WordPress falla en seguridad en enero – actualiza tu WordPress ya
Una falla de seguridad en el software de blogs de WordPress ha permitido a los hackers atacar y destruir decenas de miles de sitios. Hay estimaciones que sugieren que más de 1,5 millones de páginas en los blogs han sido tocadas.
Este post es una traducción (casi) literal del artículo recientemente aparecido en la BBC. En toda traducción hay un puntito de subjetividad que imprime el traductor, así que tenedlo en cuenta. Soy humana.
También añadir que por estas cosas es tan importante actualizar WordPress, como ya menciono en muchos de mis artículos y en particular Actualizar WordPress sin miedo – Introducción a las actualizaciones de WordPress.
La empresa de seguridad que encontró la vulnerabilidad, dijo que algunos hackers estaban tratando de usarlo para hacerse cargo de los sitios, no solo de fastidiar las páginas de los sitios web.
WordPress instó a los propietarios de sitios a actualizar el software para evitar ser víctima. Lo que no dijo es que había sido identificada una brecha en la seguridad (esta última frase es mía).
La vulnerabilidad se encuentra en un add-on para el software de blogs WordPress que fue introducido en versiones lanzadas a finales de 2016.
La empresa de seguridad Sucuri encontró el error “severo” e informó a WordPress sobre ello el 20 de enero.
En un blogpost, WordPress dijo que retrasó la puesta en público del fallo para poder instar a las empresas de hosting a actualizar su software a una versión fija.
La versión parcheada de WordPress fue lanzada oficialmente el 26 de enero. Quienes han realizado la actualización y los que tienen su sitio web WordPress configurado para aplicar actualizaciones automáticamente están fuera de peligro.
No así cientos de miles de blogs y webs que todavía no han llevado a cabo dicha actualización, quedando expuestos a ataques.
La firma de seguridad WordFence dijo que había visto pruebas de que 20 grupos de hackers estaban tratando de interferir con sitios vulnerables. Se cree que unos 40.000 blogs han sido impactados.
La vulnerabilidad había provocado un “frenesí de alimentación” entre grupos de hackers, dijo el fundador de WordFence, Mark Maunder, al sitio de noticias de tecnología de Bleeping Computer. (Con frenesí de alimentación quieren decir básicamente que se empezaron a pasar la información del fallo de WordPress entre ellos de forma frenética, que fue un festín para ellos, vamos).
“Durante las últimas 48 horas hemos visto más de 800.000 ataques explotando esta vulnerabilidad específica en los sitios de WordPress que monitorizamos”, agregó Maunder.
Sucuri dijo que algunos grupos de hackers habían pasado de la intervención en las páginas afectadas, a los intentos de usar el fallo de seguridad para secuestrar sitios y utilizarlos para sus propios fines.
“Los atacantes están empezando a pensar en formas de monetizar esta vulnerabilidad”, escribió el fundador de Sucuri, Daniel Cid. “intervenir páginas o hackear sitios web enteros en realidad no ofrece retornos económicos, por lo que probablemente morirá pronto.”
Los hackers estaban interesados en utilizar los sitios vulnerables como proxies para campañas de spam o malware, dijo.
Esto lo añado yo, de nuevo.
No es lo habitual que a WordPress le ocurran estas cosas, pero aun así, como decía arriba, hay que hacer las actualizaciones siempre.
La entrada es un artículo original de Diseño Web WordPress.
Fuente: este post proviene de este blog, donde puedes consultar el contenido original.
¿Vulnera este post tus derechos? Pincha aquí.
Creado:
