WordPress 5 – ¡Actualización de Seguridad Urgente!

Categorias: Wordpress

WordPress 5 - ¡Actualización de Seguridad Urgente!

Si estás un poco al tanto de las noticias de WordPress, sabrás que hace escasos días se lanzó el esperadísimo WordPress 5.0.

El cambio a WordPress 4.x a WordPress 5.0 no es una actualización menor, hay cambios significativos, sobre todo en el nuevo editor llamado Gutenberg, que cambia de manera radical la forma de trabajar con WordPress.

Independientemente de que nos guste más o menos, millones de WordPress se han actualizado a la versión 5.x y menos de un semana después del lanzamiento, vemos como WordPress tiene que lanzar la versión 5.0.1 para solucionar varias vulnerabilidades de seguridad, algunas de ellas bastante importantes.

Desde luego, ningún sistema es invulnerable, pero estamos seguros que desde WordPress no esperaban estos problemas tan pronto después de lanzar una actualización como esta.

Estas son las vulnerabilidades encontradas en la versión 5.0 de WordPress:
 

Exposición de Datos Sensibles

Algunas configuraciones particulares de WordPress, pueden hacer que los buscadores puedan indexar datos sensibles de la pantalla de activación de un usuario.

Esto significa que cuentas de email y contraseñas generadas por WordPress, pueden quedar expuestas a cualquiera que sepa utilizar un buscador de manera avanzada.
 

Inyección de Objetos PHP

En WordPress se pueden asignar roles a los usuarios. Pueden existir administradores, editores, autores, suscriptores, etc…

En esta vulnerabilidad, un usuario con rol de Autor, podía ser capaz de inyectar un objeto PHP con código malicioso desde un archivo adjunto.

Un autor no debería tener estos privilegios y curiosamente, en la versión de WordPress 4.9.6 ya se corrigió un fallo parecido.
 

Publicaciones no Autorizadas de Contenido

Otra vez el rol de Autor está implicado en la vulnerabilidad.

En esta ocasión, un autor puede ser capaz de publicar contenido sin ser autorizado, algo que no debería de pasar.

Los privilegios de autor no se suelen adjudicar de forma arbitraria, por defecto cuando alguien se registra en WordPress tiene el nivel de Suscriptor, así que este problema solo podría usarlo una atacante al que antes le hayamos otorgado el grado de Autor.
 

Escalada de Privilegios

Otras vez un rol mayor que suscriptor es el “artista invitado” en el problema. Esta vez el rol de Colaborador.

Los colaboradores pueden editar comentarios de otros usuarios con privilegios más altos, lo que puede provocar un problema importante.

Al igual que paso con los autores, los colaboradores son asignados por el administrador o editor, así que no se trata de una vulnerabilidad que afecte a todos los usuarios de WordPress 5.0.
 

Privilegios XSS

Cuando se sube un archivo en WordPress se realiza una verificación MIME. En esta vulnerabilidad, un usuario con el rol de Autor, podía subir un archivo manipulado para evitar esta verificación.

Una vez más, al necesitar tener un grado superior como ser un autor, hace que el problema no sea “tanto problema”, pero sin duda es algo que tenían que corregir.
 

Plugins Afectados por XSS

Cross-site scripting o XSS, es un tipo de vulnerabilidad que se utiliza para inyectar código malicioso en una web.

Se detectó un problema que, si bien no afectaba a WordPress 5 directamente, podía hacerlo con algunos plugins instalados para buscar el agujero de seguridad.
 

Eliminación de Archivos sin Autorización

Otro problema localizado para los Autores. Un autor puede alterar los metadatos para poder eliminar un archivo sin tener los privilegios necesarios para ello.

Esta vulnerabilidad se corrigió en la versión 4.9.6 para otro tipo de usuarios, pero no para el rol de Autor.
 

Actualizar Cuanto Antes a la Versión 5.0.1 y 4.9.9

Actualizar Cuanto Antes a la Versión 5.0.1 y 4.9.9

Para solucionar estos problemas hay que actualizar WordPress a la versión 5.0.1 cuanto antes.

En principio es una actualización menor y no debería presentar ningún problema.

WordPress debería de actualizarse automáticamente, pero si no lo ha hecho es importante que se actualice.

Como siempre, recomendamos realizar copias de seguridad antes de realizar actualizaciones importantes.

Las Versiones de WordPress 4.x También Necesita Actualizarse

Si eres de los que no actualizó a WordPress 5.0 y sigues en las versiones 4.x, también deberás actualizar a la versión 4.9.9 lo antes posible.

Las versiones anteriores a la 4.9.9 tienen algunas de las vulnerabilidades encontradas en la versión 5.0, pero recuerda que si das a actualizar sin ver lo que estás haciendo, es posible que WordPress te actualice directamente a la versión 5.0.1, así que ten cuidado si aun no has hecho las pruebas necesarias.

Si necesitas instalar la versión de WordPress 4.9.9 de manera manual, puedes descargarla desde la web de WordPress.org haciendo click aquí.

Hosting WordPress con Seguridad Activa en Hostinet

Si contratas un plan de hosting WordPress en Hostinet contarás con una capa de seguridad extra para tu WordPress.

En Hostinet tenemos nuestro sistema de detección de malware particular, así que vamos escaneando todos los alojamientos WordPress en busca de cualquier tipo de malware que se haya podido ”colar” en tu WordPress.

Una vez localizada una amenaza, el sistema la aísla y avisa al cliente para que pueda tomar las medidas oportunas y solucionar el problema cuanto antes.

Además, los planes de hosting WordPress vienen con soporte técnico especializado en WordPress incluido, por lo que te ayudaremos en todo momento:

  • Hosting especializado en WordPress con discos SSDWordPress 55´99 / mes
  • Hosting especializado en WordPress con discos SSDWordPress 107´99 / mes
  • Hosting especializado en WordPress con discos SSDWordPress 5011´99 / mes
  • Hosting especializado en WordPress con discos SSDWordPress 7513´99 / mes
  • Hosting especializado en WordPress con discos SSDWordPress 55´99/mes
  • Hosting especializado en WordPress con discos SSDWordPress 107´99/mes
  • Hosting especializado en WordPress con discos SSDWordPress 5011´99/mes
  • Hosting especializado en WordPress con discos SSDWordPress 7513´99/mes
    • Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • Supeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamiento
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!
    • Copia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por Hostinet
    • Podrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento web
    • Precio para nuevas altas. Contratación anual.