WordPress Plugins – Urgente problema de seguridad XSS –

By | Abril 27, 2015
inyección-xss-wordpress

El asunto es que, desde hace un mes, muchos webmaster y propietarios de webs basadas en wordpress se encontraron con sus web hackeadas o suspendidas por sus proveedores de hosting. En los foros abundaban las preguntas y sobretodo cuestionamientos de por que si aun manteniendo todo actualizado, su web era hackeada.

La respuesta eran la clásicas, “manten actualizado tu wordpress” – “no utilices claves inseguras” – “manten respaldos”, etc. Lo extraño ocurría cuando muchas de las personas afectadas insistían en mantener sus wordpress al día. Hasta que se encontró algo tan grave como el caso de revolution slider de septiembre del 2014.

 

  • Tuvimos que soportar el grotesco problema de seguridad de revolution slider en septiembre
  • Luego bancarnos con el caso infinitewp-plugin catalogado como peligroso en diciembre
  • Por si fuera poco aparece el gran caso de SoakSoak a fines de diciembre.
  • y ahora en abril…..

 

Se encuentra grave vulnerabilidad en plugins de wordpress

Múltiples plugins de WordPress son vulnerables a Cross-site Scripting (XSS) debido al mal uso de las funciones add_query_arg () y remove_query_arg(). Estas son las funciones más utilizadas por los desarrolladores para modificar y agregar cadenas de consulta para las direcciones URL’s dentro de WordPress.

La Documentación Oficial de WordPress (Codex) para estas funciones no era muy clara y confundió a muchos desarrolladores de plugins para usarlos de una manera insegura. Los desarrolladores asumieron que estas funciones podrían escapar la entrada del usuario para ellos, cuando no es así. Este simple detalle, hizo que muchos de los plugins más populares fueran vulnerables a XSS. ¿Qué significa esto? Que su web tiene alto riesgo de ser HACKEADA.

Se realizó la publicación de los plugins afectados sin embargo los auditores de seguridad dijeron que podían haber más por que solo se auditaron los más populares. Si usted ha utilizado o está utilizando alguno de estos plugins de abajo su web estarácon un gran agujero de seguridad:

XSS Vulnerability WordPress Plugins

Comunicado del blog de seguridad blog.securi.net sobre el problema

envato_wordpress

Envato y su rred Themeforest anuncian a sus usuarios el problema de los plugins de wordpress

 

Según los auditores instan a los usuarios de wordpress a mantenerse actualizado ante los últimos parches de seguridad que publiquen los autores. No omitan las advertencias de actualización, es un error muy grande. Verifiquen que la actualización se refiera específicamente a este problema, no confunda una actualización antigua y se olvide del tema. Este es un problema reciente y los desarrolladores están parchando sus códigos en la medida que el tiempo les permita, por lo que pueden pasar semanas antes de que wordpress siga siendo seguro.

Otros consejos del equipo

  1. Parchar. Mantenga sus sitios actualizados,
  2. Restringir. Control de acceso restrictivo. Restrinja su directorio wp-admin a Direcciones IP puestas en una lista sólo blancas. Sólo dé el acceso admin a usuarios que realmente lo necesitan. No entre al sistema como admin a menos que realmente haga el trabajo de admin. Éstos son algunos ejemplos de políticas de control de acceso restrictivas que pueden minimizar el impacto de vulnerabilidades con su sitio web.
  3. Monitorear. Controle sus registros. Se le puede dar pistas sobre lo que está sucediendo en su sitio.
  4. Reducir su alcance. Utilice sólo los plugins (o temas) que su sitio realmente necesita para funcionar.
  5. Detectar. La prevención puede fallar, por lo que recomendamos analizar su sitio para los indicadores de compromiso o software obsoleto. Nuestro plugin y Sitecheck pueden hacerlo de forma gratuita para usted.
  6. Defensa en profundidad. Si usted tiene un sistema de prevención de instrucciones (IPS) o Web Application Firewall (WAF), pueden ayuda a bloquear los tipos más comunes de hazañas XSS. Usted puede incluso intentar nuestro propio CloudProxy para ayudarle con eso. Si te gusta la ruta de código abierto, puede intentar OSSEC, Snort y ModSecurity para ayudarle a lograr eso.

 

 Fuentes:

https://blog.sucuri.net/2015/04/security-advisory-xss-vulnerability-affecting-multiple-wordpress-plugins.html
http://wptavern.com/xss-vulnerability-affects-more-than-a-dozen-popular-wordpress-plugins
https://poststatus.com/coordinated-plugin-updates-to-address-security-vulnerability-in-many-popular-wordpress-plugins/
https://blog.sucuri.net/espanol/

Comments