WordPress, a lo largo de últimos años desde su creación en 2003, ha sido y sigue siendo el sitio web por antonomasia para la creación de páginas web. Sin embargo, recientemente ha aparecido un peligro en WordPress que ha puesto en peligro la herramienta.
El peligro de utilizar WordPress
La ventaja que tiene este sitio web es que es fácil utilizarlo y es de código abierto. Lo que permite que, cualquier persona con conocimientos en programación e informática, pueda modificar el código fuente para arreglar vulnerabilidades. Pero esto no significa que esté exenta, dentro de WordPress, de que haya vulnerabilidades graves que permitan “contaminar” este código fuente.
Cómo y cuándo empezó todo
El pasado 15 de abril, el equipo de Wordfence, el plugin de seguridad de WordPress que incluye muchas funciones para proteger las páginas web, ha hallado varias vulnerabilidades en más de 15 complementos de Elementor.
Este es el popular plugin y plataforma de creación de páginas web de WordPress, que están instalados en más de 3.5 millones de páginas de WordPress.
El modus operandi
Se han encontrado más de 100 vulnerabilidades. Mediante el “cross-site scripting” (secuencias de comandos en sitios cruzados), se ejecutan permitiendo que cualquier usuario capaz de acceder a la plataforma, pueda agregar código JavaScript y ejecutándose cuando un usuario accede. También cuando edita o muestra una vista preliminar de la publicación y se podría usar para tomar el control de la web en el caso de que el administrador sea la víctima.
El ciberatacante genera un código vicioso
Los complementos añaden funciones que permiten a los usuarios seleccionar una etiqueta HTML de un menú desplegable para cambiar el título u otro formato de texto. Pero no se ejecutan al lado del servidor. Lo que un ciberatacante podría agregar un nuevo elemento. Así cambiar la etiqueta “H5” por “script” produciéndose un código malicioso en un sitio vulnerable.
¿Cuáles son los complementos más vulnerables?
Wordfence, en una publicación, ha enumerado todos y cada uno de los complementos. Aquí es donde han encontrado fallos. Y que, hoy en día, han sido parcheados y otros en los que no se han podido corregir sus vulnerabilidades, se ha intentado contactar con sus desarrolladores o se ha informado al propio WordPress para intentar solucionarlos.
La solución
Los propietarios de las páginas web en WordPress que utilicen Elementor, cuenten con muchos usuarios y tengan plugins sin parchear, se recomienda que actualicen ya estos plugins. Aunque algunos complementos no estén en la lista de afectados. Y que contacten con el desarrollador o autor/es para preguntar si está parcheado frente a este tipo de vulnerabilidades.
Sergio Requejo
