Portada Wordpress WordPress 5 – ¡Actualización de Seguridad Urgente!
Si estás un poco al tanto de las noticias de WordPress, sabrás que hace escasos días se lanzó el esperadísimo WordPress 5.0.
El cambio a WordPress 4.x a WordPress 5.0 no es una actualización menor, hay cambios significativos, sobre todo en el nuevo editor llamado Gutenberg, que cambia de manera radical la forma de trabajar con WordPress.
Independientemente de que nos guste más o menos, millones de WordPress se han actualizado a la versión 5.x y menos de un semana después del lanzamiento, vemos como WordPress tiene que lanzar la versión 5.0.1 para solucionar varias vulnerabilidades de seguridad, algunas de ellas bastante importantes.
Desde luego, ningún sistema es invulnerable, pero estamos seguros que desde WordPress no esperaban estos problemas tan pronto después de lanzar una actualización como esta.
Estas son las vulnerabilidades encontradas en la versión 5.0 de WordPress:
Algunas configuraciones particulares de WordPress, pueden hacer que los buscadores puedan indexar datos sensibles de la pantalla de activación de un usuario.
Esto significa que cuentas de email y contraseñas generadas por WordPress, pueden quedar expuestas a cualquiera que sepa utilizar un buscador de manera avanzada.
En WordPress se pueden asignar roles a los usuarios. Pueden existir administradores, editores, autores, suscriptores, etc…
En esta vulnerabilidad, un usuario con rol de Autor, podía ser capaz de inyectar un objeto PHP con código malicioso desde un archivo adjunto.
Un autor no debería tener estos privilegios y curiosamente, en la versión de WordPress 4.9.6 ya se corrigió un fallo parecido.
Otra vez el rol de Autor está implicado en la vulnerabilidad.
En esta ocasión, un autor puede ser capaz de publicar contenido sin ser autorizado, algo que no debería de pasar.
Los privilegios de autor no se suelen adjudicar de forma arbitraria, por defecto cuando alguien se registra en WordPress tiene el nivel de Suscriptor, así que este problema solo podría usarlo una atacante al que antes le hayamos otorgado el grado de Autor.
Otras vez un rol mayor que suscriptor es el “artista invitado” en el problema. Esta vez el rol de Colaborador.
Los colaboradores pueden editar comentarios de otros usuarios con privilegios más altos, lo que puede provocar un problema importante.
Al igual que paso con los autores, los colaboradores son asignados por el administrador o editor, así que no se trata de una vulnerabilidad que afecte a todos los usuarios de WordPress 5.0.
Cuando se sube un archivo en WordPress se realiza una verificación MIME. En esta vulnerabilidad, un usuario con el rol de Autor, podía subir un archivo manipulado para evitar esta verificación.
Una vez más, al necesitar tener un grado superior como ser un autor, hace que el problema no sea “tanto problema”, pero sin duda es algo que tenían que corregir.
Cross-site scripting o XSS, es un tipo de vulnerabilidad que se utiliza para inyectar código malicioso en una web.
Se detectó un problema que, si bien no afectaba a WordPress 5 directamente, podía hacerlo con algunos plugins instalados para buscar el agujero de seguridad.
Otro problema localizado para los Autores. Un autor puede alterar los metadatos para poder eliminar un archivo sin tener los privilegios necesarios para ello.
Esta vulnerabilidad se corrigió en la versión 4.9.6 para otro tipo de usuarios, pero no para el rol de Autor.
Para solucionar estos problemas hay que actualizar WordPress a la versión 5.0.1 cuanto antes.
En principio es una actualización menor y no debería presentar ningún problema.
WordPress debería de actualizarse automáticamente, pero si no lo ha hecho es importante que se actualice.
Como siempre, recomendamos realizar copias de seguridad antes de realizar actualizaciones importantes.
Si eres de los que no actualizó a WordPress 5.0 y sigues en las versiones 4.x, también deberás actualizar a la versión 4.9.9 lo antes posible.
Las versiones anteriores a la 4.9.9 tienen algunas de las vulnerabilidades encontradas en la versión 5.0, pero recuerda que si das a actualizar sin ver lo que estás haciendo, es posible que WordPress te actualice directamente a la versión 5.0.1, así que ten cuidado si aun no has hecho las pruebas necesarias.
Si necesitas instalar la versión de WordPress 4.9.9 de manera manual, puedes descargarla desde la web de WordPress.org haciendo click aquí.
Si contratas un plan de hosting WordPress en Hostinet contarás con una capa de seguridad extra para tu WordPress.
En Hostinet tenemos nuestro sistema de detección de malware particular, así que vamos escaneando todos los alojamientos WordPress en busca de cualquier tipo de malware que se haya podido ”colar” en tu WordPress.
Una vez localizada una amenaza, el sistema la aísla y avisa al cliente para que pueda tomar las medidas oportunas y solucionar el problema cuanto antes.
Además, los planes de hosting WordPress vienen con soporte técnico especializado en WordPress incluido, por lo que te ayudaremos en todo momento: