Este plugin es vulnerable y debe ser actualizado

Cómo encontrar y explotar las vulnerabilidades de WordPress

El segundo problema tiene que ver con un clásico ataque a la cadena de suministro, en el que los ciberdelincuentes comprometieron 40 temas y 53 plugins pertenecientes a AccessPress Themes para inyectarles un webshell. De este modo, cualquier sitio web que haya instalado uno de los complementos comprometidos también está abierto al RCE y a la toma de control total.

AdSanity es un ligero plugin de rotación de anuncios para WordPress. Permite al usuario crear y gestionar los anuncios que se muestran en un sitio web, así como mantener las estadísticas de visitas y clics, todo ello a través de un panel de control centralizado.

El fallo, que tiene una preocupante calificación de 9,9 sobre 10 en la escala de gravedad de la vulnerabilidad CVSS, “podría permitir a un usuario con pocos privilegios realizar una carga arbitraria de archivos, la ejecución remota de código y ataques de scripting entre sitios almacenados”, según los investigadores de Ninja Technologies Network.

El problema (no se asignó ningún CVE) surge gracias a un control de acceso roto, explicaron en un escrito del martes. Cuando los usuarios colocan un anuncio en un sitio web, cargan un archivo .ZIP que contiene el material. Ese proceso se gestiona dentro del script “adsanity/views/html5-upload.php”, utilizando la función ajax_upload.

Este plugin vulnerable es demasiado fácil de hackear: ¿Qué es lo siguiente?

La página de componentes le permite ver un resumen rápido de todos los plugins y temas obsoletos y vulnerables en todos sus sitios. Le dará una visión completa de todos los componentes que tiene en su sitio.

Lee más  Blogger com en español

La página de componentes le dirá cuántos programas diferentes tiene instalados en sus sitios, cuáles están obsoletos y cuáles son vulnerables.  También verá cuántos de los plugins o temas instalados están obsoletos o son vulnerables.

Una vez que haya entrado en el portal, verá un nuevo elemento del menú llamado “Componentes”. Puede verlo en el menú de la izquierda. La página de componentes contiene varias pestañas que se describen a continuación. Al hacer clic en esta pestaña, se accede por defecto a la pestaña de visión general de esta página.

Registramos todas las acciones de actualización fallidas y exitosas para sus propios registros y para determinar por qué falló una actualización. En caso de que una actualización falle, esto también mostrará un error más detallado de por qué falló la ejecución de la actualización.

Para realizar la actualización automática de WordPress sólo en plugins vulnerables o en el software instalado en sus sitios web, debe navegar a la página de configuración de actualización automática. Esto le permite ver la configuración de auto-actualización actual de sus sitios de WordPress con la capacidad de actualizarlos en todos los sitios individualmente o globalmente.

3

Soy consciente de que puedo añadir sitios web individuales haciendo clic en el icono de la barra de direcciones y diciéndole que cargue siempre los plugins de ese sitio en particular, sin embargo, para el proyecto particular para el que estoy configurando Firefox esto no es, por desgracia, una opción – si no puedo desactivar esto tendré que buscar otras opciones del navegador, lo que sería un dolor increíble, ya que ahora mismo la configuración está perfeccionada menos este punto.

Lee más  ¿Cómo comprar un dominio en Argentina?

He mirado en la página about:permissions y la única opción que hay para los plugins es “Permitir” o “Preguntar siempre”. Lo tengo configurado para permitir, pero está claro que la advertencia anterior no está influenciada por esto.

Soy consciente de que puedo añadir sitios web individuales haciendo clic en el icono de la barra de direcciones y diciéndole que cargue siempre los plugins de ese sitio en particular, sin embargo, para el proyecto particular para el que estoy configurando Firefox esto no es, por desgracia, una opción – si no puedo desactivar esta opción tendré que buscar otras opciones del navegador, lo que sería un dolor increíble, ya que ahora mismo la configuración es perfecta, menos este punto.

4

La cita a la que se hace referencia arriba se atribuye a un artículo de Arstechnica (se abre en una nueva ventana), una revista tecnológica en línea muy respetada.  Habla de la vulnerabilidad recientemente descubierta y parcheada relacionada con los comentarios enviados por los usuarios en WordPress. El hecho de que exista esta vulnerabilidad ha hecho que muchas empresas se preocupen por la seguridad de su sitio web. Pero un análisis más profundo de la vulnerabilidad de seguridad revela que el exploit requiere un nivel de negligencia alucinante para que se produzca realmente.

Si el sitio no se administra activamente, el comentario nunca será aprobado y no ocurrirá nada malo. Si su administrador utiliza el sentido común y elimina el comentario de spam de aspecto sospechoso, entonces el comentario se elimina y no pasa nada malo. Si actualiza su sitio web con el nuevo parche, toda la vulnerabilidad se borra y no pasa nada malo. El único escenario en el que sucede algo malo es si el administrador del sitio web es negligente, no actualiza su instalación de WP, y aprueba a sabiendas un comentario de spam.

Lee más  Seo plugins for wordpress

Post Relacionados:

¿Qué es el alojamiento web compartido?
Como hacer una pagina web con wordpress
Duplicar hoja en word
Donde esta alojada una web
Hacer copia seguridad wordpress
Paginas para hacer un blog
Limpiar base de datos
¿Qué es un hosting y qué características tiene?
Ejemplo formulario de contacto
¿Qué es una web hosting?
Aplicaciones para hacer blogs
¿Qué son las ventajas?
Como se hace un blog
Que es un blog en internet
¿Cuál es el mejor hosting gratuito?
¿Dónde alojar tu blog?
Que se necesita para crear un blog
Partes de un blogs