Seguridad

WordPress solventa una vulnerabilidad grave que ponía en peligro millones de blogs en todo el mundo

wordpress

WordPress 4.2.3 corrige un defecto de cross-site scripting (XSS) que permitía a los hackers acceder a los blogs a través de los perfiles de autores y contribuyentes.

WordPress, la popular plataforma de blogs y que sirve de gestor de contenidos (CMS) a millones de webs de todo el mundo, ha lanzado este jueves la nueva versión 4.2.3 de su editor,  que corrige una veintena de errores y vulnerabilidades, entre ellos un defecto de cross-site scripting (XSS) que podría ser utilizado para comprometer las páginas construidas sobre este motor.

En concreto, la vulnerabilidad de cross-site scripting permitía a los hackers campar a sus anchas en cualquier web al acceder a la misma a través de algunos de los perfiles con menos poder de esta plataforma, como son los contribuyentes o los autores. Este tipo de perfiles, que suelen estar sujetos a menos controles de seguridad por parte de las empresas, son muy habituales en sitios webs colaborativos o en los que intervienen numerosos miembros de un equipo, con lo que la amenaza afecta a muchos sites.

A través de este agujero, los atacantes pueden entrar en el seno del editor para, por ejemplo, tumbar la web o instalar malware que infecte a los inocentes internautas que visiten la página. Por ello, desde WordPress han pedido que todos los propietarios de sites construidos con su tecnología actualicen cuanto antes su CMS a la nueva versión. En el caso de las páginas que cuentan con actualizaciones automáticas, estas ya han sido parcheadas para solventar este incidente.

Error también con el rol de suscriptor

Parece que a WordPress se le han complicado sus sistemas de autenticación y de distribución de roles. No en vano, al ya mencionado error crítico que afecta a los usuarios ‘contribuyentes’ y ‘autores’, WordPress también ha corregido un defecto de baja intensidad que permite a los suscriptores (aquellos que teóricamente no tienen ninguna capacidad operativa en la web) crear borradores de posts por medio de la herramienta de publicación rápida que ofrece esta plataforma.

wordpress

WordPress: objeto de deseo de los hackers

La enorme proliferación de blogs y páginas webs corporativas construidas sobre WordPress no ha pasado desapercibida para los hackers, que han puesto este CMS entre sus preferencias para atacar.

Por ejemplo, en abril de 2013, un grupo de piratas informáticos utilizaron una red de bots compuesta por más de 90.000 ordenadores para descifrar las contraseñas de acceso a WordPress de miles de usuarios.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, El Mundo, ComputerWorld, CIO España, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big de Telefónica, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo y Finalista en los European Digital Mindset Awards 2016.