¡Alerta de seguridad!: Ataque organizado a sitios WordPress a través de plugins
Un grupo de hackers está explotando vulnerabilidades en más de diez plugins WordPress, creando cuentas de administrador falsas
Un grupo de hackers está explotando vulnerabilidades en más de diez plugins WordPress, creando cuentas de administrador falsas
Hoy se ha detectado una grave vulnerabilidad en el afamado plugin W3 Total Cache, que puede comprometer la seguridad de tu web.
Según una alerta anunciada hoy mismo, plugins como JetPack y el tema por defecto de WordPress Twenty Fifteen, están afectados por una vulnerabilidad grave ante ataques DOM XSS.
Si has leído lo que avisé esta mañana ya sabes el motivo de la actualización de seguridad de la que estarás recibiendo aviso ahora mismo. WordPress 4.2 se actualiza a la versión 4.2.1 y si no se actualiza solo tu sitio ya estás tardando en hacerlo manualmente.
Ayer se supo que todas las actuales versiones de WordPress son vulnerables a un fallo por el que un atacante podría inyectar código JavaScript en los comentarios.
Como ya sabrás, hay varios motivos por los que un plugin puede ser retirado del repositorio oficial de WordPress.org, y todos esos motivos son para darte seguridad y que no uses plugins sin garantías.
Acaba de salir a la luz la versión de WordPress 4.0.1 que soluciona graves posibles problemas de seguridad y, en consecuencia, es altamente recomendable.
Acaba de salir a la luz un proyecto desde el que avisar y en el que revisar vulnerabilidades de WordPress, sus temas y plugins.
Si tu tema (o algún plugin) utiliza el script TimThumb, y son legión, tengo otra mala noticia: acaba de detectarse una vulnerabilidad del tipo «zero day» en el mismo.
Acaba de salir a la luz la versión 2.9.3 del plugin JetPack que soluciona una grave vulnerabilidad en el módulo de «Compartir«, la utilidad Sharedaddy.
Acaban de aparecer simultáneamente dos nuevas versiones de WordPress, por un lado la RC1 de WordPress 3.9 y por otro una actualización de seguridad de WordPress 3.8.
A pesar de algunas reticencias, porque parece ser que estaban trabajando en otra versión y no les apetecía a los autores revisar el plugin (solo dos líneas) por una grave vulnerabilidad, afortunadamente han recapacitado y …
Solución a la vulnerabilidad de Better WP Security Leer más »
Si utilizas el plugin Better WP Security debes saber que se ha detectado una vulnerabilidad grave que, a día de hoy, está aún sin solucionar.
En estos momentos está en marcha un ataque de fuerza bruta DDOS contra miles de instalaciones de WordPress. Da igual que tengas actualizado WordPress pues, como ya sabemos, las vulnerabilidades pueden venir por otros lugares.
El otro día estaba viendo datos e información sobre los ataques de seguridad que ha tenido – y tiene – WordPress y la verdad es que algunos de ellos fueron reveladores, de los que llevan …
Datos para reflexionar sobre la seguridad de WordPress Leer más »
Ni siquiera voy a calificar la iniciativa ni las herramientas, pero no deja de ser interesante, y sobre todo instructivo, conocer las técnicas de hacking, aunque solo sea para protegerse de vulnerabilidades.