Los responsables de WordPress, el popular gestor de contenidos que utilizan millones de páginas web en todo el mundo, han revelado la existencia de una grave vulnerabilidad que afectaría a versiones recientes de este CMS. La noticia se produce una semana después de que se publicara la versión 4.7.2, que corrige este fallo de seguridad.
Conociendo REST API
Para poder entender el porqué de esta vulnerabilidad debemos conocer el funcionamiento de la REST API y por qué afecta especialmente a las versiones 4.7 y 4.7.1. Las APIs son aquellos contenedores de información que las aplicaciones se envían entre sí y que permiten a los desarrolladores interactuar con los datos de una aplicación de un modo ordenado y planificado.
De este modo, los desarrolladores pueden obtener información de diferentes servicios que incorporen estas APIs como, por ejemplo, nuestros contactos en Facebook o las citas que tenemos marcadas en nuestro Google Calendar.
En lo que respecta a REST, estas siglas hacen referencia a un tipo de arquitectura empleada en el diseño de aplicaciones de red. Podemos verificar que una API utiliza arquitectura REST si su arquitectura sigue una serie de normas y restricciones previamente establecidas. Esta arquitectura apareció como alternativa a otras más complejas como SOAP, CORBA y RPC, gracias al uso de HTTP.
Esta REST API fue diseñada pensando en facilitar la gestión y uso de un sitio con WordPress desde cualquier tipo de dispositivo y sin necesidad de realizar complejas modificaciones en el núcleo del CMS. Además, facilita la inclusión de complementos más potentes que los existentes hasta la fecha, así como también nuevos temas y aplicaciones.
La API problemática
Si bien esta REST API ya se estaba utilizando desde hace tiempo, su uso era voluntario hasta la llegada de la versión 4.7 de WordPress. Esta API se activó por defecto con el lanzamiento de esa versión, algo que fue pensado para facilitar las tareas de gestión y edición de contenido para los millones de usuarios de WordPress.
No obstante, algo que debía ser positivo, se ha convertido en un problema para los usuarios, puesto que investigadores de Sucuri descubrieron una vulnerabilidad que podía ser aprovechada por un atacante tanto para inyectar código malicioso como para obtener una escalada de privilegios que permita modificar publicaciones y otro tipo de contenido almacenado en la web.
Sobre el alcance de esta vulnerabilidad, algunas fuentes apuntan a que tan solo alrededor de 90.000 sitios web estaban utilizando una versión de WordPress igual o superior a la 4.7. Si bien solo las versiones 4.7 y 4.7.1 son vulnerables a este fallo, las versiones anteriores sufren de otros agujeros de seguridad.
Actualiza lo antes posible
Ahora que los detalles de esta vulnerabilidad ya se han hecho públicos, es bastante probable que veamos algunos ataques intentando colocar contenido malicioso en webs con versiones de WordPress vulnerables. Por eso mismo, es importante que los administradores de estas webs actualicen a la versión más reciente, que en el momento de escribir estas líneas es la 4.7.2.
Cuando aparece una vulnerabilidad crítica de este tipo en un sistema o servicio tan extendido es importante que se realice una comunicación responsable para evitar que afecte a un elevado número de usuarios. En esta ocasión, WordPress ha preferido esperar un tiempo prudencial de varios días tras publicar la versión que soluciona el problema, tras ser informada al respecto por Sucuri, algo que es de agradecer.
Conclusión
Muchas empresas en todo el mundo confían su presencia online a páginas web desarrolladas con WordPress y, a su vez, muchas de ellas desconocen la importancia de fortificarlas ante posibles ataques. Es por este motivo que las actualizaciones y la implementación de medidas de seguridad adicionales a las existentes por defecto son una buena idea.
Josep Albors