Publicada una importante vulnerabilidad en WordPress
El mayor peligro es que, ante los oídos sordos de los responsables de la plataforma CMS, Jouko Pynnönen, de Klikki Oy; ha decidido publicarlo. Desde este pasado domingo, todos los hacker del mundo tienen muy claro como penetrar en tu sistema de administración utilizando la caja de los comentarios.
Cierto que esos comentarios están sujetos a moderación; pero existe una posibilidad de configuración que acepta automáticamente el comentario cuanto el usuarios ya tiene otro aceptado.
En ese momento, el hacker puede introducir un código javascript en ese comentario que, al publicarse, crea un usuario nuevo de rango administrador. De esta manera puede hacerse con el control total del sitio web.
Como primera medida, es importante quitar esa configuración que acepta comentarios automáticamente a los usuarios que ya tienen uno publicado.
Después, instalar la actualización de wordpress 4.2.1; para la que es importante realizar, previamente, un backup de los archivos y la base de datos de la página web. Sobre todo si se actualiza directamente desde versiones a la 4.0.
En fin, que una web no es sólo instalar el CMS, poner cosas y ya está.
Vaya año que lleva WordPress en temas de sguridad, sufriendo constantes ataques y numerosos intentos para aprovechar las trampas de seguridad que muchos plugin y temas dejan a los desaprensivos.