WordPress publica parches para corregir ataques de cross-site scripting

Wordpress publica parches para corregir ataques de cross-site scripting

WordPress publicó la versión 4.8.2 de su sistema de administración de contenidos para eliminar 9 problemas de seguridad, 5 de ellos relacionados con vulnerabilidades ante ataques de cross-site scripting (XSS). Por medio de ataques de este tipo, un pirata informático puede inyectar código en la web para atacarla o atacar al público visitante.

La vulnerabilidad más importante se localiza en la función $wpdb->prepare(). Si esta se deja sin la instalación del parche, un pirata informático podría manipular o corromper la base de datos. Automattic, la empresa que desarrolla WordPress, reportó que la plataforma no es directamente vulnerable a este problema, pero el desarrollador determinó que era mejor reforzar esta área para evitar que plugins y temas gráficos produzcan una vulnerabilidad por accidente.

Por otro lado, las vulnerabilidades relacionadas con los ataques de cross-site scripting se encuentran en el editor Visual, el editor de plugin, los nombres de temas gráficos y el formato 0Embed, un formato que permite a WordPress incrustar una representación gráfica de una URL en una web.

Las otras vulnerabilidades permitían crackear el fichero que almacena las contraseñas de acceso al backend de la web. Todas las versiones de WordPress anteriores se encuentran afectadas por estas vullnerabilidades y deben ser actualizadas, según Automattic.

La popularidad de WordPress la hace un blanco de ciberataques de todo tipo. Según cifras de la investigadora de mercado W3Techs, esta plataforma es utilizada aproximadamente por el 28,7%  de las webs activas en Internet. Recientemente, sitios web en WordPress fueron víctimas de un ataque de spam mediante un plugin malicioso, Display Widgets, que, después de un proceso de varios meses, fue completamente bloqueado por Automattic.