Especialistas en seguridad han detectado un importante
fallo de seguridad en WordPress, el gestor de
contenidos web más famoso en la actualidad y en el que millones de
sitios web confían y utilizan.
Este fallo de seguridad en WordPress afecta, sin ir más lejos, a
uno de los temas que trae preinstalados el CMS, el conocido
“TwentyFifteen”, con lo que cualquier usuario
capaz de aprovechar el agujero de seguridad podría lograr acceder al gestor de contenidos de la web en
cuestión.
El problema de seguridad de WordPress no afecta
sólo a los temas preinstalados, sino a cualquiera que utilice los
paquetes genéricos (donde reside
todo el problema) incluidos también plugins. JetPack, por poner nombres sobre la mesa, es
otro de los plugins afectados.
La vulnerabilidad en cuestión es conocida como Cross-site scripting o XSS. Básicamente es un tipo de
fallo de seguridad que presentan algunas apps web por medio del
cual, y mediante inyección de código (JavaScript, VBScript, etc.)
en la web, es posible tomar el control del
sitio. La forma de explotar esta vulnerabilidad es por medio
de un link malicioso en que el usuario tendría que pinchar para
poder verse afectado.
La buena noticia es que el problema de
Wordpress ya ha sido resuelto, con lo que es verdaderamente
importante que, tras haberse dado a conocer este problema, los
usuarios del gestor de contenidos procedan a instalar de inmediato
la actualización que WordPress lanzó el
jueves a la versión 4.2.2.
Es muy importante que si estás utilizando WordPress instales
este parche oficial para prevenir que
tu website se vea afectado. Pero no sólo esto, sino que la
actualización también es capaz de solucionar el problema si el
fichero example.html de WordPress se ha visto afectado,
eliminándolo.
Desde Sucuri Security explican que “la vulnerabilidad XSS es muy
simple de explotar y sucede al nivel de Modelo de Objeto de
Documento (DOM)”, al tiempo que ofrecen más detalles técnicos
acerca del funcionamiento de este tipo de ataques.
[Fuente: NDTV Gadgets]