Importantes vulnerabilidades en All in One SEO Pack de WordpressDe Técnicos Web | Fecha: 02/06/2014 |
|
Hoy se ha anunciado el descubrimiento de una serie de vulnerabilidades que afectan a todos aquellos blogs basados en el conocido paquete gestor de contenidos o CMS Wordpress y que utilicen su plugin All in One Seo Pack.
La noticia ha sido lanzada al parecer por los propios desarrolladores del plugin aunque en la web oficial no aparece ningún anuncio ni comentario al respecto, sólo la nota de actualización disponible a fecha de hoy 2 de junio del 2014, e instan a todos sus usuarios a actualizar inmediatamente las versiones antiguas de la herramienta de SEO a la ya mencionada actualización publicada cuya versión es la 2.1.6, aunque si bien la actualización sólo soluciona unas pocas de las muchas vulnerabilidades que se han descubierto, éstas son las más importantes y por eso se han apresurado a publicarla y paliar así los problemas detectados. Las vulnerabilidades detectadas afectaban, entre otras cosas, a la posibilidad de que un usuario malintencionado pudiera adjudicarse permisos de administrador y modificar las configuraciones del blog así como del SEO incluso eliminar o modificar los contenidos publicados. También permitia poder ejecutar ataques del tipo XSS, por sus siglas en inglés de scripting de sitios cruzados, cuya protección evita que peticiones de dominios diferentes al de la web pueda realizar accesos al contenido y que una de éstas vulnerabilidades detectadas dejaba al descubierto, permitiendo que se pudieran hacer peticiones e incluso ejecutar código remoto que pudiera modificar el contenido del sitio y hasta instalar sistemas de malware en los equipos de los clientes que lo visitaran. La facilidad de instalación y uso para usuarios no expertos en el desarrollo web, hace que éste paquete sea uno de los más utilizados para sitios de noticias y contenidos de cualquier índole, siendo aproximadamente el cálculo de unos 15 millones de sitios que hacen uso de ésta herramienta y por ende ahora mismo son potenciales objetivos de ataques, además del hecho de que es libre y gratuita la pone al alcance de cualquiera que quiera poner sus ideas en la red. Pero sus ventajas y beneficios són también su mayor debilidad, y es que cualquiera con conocimientos suficientes puede descargarse el código fuente y descubrir los entresijos de su motor así como sus carencias y defectos y poder explotarlos en su beneficio. Por eso en Técnicos Web ni creemos ni utilizamos herramientas de terceros, no porque pensemos que no son útiles, sino por el potencial problema de seguridad que tienen hacia nuestros clientes y para nosotros es motivo suficiente para no utilizarlos, por eso avisamos a nuestros usuarios que pueden estar tranquilos puesto que no se verán afectados dado que todas nuestras herramientas son diseñadas por nosotros mismos y de uso privado. Pero si es uno de los desafortunados usuarios que usa Wordpress, les recomendamos de nuevo, tras el importante peligro de ataque que sufrieron hace apenas 3 meses, que actualicen sus versiones a las últimas actualizaciones, o si quieren evitar futuras incomodidades que contacten con nosotros para poder desarrollar un paquete a medida que se ajuste a sus necesidades y eliminar las potenciales amenazas que ocasiona el usar herramientas de código abierto. ¿Usas WordPress? ¿Conoces a alguien con una página web que pueda estar usándolo? ¡Comparte la noticia entre tus amigos y contactos en tus redes sociales!
Votar
5
(1 votos)
/
|