Novedades de la semana: WordPress
El día 27 de mayo WordPress celebra dos décadas de existencia. Allá en 2003, Matt Mullenweg y Mike Little lanzaron la primera versión de WordPress, como una bifurcación del ya desaparecido b2/cafelog.
En aquel entonces, la creación y gestión de un blog o sitio web requería de habilidades técnicas y un conocimiento profundo de la codificación. WordPress vino a cambiar esto, con su objetivo principal de hacer que la publicación en la web fuera accesible para todos, independientemente de su nivel de habilidad técnica.
Durante los primeros años, WordPress se centró en ser una plataforma sólida para blogs. Con el lanzamiento de WordPress 1.5 en 2005, se introdujo el sistema de temas, que permitía a los usuarios cambiar fácilmente la apariencia de su sitio sin tener que alterar el código. Esta versión también introdujo las páginas estáticas, lo que permitió a WordPress comenzar a evolucionar más allá de su foco original de blogs.
El verdadero punto de inflexión para WordPress llegó con la versión 3.0 en 2010. Esta versión introdujo las funcionalidades de menús personalizados y tipos de publicaciones personalizadas, lo que abrió un nuevo mundo de posibilidades, incluyendo la creación de sitios web de comercio electrónico, revistas en línea, y más.
Hoy en día, WordPress es mucho más que una simple plataforma de blogs. Es una herramienta de creación de sitios web completa y versátil que alimenta más del 60 % de todos los sitios web en la web, desde blogs personales hasta sitios de noticias multinacionales y ecommerce.
El desarrollo de WordPress ha seguido avanzando, con actualizaciones regulares que introducen nuevas funcionalidades y mejoras. El lanzamiento del editor Gutenberg en 2018 marcó otra gran evolución, facilitando la creación de contenido rico con bloques de contenido.
En el 20.º aniversario de WordPress, celebramos la increíble comunidad de código abierto que ha hecho posible este sistema de gestión de contenido y recordamos a todos que una parte crucial de la participación en esta comunidad es mantener la seguridad de nuestros sitios web actualizados.
El equipo de WordPress se complace en anunciar la disponibilidad inmediata de la versión 6.2.2. Esta es una versión menor que resuelve 1 bug y 1 problema de seguridad. Dada su naturaleza como lanzamiento de seguridad, se recomienda encarecidamente a los usuarios que actualicen sus sitios de inmediato. Todas las versiones de WordPress a partir de la 5.9 también han sido actualizadas.
La versión 6.2.2 de WordPress es una respuesta rápida a una regresión presente en la versión 6.2.1, además de parchear una vulnerabilidad que se trató en la misma versión (un problema con los temas de bloques que interpretaban shortcodes en los datos generados por los usuarios). Este problema, aunque ya había sido parcheado en la versión 6.2.1, necesitaba un endurecimiento adicional en la versión 6.2.2.
Recordamos a todos los usuarios de WordPress la importancia de mantener sus sitios actualizados para garantizar la seguridad y estabilidad de sus proyectos en línea. ¡Actualiza hoy mismo y protege tu WordPress!
El 25 de abril de 2023, se identificó una vulnerabilidad de Cross-Site Scripting (XSS) en el plugin Download Manager de W3 Eden. Este plugin está instalado activamente en más de 100.000 sitios web de WordPress, por lo que la vulnerabilidad representa una amenaza considerable.
Una vulnerabilidad de Cross-Site Scripting (XSS) es una amenaza seria para la seguridad de un sitio web, ya que permite a los atacantes inyectar código malicioso en las páginas web, que luego se ejecutan en el navegador del usuario. Esto puede llevar a una serie de problemas de seguridad, incluyendo el robo de información personal, la defacement de sitios web y el secuestro de cuentas de usuario.
En este caso concreto, dicha vulnerabilidad permitiría a los actores de amenazas con permisos de nivel de colaborador o superior inyectar scripts maliciosos en páginas que usan el shortcode del plugin. El equipo de desarrollo de W3 Eden publicó una actualización para corregir esta vulnerabilidad el 1 de mayo de 2023, por lo que recomendamos a todos los usuarios que se aseguren de actualizar a la versión 3.2.71 del Download Manager tan pronto como sea posible para protegerse contra posibles ataques.
Aunque esta vulnerabilidad específica requería que un atacante tuviera permisos de colaborador o superior, sigue siendo un recordatorio de la importancia de tener una política de permisos adecuada en su sitio web de WordPress. Además, enfatiza la necesidad de mantener los plugins actualizados para asegurar que cualquier vulnerabilidad conocida sea parcheada.
La siguiente vulnerabilidad de Cross-Site Scripting (XSS) que queremos discutir involucra al plugin Beautiful Cookie Consent Banner, que se encuentra instalado en más de 40.000 sitios. Esta vulnerabilidad en concreto permite a los atacantes no autenticados agregar JavaScript malicioso a un sitio web, potencialmente permitiendo la creación de cuentas de administrador maliciosas.
El hecho de que los atacantes estén utilizando esta vulnerabilidad para intentar crear cuentas de administrador en sitios vulnerables es particularmente preocupante. Un atacante con una cuenta de administrador puede hacer prácticamente cualquier cosa en un sitio de WordPress, desde cambiar el contenido hasta instalar plugins maliciosos. Esto subraya la importancia de mantener su sitio protegido y actualizado.
Aunque dicha vulnerabilidad se encuentra corregida en la versión 2.10.2, se ha detectado un importante aumento de ataques dirigidos a los usuarios que aún no han actualizado. Desde el pasado día 23 de mayo, se han registrado cerca de 3 millones de ataques a más de 1 millón y medio de sitios desde alrededor de 14.000 direcciones IP diferentes.
Es por ese motivo que es fundamental que los usuarios de WordPress se aseguren de tener la última versión del plugin, que es 2.13.0 al momento de escribir esto, para protegerse contra futuros ataques.
Estas recientes vulnerabilidades subrayan la importancia de mantener actualizados sus plugins de WordPress. Felicitamos a los equipos de desarrollo por su rápida respuesta en proporcionar las correcciones necesarias, y agradecemos a Wordfence por su constante vigilancia y protección contra estas amenazas.