Actualización de seguridad de Wordpress

Fecha de publicación:

24/07/2015

Importancia:

5 - Crítica

Recursos afectados:

Todas las versiones de Wordpress anteriores a la 4.2.3

Descripción:

Wordpress ha publicado una actualización de seguridad que soluciona varias vulnerabilidades que podrían permitir comprometer un sitio web a un usuario con los roles de Autor o Contribuidor. También se han solucionado otras vulnerabilidades menos críticas.

Solución:

Se recomienda que actualice su Wordpress a la versión 4.2.3. Para ello descargue la última versión o dentro del propio gestor de cotenidos vaya a "Escritorio", "Actualizaciones" en el área de administración de su sitio y haga clic en "actualiza ahora".

Instrucciones de actualización

Para saber si existe una actualización de seguridad de Wordpress debe acceder a la consola de Administración de Wordpress. Automáticamente al entrar apareceran varios mensajes haciéndonos saber que existe una actualización de seguridad:

Pantalla de consola de administración de WordPress: Disponibilidad de actualización

Al pulsar sobre este botón, nos aparece una nueva pantalla en la que podemos por una parte actualizar el "core" del Wordpress, simplemente pulsando el botón naranja "Actualizar Ahora" o actualizar los plugins, por separado:

Pantalla de actualización de WordPress: Selección de actualización del core o actualización de plugins

Al pulsar sobre el botón "Actualizar ahora", si nos aparece esta pantalla:

Pantalla de actualización de WordPress: Error de conexión con el servidor

...deberemos hacer una modificación en el wordpress, añadiendo las siguientes lineas al final del fichero wp-config.php:

/*para actualizar wordpress sin ftp*/ 
define(’FS_METHOD’,’direct’);

Una vez hecho esto, cuando le demos al botón naranja de "Actualizar ahora", comenzará la actualización automática:

Pantalla de actualización de WordPress: Comienzo de actualización automática

Al terminar nos pide que actualicemos la base de datos. Sin tener que hacer nada, sólo pulsando el botón:

Pantalla de finalización de actualización de WordPress: Solicitud de actualización de la base de datos

Finalmente nos muestra un mensaje indicandonos que todo ha ido bien:

Pantalla de finalización de actualización de WordPress: Notifiicaciín de finalización exitosa de actualización

¿Te gustaría recibir estos avisos en tu lector de RSS? Anímate y suscríbete a nuestro servicio de RSS o perfil de twitter @incibe. Serás el primero en enterarte de los últimos avisos de seguridad para empresas.

Detalle:

Un usuario con roles de Autor o Contribuidor podría aprovechar estas vulnerabilidades en Wordpress para tomar el control del sitio y modificar a su antojo los contenidos de la web.

Esta vulnerabilidad también podría permitir al atacante engañar a los visitantes del sitio web, para que hicieran clic en un enlace malicioso y enviaran, de esta manera, información sensible almacenada en sus equipos sin que estos lo sepan.

Referencias:

WordPress 4.2.3 Security and Maintenance Release

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Accesos corporativos

Actualización de seguridad de Wordpress

Campañas de distribución de malware con diferentes suplantaciones

Nueva actualización de Firefox que corrige fallos críticos de seguridad

Actualización de seguridad para productos SD-WAN y puntos de acceso de Cisco

Nueva campaña de descarga de malware suplantando a DHL

Vulnerabilidad crítica en vRealize Business para Cloud de VMware