WordPress Actualización Urgente Versión 4.8.3

Se ha descubierto una vulnerabilidad que afecta a versiones anteriores a la 4.8.3. y según las propias palabras del descubridor del problema, Anthony Ferrara, -Si estás leyendo esto y no has actualizado, deja de leer y actualiza WordPress.

Esta vulnerabilidad permitía ataques de inyección de SQLi y aunque, en principio, no parece que sea capaz de atacar directamente el core de WordPress, si que es capaz de hacerlo con ciertos plugins, como HyperDB y themes.

Por ahora no hay noticias de ningún caso en concreto que se haya visto afectado por esta vulnerabilidad, pero es previsible que, ahora que ha salido a la luz, sea aprovechada en distintos ataques.


Cómo Solucionar el Problema

La vulnerabilidad está considerada como grave, pero la solución es bien sencilla, entrar al panel de administrador de WordPress y actualizar.

Si están activadas las actualizaciones automáticas en WordPress, seguramente ya estará actualizado y se habrá recibido el email avisando:

actualizaciones automaticas de WordPress

También es muy recomendable actualizar cualquier plugin o theme que tengamos instalado, aunque esté desactivado. En los próximos días es previsible que se lancen varias actualizaciones de los plugins y themes, así que sólo hay que estar atento y actualizar todo, sobre todo WordPress a su versión 4.8.3.

Como siempre, es recomendable tener una copia de seguridad de los archivos y de la base de datos antes de actualizar.

Polémica Servida por la Vulnerabilidad

Polémica Servida por la Vulnerabilidad

Esta vulnerabilidad ha venido con una polémica ya que, en un principio, se iba a solucionar con la actualización 4.8.2, justo la anterior a esta y que se liberó el pasado mes.

El problema no se resolvió del todo y la actualización causó varios problemas en muchos sitios web. Anthony Ferrara afirma que avisó a WordPress de que no se había solucionado el problema, pero no se solucionó hasta la versión 4.8.3.

Esto no deja de ser un problema, ya que ha pasado mucho tiempo desde que WordPress recibió el aviso, hasta que solucionó por fin el problema.

Esto no suele ser normal, ya que WordPress soluciona sus agujeros de seguridad con celeridad, pero en esta ocasión no ha sido así.

WordPress informó en la versión 4.8.2 de esta forma:

$wpdb->prepare() puede crear peticiones inseguras e inesperadas que lleven a una inyección SQL (SQLi). El núcleo de WordPress no es directamente vulnerable a este problema pero hemos añadido un refuerzo para evitar que plugins y temas provoquen accidentalmente una vulnerabilidad.

Link aquí.

Y ahora en la versión 4.8.3 informa de esta forma:

Las versiones de WordPress 4.8.2 y anteriores están afectadas por un problema por el que $wpdb->prepare() puede crear peticiones inseguras e inesperadas que podrían generar potenciales inyecciones SQL (SQLi). El núcleo de WordPress no es vulnerable por sí mismo a este problema, pero hemos añadido esta actualización para fortalecerlo y evitar que plugins y temas provoquen accidentalmente una vulnerabilidad.

Link aquí.

Queda claro que no solucionaron el problema en la versión anterior.
 

Qué Puede Pasar si no se Actualiza WordPress

Qué Puede Pasar si no se Actualiza WordPress

Aunque WordPress han avisado que la vulnerabilidad no afecta al core del sistema, el uso de algunos plugins y themes si que está comprometido.

Cualquier atacante puede usar esta vulnerabilidad para inyectar código y atacar a los visitantes del sitio web.

Hace poco hablamos de una noticia en la que se comentaba que se están realizando ataques a WordPress con la intención de minar criptomonedas , pero también se podría instalar malware en el dispositivo del visitante con cualquier tipo de intención maliciosa, robo de contraseñas, envío de spam, etc…

Cómo Saber si WordPress está Infectado

Según WordPress, si se actualiza el sistema no debería de haber ningún problema. También sería recomendable actualizar plugins y themes para solucionar cualquier posible agujero.

Existen multitud de sitios web que con solo añadir la URL escasean el sitio en busca de malware, pero si eres cliente de Hostinet, de eso nos encargamos nosotros.

Todos nuestros servidores son escaseados a diario en busca de cualquier tipo de malware que haya conseguido instalarse en cualquier sitio web.

Al detectarlo, el sistema se encarga de poner los archivos infectados en cuarentena para que no infecte a nadie más, se avisa al cliente por email indicándole cuáles son los archivos con problemas y los pasos a seguir, ademas de proteger la web con usuario y contraseña para que nadie más pueda modificar nada hasta que no se resuelva el problema.

Si no eres cliente de Hostinet y usas WordPress, tenemos una planes de hosting WordPress preparados especialmente apara sacarle todo el provecho al CMS.

Todos los planes de alojamiento web para WordPress tiene características comunes como:

Dependiendo de cuanto disco duro o ancho de banda se necesite, se pueden elegir entre diversos planes. Algunas de las opciones preferidas por nuestros clientes son la siguientes:

  • Hosting especializado en WordPress con discos nvmeWordPress 12´00 / mes
  • Hosting especializado en WordPress con discos nvmeWordPress 107´99 / mes
  • Hosting especializado en WordPress con discos nvmeWordPress 5011´99 / mes
  • Hosting especializado en WordPress con discos nvmeWordPress 7513´99 / mes
  • Hosting especializado en WordPress con discos nvmeWordPress 12´00/mes
  • Hosting especializado en WordPress con discos nvmeWordPress 107´99/mes
  • Hosting especializado en WordPress con discos nvmeWordPress 5011´99/mes
  • Hosting especializado en WordPress con discos nvmeWordPress 7513´99/mes
    • Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • Supeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamiento
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el Plesk de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control Plesk.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!
    • Copia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por Hostinet
    • Podrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento web
    • Precio para nuevas altas. Contratación anual.