Vulnerabilidades en los plugins más usados de Wordpress ¡Atento!

Vulnerabilidades en los plugins más usados de Wordpress  ¡Atento!

Actualiza tus plugins de Wordpress cuanto antes. Te cuento un poco de que va el tema...

El día 20 de abril de 2015 se dió una alerta de seguridad en varias webs de empresas que desarrollan plugins para Wordpress. Como Yoast, Jetpack, Gravity Forms...

Es un fallo de seguridad que ya venía de antes, no es nada nuevo. Al parecer ahora ha saltado la alarma y todos han acudido a la llamada. Como ocurre con todo, hasta que no hay más remedio no se cambia. Y ahora es cuando ha llegado el momento, ha cundido el pánico y se han tomado medidas. todas las empresas que desarrollan plugins se han puesto manos a la obra y han sacado actualizaciones que solucionan el problema de seguridad.

Debido a un mal entendido en la documentación de Wordpress por parte de los desarrolladores, estos plugins usaban dos funciones add_query_arg () y remove_query_arg(), que son vulnerables a ataques Cross-Site Scripting (XSS). Y digo usaban porque al poco tiempo han sacado actualizaciones, actualizaciones que conviene aplicar en tu sitio web si usas el famoso gestor de contenidos Wordpress, porque seguro que usarás alguno de los plugins que abajo menciono.

Son funciones muy utilizadas por desarrolladores para modificar y añadir cadenas a las URL’s dentro de WordPress para consultar datos. Éstos usaban las funciones creyendo que los datos que se enviaban a través de la URL eran limpiados y seguros contra ataques XSS. Pequeño detalle que hizo que los plugins más usados para Wordpress fueran vulnerables.

Al parecer no estaba muy claro en la documentación oficial de WordPress (Codex), si se limpiaban o no las cadenas al usar estas funciones, y esto engaño a muchos programadores que las usaron de forma insegura.

Esta es una lista de los plugins más famosos que han sido afectados, si usas cualquiera de ellos es conveniente que los actualices cuanto antes, hay muchos otros que también han sido afectados, osea que es el momento de que hagas una copia de seguridad de tu sitio y vayas actualizando cositas.

  • Jetpack
  • WordPress SEO
  • Google Analytics
  • All In one SEO
  • Gravity Forms -> https://www.gravityforms.com
  • Multiple Plugins from Easy Digital Downloads
  • UpdraftPlus
  • WP e-Commerce
  • WPTouch
  • Download Monitor
  • P3 Profiler
  • Give
  • iThemes Exchange
  • Broken-Link-Checker
  • Ninja Forms
  • Aesop Story Engine
  • My Calendar
  • Download Monitor
  • Related Posts for WordPress
  • Múltiples productos iThemes incluyendo Builder y Cambio
  • Roto-Link Checker

 

Si eres desarrollador de wordpress o programador y quieres saber cómo se soluciona esto es muy fácil, hasta con añadir este código a la función:

esc_url( add_query_arg( $key, $value ) );
esc_url( remove_query_arg( $key, $query ) );

Si quieres asegurarte de solucionar y olvidarte de problemas de seguridad con tu Wordpress, contacta conmigo.