WordPress 4.7.1 una actualización de seguridad anunciada
WordPress 4.7.1 se ha hecho esperar y tiene sus motivos. Pese a que las vulnerabilidades de PhpMailer y el acceso de REST API al listado de usuarios eran conocidas semanas atrás, esta distro de WordPress corrige 8 vulnerabilidades en total y hasta 62 bugs de su predecesora la 4.7.
Esta es una actualización automática, por lo que lo más seguro es que si no tienes desactivadas las actualizaciones, está se haya realizado y te haya notificado mediante email, si no tienes las actualizaciones automáticas, te recomendamos que hagas la actualización manualmente desde la administración de tu WordPress o si eres cliente nuestro desde Softaculous haciendo un backup previo.
Semanas antes ha habido bastantes polémicas con la seguridad de la versión 4.7, una de ellas era el poder listar vía navegador todos los usuarios por el acceso de la REST API, el equipo de Wordfence destapó esta vulnerabilidad ofreciendo activar el bloqueo mediante las opciones del propio plugin, los usuarios de Ninjafirewall ya disponían la opción de bloquear las peticiones a la REST API en las opciones del plugin por lo que había varias formas de protegerse, bien mediante plugins o directamente con código.
Poco después llego la vulnerabilidad de PhpMailer, no era un vulnerabilidad propia de WordPress pero si de la librería PhpMailer que utilizaba, el equipo de PhpMailer ha tenido bastante trabajo con este asunto, ya que llegó a lanzar hasta 3 versiones en pocos días.
La vulnerabilidad de PhpMailer no solo ha afectado al core de WordPress, también a Joomla, Drupal, Prestashop etc ya que es una de las librerías mas utilizadas para el envío de emails. En nuestro caso lanzamos un Parche de seguridad para que nuestros clientes se vieran protegidos de esta vulnerabilidad gracias a nuestro sistema de seguridad Patchman incluido en todos nuestros Planes de Hosting para WordPress.
Desde el grupo de Facebook Seguridad WordPress, al que te puedes unir cuando quieras, hemos estado haciendo un seguimiento de esta actualización compartiendo con todos los avances de esta esperada versión de seguridad.
Recomendamos a todos los usuarios de WordPress que actualicen a esta última versión de seguridad, igualmente a los usuarios de otros CMS como Joomla, Drupal, Mambo (si, si, ahí sigue) y resto de cms, foros, tiendas online que actualicen a las últimas versiones para asegurar sus instalaciones.
Mas información en el blog oficial de WordPress