En este caso vamos a hablar del mayor CMS que existe hoy en día para crear webs, tiendas, blogs, etc que es WordPress, un software Open Source y multiplataforma que publico hace unas horas su segunda versión de mantenimiento 4.8.2 con especial hincapié en prevención y mejoras de seguridad, siendo muchas de estas externas al propio CMS y previniendo posibles actualizaciones de plugins o temas mal creados o con agujeros.

Recordemos que es el CMS más usado y que en el 99% de los casos, siempre que aparece una noticia negativa hacia este por vulnerabilidad o problemas se debe a sitios que no actualizan su software, con lo cual quedan desfasados y vulnerables ante posibles ataques, por una obviedad tan simple como mantenerte actualizado, sobre todo por que no cuesta nada hacerlo 😉

en este caso utilizamos como fuente al propio WordPress.org sección española, donde nos hablan de las nuevas características y mejoras acometidas en esta nueva versión de mantenimiento de WordPress:

  1. $wpdb->prepare() puede crear peticiones inseguras e inesperadas que lleven a una inyección SQL (SQLi). El núcleo de WordPress no es directamente vulnerable a este problema pero hemos añadido un refuerzo para evitar que plugins y temas provoquen accidentalmente una vulnerabilidad. Informado por Slavco
  2. Se ha descubierto una vulnerabilidad de cross-site scripting (XSS) en oEmbed discovery. Informado por xknown del equipo de seguridad de WordPress.
  3. Se ha descubierto una vulnerabilidad cross-site scripting (XSS) en el editor visual. Informado por Rodolfo Assis (@brutelogic) de Sucuri Security.
  4. Se ha descubierto una vulnerabilidad de ruta transversal en el código de descompresión de archivos. Informado por Alex Chapman (noxrnet).
  5. Se ha descubierto una vulnerabilidad cross-site scripting (XSS) en el editor de plugins. Informado por 陈瑞琦 (Chen Ruiqi).
  6. Se ha descubierto una redirección abierta en las pantallas de edición de usuarios y términos. Informado por Yasin Soliman (ysx).
  7. Se ha descubierto una vulnerabilidad de ruta transversal en el personalizador. Informado por Weston Ruter del equipo de seguridad de WordPress.
  8. Se ha descubierto una vulnerabilidad cross-site scripting (XSS) en los nombres de plantilla. Informado por Luka (sikic).
  9. Se ha descubierto una vulnerabilidad cross-site scripting (XSS) en la ventana emergente de añadir enlaces. Informado por Anas Roubi (qasuar).

Así que si usas WordPress ya están tardando en actualizar, y si eres algo despistadillo acuérdate que existe la opción de actualizaciones automáticas (cosa que surgió para prevenir lo que anteriormente comente)

Deja una respuesta

avatar
  Suscribirse  
Notificarme las