Portada Wordpress Bridge Theme para WordPress – Vulnerabilidad Detectada
En WordPress existen multitud de themes que podemos elegir para crear el diseño de nuestro sitio web.
Hay miles de themes y muchos de ellos son totalmente gratuitos, así que sólo tenemos que instalar un theme en WordPress. ver si nos gusta y se adapta a nuestras necesidades.
Si no es el indicado, se busca otro y así hasta encontrar el theme perfecto para nuestro proyecto en WordPress.
Pero no todos los themes para WordPress son gratuitos, existen themes de pago que añaden muchas más funcionalidades e incluso incluyen su propio builder para facilitar todo el diseño al usuario.
Uno de los themes de pago más populares para WordPress es Bridge Theme, un theme que pese a ser de pago, lo usan más de 100 mil usuarios.
Recientemente se ha detectado una vulnerabilidad en Bridge Theme, por lo que si lo estás usando como tu theme en WordPress, deberías leer este artículo.
La vulnerabilidad no ha sido detectada en el theme es si, si no en dos de los plugin que el propio theme incorpora:
La vulnerabilidad detectada funciona como una Redirección Abierta o Open Redirect.
¿Qué significa esto? Es muy sencillo de explicar, imagina que estás en un sitio web al que accedes de manera habitual y ves un link hacia otro sitio web.
Si eres confiado harás click en el enlace, ya que el sitio web donde te encuentras te transmite confianza.
Si eres desconfiado, quizás pases el ratón por encima del enlace sin hacer click, según como tengas configurado tu navegador web, podrás ver la URL exacta del enlace, de esta manera sabrás si el texto del enlace lleva donde indica.
El problema es que al hacer click en enlace, te llevará a hacia otra URL, aunque hayas comprobado que la URL era la correcta no servirá de nada.
Esto es muy peligroso, porque puede usarse para confundir a los usuarios y hacer que caigan en trampas phishing o simplemente llevarlos a sitios con contenido malicioso.
Incluso es posible que un administrador de WordPress acceda desde un enlace a la web de login de WordPress y que sea una web de login falsa para así acceder a la contraseña de administrador de WordPress.
En cualquier caso, se tratar de una vulnerabilidad bastante peligrosa que se debe solucionar.
Qode Interactive es la empresa que se encarga de desarrollar Bridge Theme y han solucionado el problema detectado en los dos plugins en la última versión de Bridge Theme.
Por lo que si eres usuario de este popular tema para WordPress, debes actualizarlo a la versión 18.2.1.
Una vez actualizado Bridge Theme, dará acceso a la actualización de los plugins a la versión 2.0.2, la cual ya está parcheada para solucionar la vulnerabilidad detectada.
Así que primero hay que actualizar Bridge a la versión 18.2.1 y luego actualizar los plugins a la versión 2.0.2.
El único inconveniente es que la actualización de Bridge Theme no puedes realizarla desde el propio WordPress, ya que no se encuentra alojado en el repositorio de WordPress.org.
Así que tendrás que descargar la actualización desde el sitio donde compraste Bridge Theme, que será Themeforest.net y luego instalarla en WordPress de manera manual.
Una vez instalada la nueva actualización, podrás acceder a la sección de plugins de tu WordPress y verás como se solicita un Update Requiered en estos plugins.
Tan solo hay que actualizarlos y se soluciona la vulnerabilidad.
Es posible que no puedas actualizar Bridge Theme. Es posible que contrataras a un diseñador y el se encargara de instalar, modificar y personalizar el theme o cualquier otra razón.
En el caso que no puedas actualizar el theme y así poder actualizar los plugins vulnerables, tienes una solución alternativa.
Tan sólo deberás eliminar o renombrar los siguientes archivos:
Estos archivos puedes encontrarlos dentro de la carpeta «lib» del propio theme y según los desarrolladores, no afectarán al resto de funciones de los plugins.
No obstante, siempre es más recomendable mantener actualizado el theme que estemos usando, así como el propio WordPress y el resto de plugins para evitar problemas de seguridad.
Más información aquí (en inglés)