Portada Wordpress All In One SEO Pack – Problema de Seguridad
Recientemente se han encontrado vulnerabilidades en el popular plugin All In One SEO Pack para WordPress.
Es uno de los plugins más utilizados en WordPress, así que es necesarios que, si eres uno de ellos, tengas en cuenta esto y tomes las medidas necesarias para que tu WordPress no pueda ser hackeado.
Si hablamos de SEO y de WordPress, no es posible evitar encontrarse con el plugin All In One SEO Pack, uno de los más utilizados por los usuarios con más de 3 millones de instalaciones activas a día de hoy.
El plugin All In One SEO Pack para WordPress es un plugin que ayuda a optimizar el posicionamiento en buscadores de un sitio web, lo que normalmente conocemos como SEO (Search Engine Optimization)
Con All in One SEO pack se puede gestionar las partes más importantes del SEO en WordPress, como agregar meta etiquetas, títulos, descripciones, palabras clave y otros elementos que mejoran el posicionamiento en los buscadores y ayudan a que nuestro sitio aparezca en los primeros resultados de las búsquedas.
Una de las grandes bazas de este plugin es que cualquier lo puede usar. Con un poco de experiencia y sin necesidad de tener grandes conocimientos informáticos, cualquier administrador de WordPress puede mejorar el SEO de su web.
Además, cuenta con la posibilidad de añadir las meta etiquetas, la integración con Google Analytics y la posibilidad de establecer reglas de redirección de URLs de forma fácil y sencilla.
All In One SEO Pack también es compatible con otros plugins de WordPress, lo que permite una mayor flexibilidad y personalización en la optimización de la página web.
Este plugin se actualiza con frecuencia para garantizar su compatibilidad con las últimas versiones de WordPress y para agregar nuevas características.
El pasado 26 de enero se detectó un problema de seguridad, bueno, dos problemas de seguridad para ser más exactos.
Algunas versiones antiguas de este plugin tenían un problema de seguridad que permitía a los usuarios con credenciales de colaborador insertar código JavaScript malicioso en los títulos y descripciones de las páginas y artículo.
Al acceder un administrador para moderar la publicación enviada por un colaborador, si el artículo contiene JavaScript malicioso podría poner en peligro la seguridad del sitio web y de sus usuarios.
Se trata de una técnica conocida como DOM-XSS y se ejecuta cuando la página ya ha sido cargada. Al ser un administrador el que accede a la página y estar logueado con sus credenciales de acceso, el script se ejecuta con sus credenciales y no con las del colaborador.
El JavaScript con contenido malicioso puede crear nuevas cuentas de usuario con credenciales de administrador o ejecutar código con malware para que le afecte a los usuarios.
Es importante tener en cuenta que estos problemas de seguridad deben ser tomados en serio, incluso si solo los colaboradores pueden publicar contenido malicioso.
Aunque no se trata de una vulnerabilidad muy grave, hay que tener en cuenta que el colaborador tiene ese rol de usuario porque un administrador así lo ha asignado y se entiende que debe existir un mínimo de confianza, la amenaza existe y es peligrosa.
Además, en un plugin tan extendido como es All in One SEO Pack, con tantas y tantas instalaciones activas, los escenarios pueden ser muy diversos.
Si eres uno de los muchos usuarios que tienen instalado el plugin All in One SEO Pack en su WordPress, tranquilo, ya que no se ha detectado ningún caso en el que se haya explotado esta vulnerabilidad.
Aun así, es muy recomendable que la versión del plugin que tengas instalado ya esté parcheada.
Es muy sencillo, sólo tienes que acceder a tu WordPress y comprobar si hay alguna actualización pendiente del plugin All in One SEO Pack y si la hay actualizar lo antes posible.
La versión parcheada es la 4.3.0 del plugin. Si tienes instalada esta versión o alguna posterior, el plugin ya no es vulnerable a este problema.
Con sólo actualizar, el problema estaría resuelto, así que no vale la pena arriesgarse y actualizar lo antes posible.
Como siempre, recomendamos tener una copia de seguridad reciente antes de actualizar nada, de esta forma podemos recuperar el sitio lo antes posible si algo sale mal.