Si utilizas en tu WordPress la extensión WP Super Cache o W3 Total Cache deberías actualizarlas inmediatamente pues las últimas versiones publicadas solucionan una importante…
Gravity Forms Support Engineer at Rocketgenius
Tag: seguridad
Mucho se está hablando estos días de una ola de ataques por fuerza bruta a instalaciones de WordPress en todo el mundo. Y muchas veces se está exagerando o distorsionando la realidad de este ataque. ¿Deberías preocuparte de que tu WordPress se vea afectado?
Si cuando instalaste (o te instalaron) WordPress lo hiciste siguiendo unas mínimas recomendaciones de seguridad para WordPress, no tienes por qué preocuparte.
Es muy simple. Este ataque masivo, como casi todos los exploits “populares” para WordPress, parte de la base de que eres tan incauto que sigues usando el usuario administrador que duramente mucho tiempo fue el predeterminado en WordPress, el famoso usuario admin.
Aunque siempre se pudo cambiar o eliminar, casi nadie lo hacía. Y fruto de esta mala instalación de WordPress nacen infinidad de explotación de vulnerabilidades. Si tú tampoco lo hiciste, deberías dejar de leer este artículo y hacerlo de inmediato pues tu WordPress está en riesgo. Con esto no quiero decir que es seguro que te lo pueden reventar, pero lo que sí es seguro es que serás objetivo de todo tipo de scripts que parten de la base de que tu usuario administrador se llama admin.
Si usas la extensión de WordPress Social Media Widget, una extensión usanda para colocar un widget con iconos a tus perfiles en las redes sociales (para más certeza la carpeta es ‘social-media-widget’), se recomienda que lo desinstales inmediatamente. Al menos si lo tienes en su versión 4.x
El motivo no es otro que se ha conocido a través del blog de sucuri.net esta conocida extensión ha sido infectada por spammers, al menos en su versión 4.0. Y por este mismo motivo ha sido eliminada del repositorio oficial de WordPress, y se recomienda que la elimines de tu instalación y la reemplazes por otra similar.
Al parecer en una de las recientes actualizaciones de esta extensión en el repositorio de WordPress asignado al mismo, se insertó el código malicioso con capacidad de insertar spam en tu web sin que te percates de ello. Sin conocerse, por el momento, como ha podido ocurrir esto ya que a priori sólo cabe la posibilidad de que o bien haya sido el propio autor de la extensión o sus datos de acceso hayan sido obtenidos por un tercero.
Como era de esperar, después de escaso mes y medio del lanzamiento de WordPress 3.5 tenemos ya listo para instalar WordPress 3.5.1, que como es habitual incluye pequeñas correcciones a su predecesor, y además en este caso se solucionan algunas vulnerabilidades que afectan a todas las versiones anteriores de WordPress.
En cuanto a las pequeñas correcciones, se tratan de 37 tickets resueltos. Como evitar que el editor TinyMCE elimine etiquetas HTML de enlace en determinados casos, o que al publicarse un post programado se elimine código de contenidos incrustados en el post (como un vídeo de Youtube, por ejemplo).
También un fallo que impedía la actualización directa a WordPress 3.5 desde la versión 2.7. Y en general la mayoría son correcciones menores relacionadas directa o indirectamente con la nueva galería multimedia incorporada en la versión 3.5 de WordPress.
Hace escasos minutos se ha lanzado WordPress 3.4.2, una actualización marcada como de mantenimiento y seguridad en la que se resuelven 21 pequeños problemas. Entre…