Home Wordpress La actualización de WordPress 6.2.1 hace que los sitios web se bloqueen

La actualización de WordPress 6.2.1 hace que los sitios web se bloqueen

0
119
La actualización de WordPress 6.2.1 hace que los sitios web se bloqueen

WordPress y sus vulnerabilidades.

LLega la nueva actualizacvión de WordPress 6.2.1 y como cualquier otro sistema de gestión de contenido (CMS), WordPress tiene sus propias vulnerabilidades que los usuarios y administradores deben tener en cuenta para mantener sus sitios web seguros. A continuación, te mencionaré algunas de las vulnerabilidades más comunes de WordPress:

  1. Plugins y Temas Inseguros: Una de las mayores fortalezas de WordPress es su amplia gama de plugins y temas disponibles. Sin embargo, no todos son creados por desarrolladores experimentados y algunos pueden contener vulnerabilidades de seguridad. Es importante solo usar plugins y temas de fuentes confiables y mantenerlos siempre actualizados.
  2. Inyecciones SQL: Las inyecciones SQL son un tipo de ataque en el que un atacante puede insertar código SQL malicioso en un formulario de entrada o URL, que luego puede afectar a la base de datos del sitio web. Las inyecciones SQL pueden ser prevenidas utilizando declaraciones preparadas en lugar de concatenar consultas SQL directamente.
  3. Cross-Site Scripting (XSS): Este es uno de los problemas de seguridad más comunes en WordPress. Ocurre cuando un atacante logra insertar código JavaScript en la página web, que luego se ejecuta en el navegador del visitante.
  4. Fuerza Bruta y Ataques DDoS: WordPress puede ser vulnerable a ataques de fuerza bruta, donde un atacante intenta adivinar tu contraseña mediante la prueba de numerosas combinaciones, y a ataques DDoS, que buscan abrumar el servidor con solicitudes.
  5. Vulnerabilidades de la API REST de WordPress: La API REST de WordPress permite a los desarrolladores interactuar con el sitio de maneras nuevas y creativas. Sin embargo, también puede ser una fuente de vulnerabilidades si no se configura correctamente.

Es importante tener en cuenta que la mayoría de las vulnerabilidades de WordPress pueden mitigarse con una buena gestión de seguridad. Esto incluye mantener WordPress y todos los plugins y temas actualizados, usar contraseñas seguras, limitar los intentos de inicio de sesión, implementar un firewall y mantener una copia de seguridad regular del sitio. Además, existen numerosos plugins de seguridad de WordPress que pueden ayudar a proteger tu sitio.

Nueva vulnerabilidad detectada en WordPress 6.2.1

En el dinámico mundo del desarrollo web, cada nueva actualización trae consigo un conjunto de mejoras y características emocionantes. Sin embargo, estas novedades también pueden desvelar nuevas vulnerabilidades, tal y como ocurre con la reciente versión de WordPress 6.2.1. Si estás usando WordPress para gestionar tu sitio web, es fundamental que estés al tanto de estas vulnerabilidades para proteger tu página y los datos de tus usuarios.

En este post, vamos a explorar en detalle una nueva vulnerabilidad que ha sido descubierta en WordPress 6.2.1. Analizaremos qué es, cómo puede afectar a tu sitio web y, lo más importante, qué puedes hacer para mitigar el riesgo y garantizar la seguridad de tu presencia en línea. Continúa leyendo para aprender más y mantenerte un paso por delante en la siempre evolutiva ciberseguridad.

¿Como, cuando y quien la detectó?

Una actualización de seguridad reciente de WordPress con varias correcciones de seguridad también hace que algunos sitios web dejen de funcionar, lo que llevó a un desarrollador a exclamar: «¡¡Esto es un caos!!»

La actualización eliminó una función clave que provocó que numerosos complementos dejaran de funcionar en sitios que usaban el sistema de bloqueo de WordPress.

Los complementos afectados iban desde formularios hasta controles deslizantes y migas de pan.

Actualización de WordPress 6.2.1

Los sitios que admiten actualizaciones automáticas en segundo plano recibieron automáticamente la actualización de WordPress 6.2.1, ya que era una versión de seguridad (oficialmente, era una versión de mantenimiento y seguridad).

Según el anuncio de lanzamiento oficial de WordPress, la actualización incluía cinco correcciones de seguridad:

  1. “Bloquear temas analizando códigos cortos en datos generados por el usuario;…
  2. Un problema de CSRF al actualizar las miniaturas de los archivos adjuntos; informado por John Blackbourn del equipo de seguridad de WordPress
  3. Un error que permite XSS a través de la detección automática de incrustación abierta; informado de forma independiente por Jakub Żoczek de Securitum y como parte de una auditoría de seguridad de terceros
  4. Omita la desinfección de KSES en atributos de bloque para usuarios con privilegios bajos; descubierto durante un control de seguridad de terceros.
  5. Un problema de cruce de ruta entre archivos de traducción; independientemente de Ramuel Gall e informado como parte de una autorización de seguridad de un tercero”.

El problema surge de la primera actualización de seguridad que afecta a los códigos cortos en los temas de bloque que causan los problemas.

Un shortcode es una sola línea de código que actúa como un reemplazo o marcador de posición para el código que proporciona una funcionalidad como un formulario de contacto.

Entonces, en lugar de configurar un formulario de contacto en cada página donde aparece el formulario, puede agregar una sola línea llamada shortcode, que luego incrustará un formulario de contacto.

Desafortunadamente, se descubrió que los piratas informáticos podían ejecutar códigos abreviados en el contenido generado por el usuario (por ejemplo, comentarios de blog), lo que luego podría conducir a una explotación.

WordFence describe la vulnerabilidad.

Wordfence es una reconocida compañía de seguridad en la web, famosa por su popular plugin de seguridad para WordPress. Desde su creación, la empresa ha centrado sus esfuerzos en proporcionar a los propietarios de sitios web WordPress soluciones robustas y fiables para proteger sus páginas de una variedad de amenazas cibernéticas.

El plugin de Wordfence para WordPress ofrece una gama de características diseñadas para blindar los sitios WordPress contra ataques maliciosos. Estas incluyen un cortafuegos de aplicación web, un escáner de malware, protección contra fuerza bruta, y mucho más. Con millones de instalaciones activas en todo el mundo, Wordfence es una de las primeras líneas de defensa para muchos sitios WordPress, lo que demuestra su reputación como líder en seguridad de WordPress.

“WordPress Core maneja códigos abreviados en contenido generado por el usuario en temas de bloque en versiones hasta WordPress 6.2.1  inclusive.

Esto podría permitir a los atacantes no autenticados ejecutar códigos abreviados mediante el envío de comentarios u otro contenido, explotando así las vulnerabilidades que normalmente requieren permisos a nivel de suscriptor o colaborador”.

WordFence continúa explicando que la vulnerabilidad es un error que puede permitir otra vulnerabilidad más grave.

La solución a la vulnerabilidad del shortcode fue eliminar por completo la funcionalidad del shortcode de las plantillas de bloques de WordPress.

La documentación oficial para corregir la vulnerabilidad establece:

«Eliminar la compatibilidad con shortcodes de las plantillas de bloques».

Alguien creó una solución para restaurar la compatibilidad con shortcodes en las plantillas de bloques de WordPress.

Pero la solución también corrigió la vulnerabilidad:

“Para aquellos que quieran quedarse con WordPress 6.2.1 y necesiten restaurar la compatibilidad con los códigos abreviados en las plantillas, pueden probar esta solución alternativa.

… Tenga en cuenta, sin embargo, que se eliminó el soporte para solucionar un problema de seguridad, y restaurar el soporte de shortcode probablemente recupere el problema de seguridad».

La desactivación de la compatibilidad con códigos abreviados en realidad provocó que algunos sitios web dejaran de funcionar o dejaran de funcionar.

Por lo tanto, tenía sentido para muchos usuarios agregar la solución alternativa hasta que se encontrara una solución más permanente.

Los desarrolladores de WordPress llaman a Fix ‘loco’ y ‘estúpido’

Los desarrolladores de WordPress informaron su frustración con la actualización de WordPress:

Opinión de un usuario:

“… ¡Me sorprende absolutamente que los códigos abreviados se hayan eliminado a propósito! Cada sitio FSE de nuestra agencia utiliza el bloque de código abreviado en las plantillas para todo: filtros, búsqueda, ACF e integraciones de complementos. ¡¡Esto es un caos!!

La solución no parece funcionar para mí. Volveré a una versión anterior y espero que haya una solución».

Otra desarrollador publicó:

“Sí, no entiendo el odio de Gutenberg, pero al menos deberían haber prohibido algunos bloques como el código abreviado que eliminaron gradualmente en el editor completo del sitio.

La gente usará las viejas formas a menos que les digas lo contrario o los lleves a cosas nuevas.

Pero como dije, hubiera sido mejor construir un puente, por ejemplo, a través de un bloque PHP oficial, o escuchar lo que quieren los usuarios y desarrolladores».

Uno de los complementos notables que se vio afectado fue Rank Math. La funcionalidad Breadcrumb, si estaba presente en los temas de bloque, falló después de la actualización WordPress 6.2.1.

Una página de soporte de Rank Math contenía una solicitud de corrección de un usuario del complemento Rank Math.

El soporte de Rank Math recomendó agregar una solución alternativa. Desafortunadamente, esta solución alternativa no solo restaura la funcionalidad del shortcode, sino que también corrige la vulnerabilidad.

La actualización también bloqueó la funcionalidad del complemento Smart Slider 3.

Se ha abierto un hilo de soporte en la página del complemento Smart Slider 3:

“No es del todo culpa tuya, pero Automattic decidió extraer códigos cortos de las plantillas de bloques. … reclama un «problema de seguridad», pero básicamente rompe dos complementos que uso, incluido el tuyo.

Eso significa que su complemento solo se puede ver [smartslider3 slider=”6″] cuando se utiliza en una plantilla FSE. ¡Pero en el editor ESF se ve bien!

Solo pensé que querrías saberlo antes de que las personas confundidas que deberían haber informado a Automattic comiencen a culparte. No deberías simplemente eliminar tales funciones, es como en los viejos tiempos.

Ahora también necesito descubrir cómo incrustar un formulario/código PHP para incluir listas de categorías en los campos de búsqueda. gr.»

El equipo de soporte de Smart Slider 3 recomendó agregar la solución alternativa.

Otros en el hilo de soporte de WordPress.org sobre este problema han encontrado soluciones. Si su sitio se ve afectado, leer la discusión puede ayudar.

Conclusiones finales sobre seguridad WordPress.

En resumen, mantener la seguridad de tu sitio web WordPress debe ser siempre una prioridad máxima. En este mundo digital en constante evolución, nuevas amenazas de seguridad emergen con frecuencia. Afortunadamente, el equipo de WordPress trabaja incansablemente para identificar y solucionar cualquier vulnerabilidad potencial, lanzando actualizaciones regulares para garantizar la máxima seguridad.

Es importante recordar que, para disfrutar de estas protecciones, es imprescindible mantener tu sitio WordPress al día. Cada actualización de WordPress, junto con las de tus plugins y temas, puede contener parches cruciales de seguridad. Evitar o retrasar estas actualizaciones puede dejar tu sitio vulnerable a ataques.

Además, la seguridad no se trata solo de la tecnología que utilizas, sino también de las personas con las que te asocias. Tener el soporte profesional de expertos en seguridad puede ser invaluable. Los expertos pueden proporcionar consejos, implementar medidas de seguridad adicionales y ayudarte a responder eficazmente si tu sitio alguna vez es atacado.

Finalmente, aunque WordPress es una plataforma increíblemente poderosa y flexible, requiere un cuidado y atención constantes para mantenerse seguro. Tómate tu tiempo para entender las vulnerabilidades potenciales y cómo mitigarlas. No olvides que un sitio seguro no solo protege tu trabajo, sino también la información y la confianza de tus visitantes. Mantente seguro y sigue construyendo con WordPress.

NO COMMENTS

LEAVE A REPLY

Please enter your comment!
Please enter your name here