Skip to content

Tag: seguridad

Vulnerabilidad descubierta en el plugin WPtouch

WPtouch es un plugin de WordPress que se hizo bastante popular hace unos años al ser un referente casi único para incorporar de forma fácil una versión móvil de sitios hechos con WordPress.

Con una versión gratuita que cubría la mayoría de necesidades y otra de pago ampliando funciones y añadiendo nuevos temas, fue adoptado por muchísimas instalaciones de WordPress hasta el punto de que a día de supera los cinco millones y medio de descargas de su versión gratuita.

Nueva vulnerabilidad de Timthumb. ¿Preocupante?

Se ha descubierto una nueva vulnerabilidad en el, tristemente conocido, script para generar miniaturas Timthumb. Que por cierto, también afecta a WordThumb, que es el script original que luego se terminó convirtiendo en Timthumb. Y aunque no está tan extendido, se puede encontrar también en algunos themes.

¿Deberías preocuparte?

Si bien se trata de una vulnerabilidad importante, ya que permite la ejecución de un script alojado en un sitio externo (ataque XSS), pero sólo es posible si tienes la función WebShot activada. Y esta viene desactivada de manera predeterminada, es decir, salvo que la hayas activado a propósito no eres vulnerable a este ataque aunque uses Timthumb en tu web.

WordPress 3.8.2, importante actualización de seguridad

Se ha publicado WordPress 3.8.2. Una importante actualización de seguridad que corrige fallos de este tipo que afectan a todas las versiones anteriores de WordPress.

Por tanto se recomienda encarecidamente actualizar inmediatamente a WordPress 3.8.2.

El imperio ataca a WordPress
Foto por Kristina Alexanderson

La corrección principal elimina una vulnerabilidad mediante la cual un atacante se puede abrir paso para acceder a tu web mediante la creación de cookies de autenticación.

Logo WordPressLogo WordPressLogo WordPressAdemás también se corrige otro fallo que permitía a un usuario con el rol “Colaborador” publicar entradas (sin autorización previa, algo que no le está permitido a este rol).

WordPress 3.6.1

Acaba de publicarse hace menos de una hora WordPress 3.6.1, calificado como versión de mantenimiento y seguridad.

El imperio ataca a WordPress
Foto por Kristina Alexanderson

Es decir estamos hablando de la clásica versión “x.y.1” que suele preceder a los grandes lanzamientos, resolviendo pequeños fallos detectados en estos. Y en este caso, además, esta versión incluye correcciones de fallos de seguridad (que afectan a todas las versiones anteriores) y por lo tanto se aconseja la actualización inmediata.