{"id":9307,"date":"2018-07-06T11:26:00","date_gmt":"2018-07-06T09:26:00","guid":{"rendered":"https:\/\/www.host-fusion.com\/blog\/?p=9307"},"modified":"2018-07-06T11:26:00","modified_gmt":"2018-07-06T09:26:00","slug":"actualizacion-de-seguridad-wordpress-4-9-7-cierra-dos-vulnerabilidades","status":"publish","type":"post","link":"https:\/\/www.host-fusion.com\/blog\/2018\/07\/06\/actualizacion-de-seguridad-wordpress-4-9-7-cierra-dos-vulnerabilidades\/","title":{"rendered":"Actualizaci\u00f3n de seguridad WordPress 4.9.7, cierra dos vulnerabilidades"},"content":{"rendered":"

\"WordPress<\/p>\n

A esperas de WordPress 5.0 sale una actualizaci\u00f3n de seguridad, WordPress 4.9.7 y en breve tendremos WordPress 4.9.8 con la opci\u00f3n de instalarte el famoso Gutenberg, para que te se vaya haciendo el cuerpo.<\/p>\n

Seg\u00fan el blog oficial de WordPress, la versi\u00f3n 4.9.7 soluciona un problema de seguridad en los medios y 17 fallos detectados desde un par de versiones atr\u00e1s y el fallo de seguridad que afecta desde la versi\u00f3n 3.7.<\/p>\n

Pero en realidad, esta versi\u00f3n de WordPress soluciona 2 fallos de seguridad, uno de ellos detectado y reportado hace 7 meses y que no se hace alusi\u00f3n alguna en esta actualizaci\u00f3n, pero que existe.<\/p>\n

De hecho, esta segunda vulnerabilidad que consist\u00eda en un exploit igualmente en los medios, era necesario tener acceso como m\u00ednimo de autor para poder ejecutarla y borrar archivos como el htaccess y el wp-config entre otros.<\/p>\n

Tanto Nintech, Wordfence y el propio descubridor de la vulnerabilidad, Ripstech, publicaron sus propios parches, este \u00faltimo, hace 7 meses, desde que lo report\u00f3 al equipo de seguridad de WordPress.<\/p>\n

Nintech en su Ninjafirewall aplic\u00f3 una regla de seguridad e igualmente Wordfence en sus respectivos firewalls.<\/p>\n

Ninjafirewall ofreci\u00f3 la regla de seguridad desde su versi\u00f3n gratuita y Wordfence solo a sus suscriptores de pago, pasada un semana se aplica a todos.<\/p>\n

Igualmente nosotros, desarrollamos nuestra propia regla de seguridad en nuestro WAF para proteger a todos nuestros clientes.<\/p>\n

Os sigo contando, resulta, que Wordfence durante el desarrollo de su regla de seguridad, profundiza en el tema y descubre que no solo esa era la vulnerabilidad, sino que hab\u00eda una segunda, la incluye en su regla de seguridad de su firewall, se lo comunica a WordPress y guarda silencio, por el tema de la responsabilidad y porque ya hab\u00eda tenido varios rifi rafes por este asunto con los responsables de seguridad de WordPress.<\/p>\n

En fin, que no es una, son dos vulnerabilidades, que esta es una actualizaci\u00f3n autom\u00e1tica y que afecta desde la versi\u00f3n 3.7, que si tu WordPress no se ha actualizado, te recomendamos que actualices para poner tu sitio seguro.<\/p>\n

Links a la cronolog\u00eda comentada:<\/p>\n