WordPress anunció múltiples vulnerabilidades que se encontraban en todas las versiones de desde la 3.7, la cual fue lanzada en octubre 24 del 2013.
Con ayuda de la comunidad y expertos, estos inconvenientes fueron solucionados en la versión 6.0.3.
Tabla de contenidos
Vulnerabilidades parcheadas en la versión 6.0.3
De acuerdo a lo anunciado por WordPress, esta es la lista de vulnerabilidades corregidas en esta actualización de seguridad.
- XSS almacenado mediante wp-mail.php (publicar por correo electrónico)
- Redirección abierta en `wp_nonce_ays`
- Dirección de correo electrónico del remitente expuesto en wp-mail.php
- Biblioteca de medios – XSS reflejo a través de SQLi
- CSRF en wp-trackback.php
- XSS almacenado a través del personalizador
- Instancias compartidas inversas introducidas en 50790
- XSS almacenado en el núcleo de WordPress a través de la edición de contenidos
- Exposición de datos a través de la variable términos/etiquetas REST
- Filtración de contenido de correos electrónicos multiparte
- Inyección SQL debida a un saneado inadecuado en `WP_Date_Query`
- Widget de RSS: Problema de XSS almacenado
- XSS almacenado en el bloque de búsqueda
- Bloque de imagen destacada: problema de XSS
- Bloque de RSS: problema de XSS almacenado
- XSS en bloque de widget
¿Qué debo hacer?
Lo primero que debes hacer es verificar que versión de WordPress tiene tu proyecto web, por eso te enseñaremos dos formas de validar esta información:
Revisar la versión desde el panel de administración
Para esto solo debemos acceder al panel de administración de nuestro proyecto web, ingresando desde www.sudominio.com/wp-admin recuerde cambiar «sudominio.com» por el nombre de su dominio. Luego debe ingresar sus datos de acceso, en caso de no contar con los datos puede solicitarlos al correo electrónico de su usuario.
En caso de que no tenga acceso a la cuenta de correo su usuario, recomendamos ver el siguiente artículo: ¿Cómo recuperar acceso a WordPress sin correo electrónico?
Ya con acceso ubicamos el ratón sobre la opción «Escritorio» que se encuentra en el menú izquierdo y luego dar clic en «Actualizaciones». En este apartado te mostrará la versión actual de tu proyecto, cómo también todas las actualizaciones pendientes de tus plugins y plantillas.
Revisar la versión desde el administrador de archivos
En este caso utilizaremos los archivos de nuestro proyecto para detectar la versión que estamos utilizando. Para esto debemos ingresar a los archivos que se encuentran en el Hosting, en caso de usar cPanel ingresamos al «administrador de archivos» en la carpeta «public_html». Luego buscamos el siguiente archivo: /wp-includes/version.php luego buscamos la variable, $wp_version esta muestra la versión actual del core de WordPress.
Si la versión de tu proyecto se encuentra entre las versiones 3.7 – 6.0.2 esto quiere decir que tu sitio web es vulnerable y debes realizar una actualización de forma inmediata. Esto debido a que las vulnerabilidades expuestas anteriormente dejan tu sitio web demasiado expuesto a ciberataques.
¿Por qué debes mantener tu WordPress actualizado?
Los desarrolladores de WordPress trabajan arduamente en hacer mejoras, tanto del funcionamiento cómo de seguridad, para que tu sitio web tenga un rendimiento óptimo y sea más seguro. Si eres un poco curioso, puedes ver todas las versiones de WordPress si das clic en changelog podrás observar todas las mejoras que se han realizado en esa versión.