GDPR Cookie Consent – Plugin WordPress con Vulnerabilidad Detectada

Categorias: Wordpress

GDPR Cookie Consent - Plugin WordPress con Vulnerabilidad Detectada

El plugin GDPR Cookie Consent para WordPress, tiene un problema de seguridad en versiones anteriores a la 1.8.3. Si lo tienes instalado deberás actualizar lo antes posible.

En 2018 entró en vigor el nuevo reglamento de la Unión Europea respecto a la protección de datos, conocido como GDPR o RGPD.

Prácticamente todos los sitios web en Internet tuvieron que adaptarse al nuevo reglamento, modificando los textos legales y añadiendo consentimientos explícitos para que los usuarios determinaran si querían o no, aceptar la recopilación de datos.

Varios desarrolladores lanzaron plugins para adaptar WordPress a la nueva normativa GDPR de manera sencilla, los cuales tuvieron una gran aceptación, ya que la inclusión de los nuevos textos y reglas no eran para nada sencillas de aplicar.

Uno de estos plugins fue GDPR Cookie Consent, el cual está instalado en más de 700 mil WordPress y un problema de seguridad detectado, pone en riesgo a todas las instalaciones que no se actualicen a la versión 1.8.3 o posteriores.

El pasado día 8 de febrero el plugin desapareció de repositorio de plugins de WordPress y dos días más tarde volvió a aparecer disponible con la nueva versión.

En el registro de actualizaciones del plugin se marcó cómo 1.8.3 – PHP 7.4 compatibility – Security fix, pero no se hacía mención a las vulnerabilidades.

Por lo general, cuando un plugin desaparece del repositorio de plugins de WordPress.org se trata de un problema de seguridad detectado.


Tenemos diferentes tipos de hosting, selecciona uno:


 

Problemas de Seguridad en el Plugin GDPR Cookie Consent

Problemas de Seguridad en el Plugin GDPR Cookie Consent

Se han detectado tres problemas de seguridad en las versiones vulnerables del plugin GDPR Cookie Consent

La primera no es nada preocupante y parece más un error de programación que un problema de seguridad, ya que al realizar un acción, devuelve la ID del post donde esté configurado el plugin.

La segunda ya es más peligrosa, ya que un suscriptor puede alterar el HTML de la página de la política de cookies, la cual es accesible por todos los usuarios del sitio web.

Al poder añadir código, se puede realizar un ataque XSS (Cross Site Scripting) perjudicando a todos los visitantes que revisen la política de cookies del sitio.

La tercera vulnerabilidad detectada se aprovecha de la posibilidad de añadir shortcodes (códigos cortos) directamente en post, páginas o widgets, para añadir el consentimiento de cookies.

Desde este código un atacante puede añadir una carga útil XSS, aunque en este último caso sólo sería visible para administradores, autores y editores, no para usuarios y suscriptores.

 

Tengo Instalado el Plugin GDPR Cookie Consent – ¿Qué debo Hacer?

actualiza wordpress plugins y themes

Si eres uno de los muchos usuarios que tiene instalado el plugin GDPR Cookie Consent en WordPress, lo primero que tienes que hacer es actualizarlo a la versión 1.8.3 o superior.

Actualizando el plugin ningún atacante podrá hacer uso de ninguna de las vulnerabilidades que se han detectado.

Hasta ayer, 11 de febrero de 2020, no se ha publicado la vulnerabilidad y no se ha detectado ningún caso que haya aprovechado los problemas, pero evidentemente, es previsible que intenten aprovecharla ahora que se conoce.

Así que sólo hay que mantener el plugin actualizado para evitar problemas mayores.


 

¿Buscas un Hosting WordPress muy Rápido?

En Hostinet tenemos preparados unos cuantos planes de hosting WordPress, para que puedas elegir el que mejor se adapte a tu proyecto.

Pero todos ellos cuentan con una serie de prestaciones genéricas que garantizan una velocidad de carga realmente rápida en cualquier instalación de WordPress.

Todos los alojamientos web WordPress, montan discos SSD, en lugar de los discos mecánicos tradicionales, los cuales son mucho más rápidos y eficientes.

Además de los discos SSD, los hosting WordPress montan el servidor web LiteSpeed, cuya mayor virtud es la velocidad de carga de cualquier sitio web, muy por encima del tradicional Apache.

Así que al contratar un hosting WordPress en Hostinet, contarás con discos SSD + Servidor LiteSpeed en cualquiera de los paquetes que ofrecemos, incluso en los más económicos:

  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!