Raul Narros WordPress

El plugin de WordPress Display Widgets, uno de los más populares de esta plataforma, fue eliminado por Automatic debido a que las recientes actualizaciones del complemento contienen una puerta trasera.  El 8 de septiembre, el plugin fue eliminado definitivamente del repositorio de WordPress.

Display Widgets es un plugin que permite al webmaster decidir cuáles widgets de WordPress deben mostrarse, cuándo y en qué parte de la página. Gracias al acceso no autorizado que proporcionaba, el pirata informático podía crear páginas web con enlaces Spam que permanecían ocultas para todos los usuarios administradores del sitio; estas solo eran visibles para los visitantes. Las 200.000 instalaciones que mostraba en la página del repositorio de WordPress no indican cuántos de esos usuarios instalaron una versión con esta vulnerabilidad.

Desarrollado originalmente por la programadora Stephanie Wells, de la firma Strategy11.com, este complemento fue vendido en mayo de este año y fue actualizado por un nuevo dueño de identidad desconocida. Con esa versión del programa comenzaron los problemas.

La versión 2.6.0 comenzó a incluir código que permitía insertar Spam en el sitio del usuario. El plugin fue reportado por diferentes webmasters que instalaron el complemento en sus webs y fue bloqueado por los administradores del repositorio WordPress.

Después de ser advertido del bloqueo, el nuevo desarrollador del plugin actualizó el programa y fue desbloqueado con éxito. El proceso se repitió en varias ocasiones desde el mes de junio hasta inicios de septiembre de 2017: nuevos reportes del problema llevaron a que el complemento fuera bloqueado unas 4 veces por crear páginas con Spam hasta ser eliminado definitivamente del repositorio de plugins y el desarrollador bloqueado completamente.

Este complemento fue actualizado nuevamente por el equipo de WordPress.org para que los administradores que lo hayan instalado puedan revertir el software a una versión previa, preparada por el desarrollador anterior, que no sufre de ninguna vulnerabilidad. La página en el repositorio de plugins de WordPress ya no existe, pero se podrá realizar la actualización desde el backend de las webs que tiene instalado el programa. Sin embargo, Display Widgets no será mantenido, por lo que se recomienda a sus usuarios actuales reemplazar el complemento más temprano que tarde.

Fecha: jueves 14, septiembre 2017
Categoria: Wordpress