Logo Computerhoy.com

Vulnerabilidad de Wordpress expone a millones de sitios web

Manu Vilella

wordpress vulnerabilidad

Especialistas en seguridad han detectado un importante fallo de seguridad en Wordpress, el gestor de contenidos web más famoso en la actualidad y en el que millones de sitios web confían y utilizan.

Este fallo de seguridad en Wordpress afecta, sin ir más lejos, a uno de los temas que trae preinstalados el CMS, el conocido “TwentyFifteen”, con lo que cualquier usuario capaz de aprovechar el agujero de seguridad podría lograr acceder al gestor de contenidos de la web en cuestión.

El problema de seguridad de Wordpress no afecta sólo a los temas preinstalados, sino a cualquiera que utilice los paquetes genéricos (donde reside todo el problema) incluidos también plugins. JetPack, por poner nombres sobre la mesa, es otro de los plugins afectados.

La vulnerabilidad en cuestión es conocida como Cross-site scripting o XSS. Básicamente es un tipo de fallo de seguridad que presentan algunas apps web por medio del cual, y mediante inyección de código (JavaScript, VBScript, etc.) en la web, es posible tomar el control del sitio. La forma de explotar esta vulnerabilidad es por medio de un link malicioso en que el usuario tendría que pinchar para poder verse afectado.

La buena noticia es que el problema de Wordpress ya ha sido resuelto, con lo que es verdaderamente importante que, tras haberse dado a conocer este problema, los usuarios del gestor de contenidos procedan a instalar de inmediato la actualización que Wordpress lanzó el jueves a la versión 4.2.2.

Es muy importante que si estás utilizando Wordpress instales este parche oficial para prevenir que tu website se vea afectado. Pero no sólo esto, sino que la actualización también es capaz de solucionar el problema si el fichero example.html de Wordpress se ha visto afectado, eliminándolo.

Las 10 mejores plantillas premium para WordPress

Desde Sucuri Security explican que “la vulnerabilidad XSS es muy simple de explotar y sucede al nivel de Modelo de Objeto de Documento (DOM)”, al tiempo que ofrecen más detalles técnicos acerca del funcionamiento de este tipo de ataques.

[Fuente: NDTV Gadgets]

Conoce cómo trabajamos en Computerhoy.