Actualización de seguridad WordPress 4.7.2

Fecha de publicación: 
27/01/2017
Importancia: 
5 - Crítica
Recursos afectados: 

Versiones del gestor de contenidos WordPress 4.7.1 y anteriores.

Descripción: 

WordPress ha publicado una nueva versión de su gestor de contenidos que soluciona tres problemas de seguridad y una vulnerabilidad 0-day que afectan a las versiones anteriores.

Solución: 

Actualice el gestor de contenidos a la versión 4.7.2

Para solucionar posibles problemas de seguridad, se recomienda tener siempre actualizado todo el software a las últimas versiones.

Antes de realizar ninguna actualización del gestor de contenidos, se recomienda realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web. También es importante comprobar que la copia se ha realizado correctamente y que podemos recuperarla.

Para estar al día de estas actualizaciones es conveniente suscribirse al servicio de alertas y notificaciones de WordPress.

Detalle: 

WordPress ha publicado una nueva versión que soluciona los siguientes problemas de seguridad:

  • El interfaz de usuario para asignar términos de la taxonomía en Press se muestra a usuarios que no tienen permisos para utilizarlo.
  • Un elemento de programación utilizado por los temas y plugins, la clase WP_Query, es vulnerable a ataques de inyección de código SQL o SQLi lo que permitiría pasar a los programas datos inseguros.
  • Una vulnerabilidad del tipo XSS o ejecución de comandos en sitios cruzados descubierta en la tabla de listado de post pudiendo redirigir a los usuarios a sitios no confiables.   
  • Una vulnerabilidad 0-day, descubierta el 01/02/2017, que permite a un atacante no autenticado modificar el contenido de las páginas de sitios sin parchear y redirigir a los visitantes a exploits maliciosos.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este Checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en estos casos reales:

¿Te gustaría recibir estos avisos en tu lector de RSS? Anímate y suscríbete a nuestro servicio de RSS o sigue nuestros perfiles de redes sociales en twitter @incibe y facebook: "protegetuempresa". Serás el primero en enterarte de los últimos avisos de seguridad para empresas.