Una vulnerabilidad de WordPress SEO by Yoast afecta a millones de blogs

Escrito por Adrián Crespo
Seguridad
4

El CMS acostumbra a ser noticia por errores en complementos que afectan de forma negativa a la seguridad de los sitios web. En esta ocasión el problema es aún mayor porque es el complemento WordPress SEO by Yoast el que ha mostrado problemas de seguridad, afectando de forma directa a más de 14 millones de blogs. El plugin permitiría la inyección de código SQL, consiguiendo la ejecución de consultas no autorizadas.

Los responsables de este ya han publicado una nueva versión que resuelve el problema: la 1.7.3.3, o al menos eso han comunicado. Todas las anteriores están afectadas sin excepción por esta vulnerabilidad poniendo en peligro los datos almacenados en la base de datos y la seguridad de los usuarios que visitan el sitio web.

Las inyecciones de código en las bases de datos que permiten realizar consultas y la obtención de datos son uno de los mayores problemas de seguridad y también uno de los más extendidos, ya que los datos quedan comprometidos y se pueden filtrar, afectando sobre todo a nombres de usuario, contraseñas u otro tipo de dato de carácter personal.

La vulnerabilidad permite utilizar el complemento para disponer de acceso al archivo admin/class-bulk-editor-list-table.php. Este archivo no solo está autorizado para acceder a la configuración del panel de control del CMS, sino que está autorizado para realizar consultas a la base de datos.

Las versiones 1.7.3. y 1.7.4 de WordPress SEO by Yoast aún eran vulnerables

Aunque se publicaron con la finalidad de resolver el problema, los expertos en seguridad encargados de reportar el fallo se percataron de que las nuevas versiones aún eran vulnerables. Después de reportar la nueva incidencia a los responsables horas después se volvía a publicar la actualización pero esta vez de forma correcta, resolviendo el problema de forma satisfactoria.

Si disponer de WordPress 3.7 o superior, se puede configurar para que el complemento y todos los demás se actualicen de forma automática, sirviendo de gran ayuda si queremos mantener la seguridad de nuestro sitio web al día y libre de vulnerabilidades.

Fuente | The Hacker News


Continúa leyendo
  • Alvaro

    Hostia! gracias por el aviso, ni me habia enterado. Actualizandoooo!!!! 🙂

  • Juan bon

    no hay necesidad de actualizar el plugins ya que puedes bloquear cualquier ataque no solo a ese plugin sino para cualquiera.. nadie podra acceder a ningun fichero de la carpeta donde agregues el .htaccess con dicha regla y no afecta el funcionamiento del plugins..

    # Deny access to * file

    Order allow,deny
    Deny from all

    igual esta puedes usarla en la carpeta wp-admin y wp-includes para que solo las ip que agregues puedan tener acceso. util para sitios que no tienen registros de usuarios. verdaderamente es la unica regla que funciona para dicho propositos y nadie podra hackear tu sitio al menos que entren por tu cpanel o panel de hosting.

    # Allow access a files by ip

    order deny,allow
    allow from 000.000.000.000
    deny from all

    tengo mas reglas importantes para la seguridad pero esta es la mas importante.

    saludos

  • juan bon

    la parte importante de la regla no veo q salio en el mensaje… asi como salio no funciona … disculpen pero parece que no podre ayudarlos al menos que me escriban y les manda todas las reglas que uso sin coste de nada. saludos

  • juan bon

    a este correo juanbon2014@gmail.com .. saludos 🙂