Actualización de seguridad WordPress 4.9.7, cierra dos vulnerabilidades

WordPress 4.9.7

A esperas de WordPress 5.0 sale una actualización de seguridad, WordPress 4.9.7 y en breve tendremos WordPress 4.9.8 con la opción de instalarte el famoso Gutenberg, para que te se vaya haciendo el cuerpo.

Según el blog oficial de WordPress, la versión 4.9.7 soluciona un problema de seguridad en los medios y 17 fallos detectados desde un par de versiones atrás y el fallo de seguridad que afecta desde la versión 3.7.

Pero en realidad, esta versión de WordPress soluciona 2 fallos de seguridad, uno de ellos detectado y reportado hace 7 meses y que no se hace alusión alguna en esta actualización, pero que existe.

De hecho, esta segunda vulnerabilidad que consistía en un exploit igualmente en los medios, era necesario tener acceso como mínimo de autor para poder ejecutarla y borrar archivos como el htaccess y el wp-config entre otros.

Tanto Nintech, Wordfence y el propio descubridor de la vulnerabilidad, Ripstech, publicaron sus propios parches, este último, hace 7 meses, desde que lo reportó al equipo de seguridad de WordPress.

Nintech en su Ninjafirewall aplicó una regla de seguridad e igualmente Wordfence en sus respectivos firewalls.

Ninjafirewall ofreció la regla de seguridad desde su versión gratuita y Wordfence solo a sus suscriptores de pago, pasada un semana se aplica a todos.

Igualmente nosotros, desarrollamos nuestra propia regla de seguridad en nuestro WAF para proteger a todos nuestros clientes.

Os sigo contando, resulta, que Wordfence durante el desarrollo de su regla de seguridad, profundiza en el tema y descubre que no solo esa era la vulnerabilidad, sino que había una segunda, la incluye en su regla de seguridad de su firewall, se lo comunica a WordPress y guarda silencio, por el tema de la responsabilidad y porque ya había tenido varios rifi rafes por este asunto con los responsables de seguridad de WordPress.

En fin, que no es una, son dos vulnerabilidades, que esta es una actualización automática y que afecta desde la versión 3.7, que si tu WordPress no se ha actualizado, te recomendamos que actualices para poner tu sitio seguro.

Links a la cronología comentada:

  • Primera vulnerabilidad descubierta y reportada hace 7 meses en el blog Ripstech
  • Segunda vulnerabilidad reportada por Wordfence

¿Quieres un 15% de descuento para siempre en hosting WordPress y el dominio gratis por un año?

15% dto hosting WordPress