Actualización urgente para WordPress. ¡Parchea ya!

Siendo WordPress uno de los gestores de contenidos más usados a la hora de generar páginas web de forma rápida y relativamente sencilla no es de extrañar que cada vez que aparece una vulnerabilidad grave que afecta a esta plataforma se enciendan todas las alarmas, puesto que podría ser utilizada por los delincuentes para atacar a millones de webs en todo el mundo. Esta es exactamente la situación en la que nos encontramos ahora mismo y por lo que se recomiendoa a todos los administradores de sitios con WordPress actualizar lo antes posible

Una vulnerabilidad que podría haberse evitado

Esta alerta viene dada gracias a la investigación de Anthony Ferrara, que descubrió recientemente un grave fallo de seguridad que permitía la ejecución de inyecciones SQL. Paradójicamente, una actualización previa de WordPress (4.8.2) se lanzó para solucionar esta vulnerabilidad pero, según el investigador no arregló la raíz del problema y además produjo fallos en muchos sitios webs.

Por este motivo se recomienda instalar urgentemente instalar la versión más reciente de WordPress (4.8.3) y así evitar que nuestras webs se vean comprometidas y usadas por los delincuentes para atacar a los visitantes. Llevamos años viendo como se utilizan vulnerabilidades de este tipo para colocar malware en webs legítimas, malware que va desde los troyanos bancarios hasta el minado de criptodivisas, pasando por el ransomware.

El principal problema, según el investigador, es que, a pesar de que el equipo de seguridad de WordPress fue informado de esta vulnerabilidad justo el día después de lanzar la versión anterior, han tenido que pasar varias semanas hasta que el problema se solucionase, dejando a millones de sitios webs vulnerables.

Solucionando el problema

Si somos administradores de un sitio que utiliza WordPress como gestor de contenidos podemos actualizar a la última versión de forma sencilla yendo al apartado de Actualizaciones de nuestro panel de control.

Además, existe la posibilidad de configurar actualizaciones automáticas para que WordPress se actualice tan pronto como aparezca una nueva versión e incluso algunos complementos de seguridad como iThemes Security permiten realizar esta actualización para evitar males mayores.

Sin embargo, si bien estas actualizaciones automáticas pueden estar bien para usuarios que tiene un blog personal o incluso para pequeñas y medianas empresas, hay también mucho temor a que una actualización cause problemas con todo el contenido y complementos ya instalados, algo que produciría una mala experiencia a los usuarios que visitasen la web o que incluso podría hacer que esta estuviese caída durante un tiempo.

Es frecuente ver como algunos administradores prefieren probar primero estas actualizaciones en un entorno controlado en sus servidores y aplicarlas solo cuando han comprobado que no causan ningún problema, de forma similar a como sucede con las actualizaciones de Windows. Sin embargo, cuando estas actualizaciones tardan demasiado tiempo en aplicarse es cuando pueden empezar los problemas de verdad.

Conclusión

La triste realidad es que existe un buen número de sitios web con WordPress que siguen utilizando versiones antiguas de este gestor de contenidos y es bastante frecuente ver como son utilizados para propagar malware de todo tipo, algo que solo puede solucionarse tomándose en serio la seguridad y actualización de este tipo de webs.

Josep Albors