestros clientes que utilizan la plataforma WordPress eran seguros y que además se han actualizado. De la misma manera, recomendamos seguir las actualizaciones en las próximas semanas porque es importante mantener siempre las instalaciones de plugins actualizadas.
Si aún tienes dudas de si tu página está protegida o no, te sugerimos que contactes con un desarrollador experimentado en WordPress para ver si tu sitio se ha visto afectado o no.
Aprovechando esta vulnerabilidad, en el blog de nuestra agencia de marketing online hemos querido hacer un breve repaso a la seguridad en WordPress. Si eres usuario de la plataforma, deberías estar usando uno de los dos plugins más famosos de seguridad: iTgemes Security o WordFence Security. Pero hay mucho más.
Medidas de seguridad básicas en WordPress
– Mantener WordPress y plugins actualizados
– Desinstalar temas y plugins que no se utilizan.
– Usar doble factor de autenticación. El simple uso de una contraseña ya no es suficiente para certificar la seguridad de un acceso.
– Forzar contraseñas robustas.
– Copia de seguridad del sitio al día.
– Instalar antivirus en el servidor.
Medidas de seguridad avanzadas en WordPress
– Plugins contra la fuerza bruta (forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar la que permite el acceso).
– Forzar SLL en el login: que la conexión sea bajo https.
– Bloquear peticiones que provengan “user agents” maliciosos, como por ejemplo el user agent por defecto de herramientas como Acunetix, Nikto o similares.
– Renombrar y cambiar ID del usuario “admin”.
– Bloquear la ejecución de código en la carpeta uploads.
