Portada Wordpress Plugin Child Theme Creator de WordPress con Problemas de Seguridad
El plugin Child Theme Creator ha visto comprometida su seguridad en versiones anteriores a la 1.5.2.
Si lo tienes instalado en alguna instalación de WordPress, debes comprobar que está actualizado lo antes posible.
Para comprobar esto sólo debes acceder a la sección de plugins de tu WordPress y comprobar si existe una actualización pendiente para este plugin.
Si es así, sólo tienes que actualizar pulsar en la opción de Actualízalo Ahora y si todo va bien, en un momento debe de indicarte que ya está actualizado y la versión debe de ser la 1.5.2 o superior.
Con sólo realizar esta acción, estarás a salvo de la vulnerabilidad detectada en el plugin Child Theme Creator.
Child Them Creator es un plugin que facilita al administrador la tarea de crear un tema hijo.
Además de crear un tema hijo de manera sencilla, el plugin también permite editar el tema secundario que ha creado.
Para poder editar el theme, tiene que utilizar una serie de funciones, las cuales son necesarias para cosas como subir una imagen, borrar elementos, editar, etc…
Un error en la programación no protegía estas funciones correctamente y se podía realizar solicitudes falsificadas entre sitios.
Esto quiere decir que el atacante pueden intentar engañar a uno de los administradores de WordPress para realizar una acción, como por ejemplo hacer click en un enlace.
Este enlace sería capaz de aprovechar la vulnerabilidad para inyectar malware, añadir una puerta trasera, modificar cualquier archivo del tema hijo, etc…
A partir de ahí, dependería de la habilidad de atacante para escalar permisos para hacerse con el control de WordPress, añadir publicidad maliciosa, crear redirecciones hacia sitios fraudulentos, etc…
Como verás, nada bueno para tu sitio web, ni para los usuarios que lo visiten.
Los temas hijo en WordPress o child theme son muy utilizados para realizar ciertas modificaciones en el theme, pero que estas no afecten a la plantilla original.
El tema hijo es, a todos los efectos, igual que el tema «padre» (por eso lo de hijo) y si tienes que realizar alguna modificación, la harás directamente en el tema hijo.
Por ejemplo, algo muy habitual es añadir algún código en el header del theme para las analíticas de Google o para mostrar algún tipo de publicidad en la web.
Si este cambio lo haces en el theme principal y luego lo actualizas porque sale una nueva versión, perderás los cambios y tendrás que volver a añadirlos.
Esto es sólo un ejemplo, pero muchos diseñadores web hacen multitud de cambios en los themes de WordPress, para adaptarlos a las necesidades de sus clientes.
Si no trabajan sobre un tema hijo, tendrían que realizar todos los cambios de nuevo a cada actualización del theme principal y aunque las actualizaciones de los themes no suelen ser habituales, puede llegar un problema de seguridad que te obligue a actualizar, convirtiendo todo en un problema.
Por este motivo los temas hijos son tan habituales en WordPress.
Crear un tema hijo para WordPress no es difícil y no necesitas un plugin para crearlo, pero es comprensible que muchos usuarios se decanten por la facilidad del plugin.
En realidad sólo hay que crear una carpeta y un archivo en el hosting y editarlo un poco, pero muchos usuarios sin experiencia pueden verlo muy complicado en comparación con instalar un plugin y pulsar un botón.
No hay ningún problema en usar un plugin como Child Theme Creator, puedes usarlo para crear un tema hijo en tu WordPress y lo hará perfectamente bien.
Pero lo más probable es que utilices el plugin una web y no vuelvas a utilizarlo en esa instalación de WordPress.
Pueden existir excepciones puntuales, pero no es lo habitual, entonces… ¿por qué dejar el plugin instalado y activo en nuestro WordPress?.
Se trata de una acción que no tenemos que volver a hacer y si lo eliminamos, el tema hijo no desaparecerá.
Es decir, que lo podemos eliminar una vez haya realizado el trabajo para el que fue instalado y no sólo un plugin como Child Theme Creator, existen multitud de plugins en el mismo caso.
Mientras menos plugins y themes innecesarios instalados en nuestro WordPress, mejor que mejor. La seguridad del sitio estará menos expuesta.
Eso es sólo un apunta, por supuesto, tú tienes la última palabra de cómo quieres gestionar tu WordPress.
Desde Hostinet somos conscientes de que todas las instalaciones de WordPress están en el objetivo de los atacantes.
No se trata de que WordPress sea inseguro, se trata de que es el CMS más usado en el mundo y con mucha diferencia respecto al segundo.
Esto significa que tienen más blancos donde elegir, como en el caso de el plugin Child Theme Creator, que sin ser uno de los más usados en el universo WordPress, cuenta con más de 30 mil instalaciones activas y esos son muchos peces en el mar para los atacantes.
Por este motivo, todos nuestros planes de hosting WordPress SSD, incluyen un sistema de detección de malware.
Si por culpa de alguna vulnerabilidad tu WordPress acaba infectado, nosotros encontraremos la amenaza, la aislaremos y te avisaremos para que lo soluciones lo antes posible.
Y esto está incluido en todos los alojamientos web WordPress: