Todos conocemos WordPress. De hecho, son muchos los blogs que forman parte de esta extensa, casi infinita, plataforma y gestora de contenidos. Todos ellos son actualizados a diario por sus ‘dueños’, los cuales lo hacen bajo el desconocimiento de los errores que tiene y que han generado, hasta ayer, la posibilidad real de ser vulnerados por los ciberdelincuentes. El más querido, y grave a la vez, es el de Cross-Site Scripting (XSS) el cual podría poner en un serio aprieto a todas las páginas que se sostengan sobre este motor.
Esta vulnerabilidad en WordPress daría pie a los hackers a moverse libremente por las diferentes páginas webs, ya que entran en ella de un modo bastante inteligente: a través de los perfiles menos utilizados, que corresponden a los de contribuyentes o autores. Estos, muy comunes en webs de carácter colaborativo o también son aquellos que tienen las empresas para el uso común, suelen estar sujetos a un menor número de controles de seguridad por parte de las mismas por lo que son más golosos. Además, son más peligrosos porque amenazan a muchos sites al mismo tiempo.
¿Qué consecuencias pueden tener?
Tanto para WordPress como para sus usuarios son variadas, y bastante contundentes. Por ejemplo, entrando a través de un editor de una web, se puede tirar abajo la misma página o, incluso, instalar un malware que a posteriori infecte a todos aquellos que accedan al sitio. Dos acciones de una larga lista que, por suerte para todos, ya no podrán realizarse gracias a la reciente acción de WordPress. Ésta ha puesto a nuestra disposición una nueva actualización, la 4.2.3, la cual ya se habrá instalado en aquellos dispositivos que tengan las actualizaciones automáticas, y que estará a la espera en los que deban hacerlo manualmente. Desde la marca recomiendan encarecidamente su instalación, en caso de no haberse producido aún.
Eliminan privilegios a los suscriptores
Además de este error, a WordPress parece que le crecen los enanos en lo relativo a sus sistemas de autenticación y de distribución de roles. Así, además de al error que hemos analizado previamente, la compañía ha tenido que corregir también un defecto que permitía a los suscriptores, o aquellos con escasa actividad en la web, crear borradores a través de herramientas de publicación rápida propias de la misma plataforma. Otro problema que, junto con los anteriores, continúan una lista de hasta 20 que ya son historia. Desde la empresa, han querido dar las gracias a todos los que los encontrado y se los han comunicado.
