En silencio, WordPress soluciona fallo que podría cambiar su web

La vulnerabilidad detectada por WordPress podría permitir a usuarios no autenticados modificar cualquier publicación o página en un sitio web.

CIO AMÉRICA LATINA | Por Elibeth Eduardo | @ely_e

Aunque todo se sabe, no sorprende que la plataforma este trabajando sin ruido, con prisa y sin pausa para resolver este problema que podría colapsar la confianza de los millones de empresas que lo usan como soporte de sus webs.

Los desarrolladores del sistema ampliamente utilizado de gestión de contenido lanzaron una actualización la semana pasada, pero intencionalmente retrasaron anunciar que el parche desplegado solucionaba una vulnerabilidad severa.

La versión 4.7.2 dde WordPress fue liberado el 26 de enero como una actualización de seguridad, pero las notas de acompañamiento de su liberación sólo mencionó correcciones para tres vulnerabilidades de riesgo moderado, uno de los cuales ni siquiera afecta el código del núcleo de la plataforma.

Ayer miércoles sin embargo – una semana más tarde – el equipo de seguridad de WordPress reveló que una cuarta vulnerabilidad (mucho más grave que las demás) también se corrigió con la versión 4.7.2.

Aunque, en principio, las características de la vulnerabilidad resultan alarmantes, la buena noticia es que está corregida.

“Creemos que la transparencia es en el mejor interés del público. Es nuestra postura que los problemas de seguridad siempre deben ser revelados. En este caso, intencionalmente retrasamos la divulgación de este problema en una semana para garantizar la seguridad de millones de sitios adicionales de WordPress”, dijo en una entrada de blog este miércoles el desarrollador de núcleo de WordPress, Aaron Campbell.

¿Creativos o destructivos?

La vulnerabilidad fue descubierta por los investigadores de la empresa de seguridad web Sucuri y fue reportada en privado al equipo de WordPress el 20 de enero. La misma se encuentra en la plataforma REST API (interfaz de programación de aplicaciones) y permite a los atacantes no autenticados modificar el contenido de cualquier publicación o página dentro de WordPress.

Según Campbell, después de enterarse de la falla, los desarrolladores de WordPress se dirigieron a las compañías de seguridad que mantienen firewalls de aplicaciones web populares (WAFs) para que puedan implementar reglas de protección contra posibles exploitsLuego contactaron a grandes empresas de alojamiento de WordPress y les aconsejaron sobre cómo implementar protecciones para sus clientes antes de que se publicara un parche oficial.

La vulnerabilidad sólo afecta a WordPress 4.7 y 4.7.1, versiones en las cuales la API REST está habilitada de forma predeterminada. Las versiones anteriores no se ven afectadas, aunque tengan el complemento REST API.

“También agradecemos a los WAFs y los anfitriones que trabajaron estrechamente con nosotros para agregar protecciones adicionales y monitorearon sus sistemas para verificar los nuevos intentos de utilizar esta hazaña en la naturaleza. Hasta la fecha, a nuestro conocimiento, no ha habido intentos para explotar esta vulnerabilidad en estado salvaje”, dijo Campbell.

Aunque eso es una buena noticia, no significa que los atacantes no comenzarán a explotar esta vulnerabilidad ahora que la información está fuera.

Los webmasters deben asegurarse de que actualizan sus sitios de WordPress a la versión 4.7.2 tan pronto como sea posible si aún no lo han hecho.

WordPress es la plataforma de construcción de sitios web más popular, lo que la convierte en un objetivo muy atractivo para los hackers y recibe ataques con dolorosa frecuencia.