Acaba de salir a la luz un proyecto desde el que avisar y en el que revisar vulnerabilidades de WordPress, sus temas y plugins.
A través de la web WPScan puedes avisar de cualquier vulnerabilidad que encuentres en temas, plugins o el mismo WordPress, o revisar las ya existentes y comprobar de qué se tratan para tener información de gran valor para tu web.
El proyecto, desarrollado en Ruby, ha partido de una serie de desarrolladores, pero puedes participar en el escaner de vulnerabilidades en su página de github.
El sistema, aunque no sustituye – ni debe hacerlo – al habitual para informar de fallos en WordPress, si es una estupenda herramienta a tener en cuenta y revisar a diario para estar informado, de un modo más sencillo que en el trac y más completo e inmediato que revisar todo Internet buscando vulnerabilidades, una obligación de todo webmaster.
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado. ¡Ah! ¿te funciona? pues entonces no he dicho nada :)
¿No expondrá las vulnerabilidades de los sitios de modo tal que estas queden listas, llegar y llevar para los hackers?
🙂
Es justo lo contrario, el conocimiento permite protegerse. La política del software propietario es justo lo que acabas de decir, la del software libre es la de la libre información y apertura de software para poder modificarlo, parchearlo, arreglarlo, sin permiso de nadie.
Ese sitio solo expone vulnerabilidades conocidas de plugins, etc, para proteger a los usuarios, para que no uses versiones no seguras. Su desconocimiento llevaría precisamente a lo que tu apuntas.
Si funciona como todas las páginas de vulnerabilidad, primero avisarán al desarrollador, y cuando el desarrollador libere la versión sin bug, ellos anunciarán el problema, de forma que todo el undo ya pueda actualizar a la nueva versión.
Pero si el desarrollador no responde o tarda mucho en sacarina versión arreglada, suele del mismo modo publicarlo. Pero esto solo lo hacen si es un bug muy grabe, y no lo hacen por fastidiar, lo hacen por que seguramente ya están cayendo sitios con un 0day, y hay que pararlo, y como el desarrollador no hace nada, anuncian el problema para para que la gente lo desactive.
Este es el proceso. Si descubren un 0day ( un bug de seguridad que an no era conocido) y que nadie a utilizado aun, no lo van a proclamar a los 4 vientos sin antes haber avisado para que se solucione. Lo que quieren estas paginas es ayudar a la gente a que no sea hackeada, no a que hackeen a las más posibles.
Si el plugin que usas tiene vulnerabilidad y está publicada en esta página, en un 99.99% de los casos habrá actualización de seguridad. En un 0,01% no la habrá, pero mucha gente estará usando esa vulnerabilidad ya, así que te avisan para que lo elimines.
Saludos
lo que menos quiere un hacker es que las vulnerabilidades se expongan……..