Llega un nuevo día, llega una nueva actualización de seguridad importante para WordPress. Qué sorpresa.
Si administras tu propio sitio basado en WordPress debes actualizarlo cuanto antes, ya que se reveló la existencia de seis agujeros de seguridad que podrían ser explotados por un atacante con fines maliciosos.
La nueva versión es la 4.7.3, y se publicó una advertencia indicando que los sitios no parcheados podrían ser vulnerables a varias amenazas, incluyendo ataques cross-site scripting y cross-site request forgery:
- Cross-site scripting (XSS) a través de metadatos de archivos multimedia.
- Los caracteres de control pueden engañar la validación de la URL de redireccionamiento.
- Los archivos no deseados pueden ser eliminados por los administradores utilizando la funcionalidad de eliminación de complementos.
- Cross-site scripting (XSS) a través de la URL de videos de YouTube embebidos.
- Cross-site scripting (XSS) a través de taxonomía de términos.
- Cross-site request forgery (CSRF) en Press This que deriva en el uso excesivo de los recursos del servidor.
La buena noticia es que los investigadores que descubrieron las fallas revelaron los detalles en forma privada al equipo de WordPress, de manera responsable, lo cual permitió que los bugs se pudieran corregir antes de ser públicos. Las vulnerabilidades suelen descubrirse en plugins de terceros, ajenos a la plataforma de gestión de contenido, pero en este caso se hallaban en su mismísimo núcleo.
Los administradores de sitios deben tomarse el tiempo de asegurarse de que estos parches fueron implementados en sus servidores web vulnerables, porque prácticamente cualquier sitio podría estar en riesgo.
Afortunadamente, para la mayoría de las personas, es bastante fácil hacer la actualización: deberás ir desde el panel de administración a Actualizaciones. A decir verdad, muchos usuarios han tomado la excelente decisión de actualizar la plataforma de manera automática cada vez que hay una actualización disponible.
Claro que siempre es una buena práctica probar una nueva versión de un software en una versión de tu sitio que no sea pública, por si acaso.
Esto es particularmente importante si usas WordPress para negocios que no pueden estar offline mientras te aseguras de que no hay problemas con la actualización, pero quizá es menos crítico si usas la plataforma solo como blog personal.
Si te sirve de consuelo, pude actualizar mi propio sitio basado en WordPress y auto-alojado a la versión 4.7.3 en menos de un minuto, sin experimentar ningún contratiempo.
En mi experiencia, administrar tu propio sitio puede considerarse un trabajo, ya que hay que asegurarse continuamente de que WordPress y sus plugins de terceros están actualizados y son capaces de defenderse de ataques.
Puedes reducir aún más las chances de ser víctima de atacantes si inviertes en un firewall capaz de filtrar y bloquear tráfico HTTP malicioso antes de que pueda explotar una vulnerabilidad en tu plataforma.
No te olvides que aquellos que usan versiones auto-alojadas de WordPress desde wordpress.org son diferentes a los muchos millones de blogs que usan wordpress.com. Este último, manejado por Automattic, gestiona la instalación y cuida la seguridad por ti.
Aunque hay limitaciones respecto a lo que los dueños de sitios pueden hacer en wordpress.com, siempre pueden estar seguros de que están usando la última versión de la plataforma.
Sigue leyendo: Cómo fortalecer la seguridad en WordPress