info@mecemsa.es 965 26 96 96
Noticias

WordPress ha publicado una actualización de seguridad que soluciona varios problemas de seguridad. Se recomienda que actualizar tu WordPress a la versión 5.0.1.

La actualización se puede realizar descargando la última versión desde la página del gestor de contenidos o, dentro del propio gestor de WordPress, en «Escritorio», «Actualizaciones».

Recomendamos realizar esta actualización en un entorno de desarrollo antes de aplicarla en el entorno de producción realizando previamente una copia de seguridad de tu web, tanto de la base de datos como de todos los archivos que componen el sitio.

Relación de fallos detectados en versiones anteriores a la 5.0.1, mediante los cuales, un atacante podría llevar a cabo las siguientes acciones maliciosas:

  • alterar metadatos que permitan la eliminación de archivos sin autorización;
  • crear publicaciones para las cuales no se esté autorizado y que incluyan contenido específicamente diseñado;
  • modificación de metadatos que permitan la inyección de objetos php;
  • edición de comentarios mediante un usuario con los privilegios más altos, permitiendo la inclusión en los mismos de código malicioso. Esta vulnerabilidad se conoce con el nombre de cross-site scripting (XSS). También se ha comprobado que este tipo de vulnerabilidad podría afectar a algunas entradas URL específicamente diseñadas en los plugins de WordPress.
  • La pantalla de identificación de usuario, podría ser indexada por motores de búsqueda en algunas configuraciones poco comunes. Esto provocaría que las direcciones de correo quedaran expuestas y, en algunos casos raros, las contraseñas generadas por defecto;
  • páginas que estén alojadas con Apache, permitirían la carga archivos que evitasen la verificación MIME, permitiendo de nuevo una vulnerabilidad tipo cross-site scripting. Cualquier archivo que se suba a un servidor, debería pasar por una serie de validaciones que verifiquen que el fichero que se está cargando, no es malicioso.

 

WordPress ha indicado que estas vulnerabilidades han sido detectadas a tiempo y corregidas antes de que se hayas podido realizar este tipo de ataques.

Referencias:

https://www.incibe.es/content/tu-wordpress-necesita-ser-actualizado


Llámanos ahora   965 26 96 96