Tal y como sucedió a principios del mes pasado, WordPress, el popular CMS utilizado por millones de webs en todo el mundo, ha publicado una actualización a la versión 4.7.3 que corrige numerosos fallos. Entre estos fallos se encuentran seis vulnerabilidades que un atacante podría aprovechar para realizar acciones malintencionadas.
Nueva versión publicada
Con la publicación el domingo 6 de marzo de la versión 4.7.3 se solucionan varias vulnerabilidades, entre las que encontramos tres de ellas que podrían permitir a un atacante realizar ataques del tipo Cross-Site Scripting (XSS), por ejemplo, utilizando los metadatos de un fichero multimedia, permitiéndole inyectar código malicioso en la web vulnerable que se ejecutaría cuando un usuario la visitase.
Además, se soluciona también otro agujero de seguridad que permitiría un ataque del tipo Cross-Site Request Forgery (CSRF) en la opción Publicar Esto y que produce un consumo excesivo de recursos en el servidor. También se corrige un fallo que hacía que los caracteres de control pudiesen engañar a la validación de la URL de redireccionamiento.
Ya por último, se ha solucionado un problema que podía provocar que los administradores borrasen ficheros accidentalmente cuando se usase la funcionalidad para eliminar complementos. Tampoco debemos olvidar que, además de estos agujeros de seguridad, esta nueva versión corrige también otros 39 fallos no relacionados con la seguridad.
Actualiza para evitar problemas
Como cada vez que aparece una nueva versión de WordPress, nuestra recomendación es que se actualice lo antes posible para evitar problemas, como los más de 100.000 webs que sufrieron un defacement el mes pasado por no haber actualizado a la última versión disponible.
Además, no solo debemos considerar la actualización del propio sitio web. También se han de tener en cuenta los complementos y temas instalados, puesto que estos también pueden presentar agujeros de seguridad que pueden ser aprovechados por los atacantes tanto para acceder y cambiar o robar contenido como para inyectar código malicioso.
Por último, tampoco hay que olvidarse de disponer de una configuración adecuada del propio sitio web para evitar proporcionar más información de la necesaria, que podría ser aprovechada por los delincuentes para explotar puntos débiles. Para ello se pueden seguir las instrucciones de nuestra guía de securización de WordPress, un documento en el que se explica paso a paso cómo fortificar nuestro sitio web ante los ataques más comunes.
Conclusión
La protección adecuada de nuestra web es algo fundamental si queremos evitar que sea utilizada por los delincuentes con fines maliciosos y sufrir además un daño reputacional de nuestra marca. Las formas de evitarlo son sencillas y tan solo requieren de una revisión periódica de ciertos puntos, por lo que no hay excusas para tener securizada nuestra web con WordPress.