A solo 3 días del lanzamiento de WordPress 4.2, un investigador de seguridad encontró una vulnerabilidad XSS de día cero que afecta a WordPress 4.2, 4.1.2, 4.1.1, 4.1.3 y 3.9.3. Esto permite a un atacante inyectar JavaScript en comentarios y hackear tu sitio. El equipo de WordPress respondió rápidamente y corrigió el problema de seguridad en WordPress 4.2.1, y recomendamos encarecidamente que actualices tus sitios de inmediato.
Jouko Pynnönen, un investigador de seguridad en Klikki Oy, quien reportó el problema, lo describió como:
Si es activado por un administrador conectado, bajo la configuración predeterminada, el atacante puede aprovechar la vulnerabilidad para ejecutar código arbitrario en el servidor a través de los editores de plugins y temas.
Alternativamente, el atacante podría cambiar la contraseña del administrador, crear nuevas cuentas de administrador o hacer cualquier otra cosa que el administrador actualmente conectado pueda hacer en el sistema objetivo.
Esta vulnerabilidad en particular es similar a la reportada por Cedric Van Bockhaven, la cual fue parcheada en la versión de seguridad de WordPress 4.1.2.
Desafortunadamente, no utilizaron una divulgación de seguridad adecuada y en su lugar publicaron el exploit públicamente en su sitio. Esto significa que aquellos que no actualicen su sitio estarán en grave riesgo.
Actualización: Hemos sabido que intentaron contactar al equipo de seguridad de WordPress pero no obtuvieron una respuesta oportuna.
Si no has deshabilitado las actualizaciones automáticas, entonces tu sitio se actualizará automáticamente.
Una vez más, te recomendamos encarecidamente que actualices tu sitio a WordPress 4.2.1. Asegúrate de hacer una copia de seguridad de tu sitio antes de actualizar.
Rajnish Tyagi
Hola,
mi sitio se cayó 2 veces la semana pasada, estoy usando el servidor aws, para la base de datos estoy usando RDS, pero hoy mi base de datos se estrelló, tardó 2 horas en recuperarse, estoy usando la última versión de wprdress 4.2.2
por favor, aconséjame algunos buenos consejos de seguridad
Gracias
Rajnish
Paul
Gracias por la publicación. ¡Actualizaré mis sitios de inmediato!
Mike
Si tienes Akismet funcionando, hay una buena posibilidad de que los comentarios se marquen como spam, así que no revises tu cola de spam.
Bernhard
Por favor, echa un vistazo a http://klikki.fi/adv/wordpress2.html donde se explica claramente cómo intentaron contactar a wordpress.com y no recibieron respuesta DESDE NOVIEMBRE DE 2014 (Vulnerabilidad confirmada: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3.):
“WordPress ha rechazado todos los intentos de comunicación sobre nuestros casos de vulnerabilidad de seguridad en curso desde noviembre de 2014. Hemos intentado contactarlos por correo electrónico, a través de la autoridad nacional (CERT-FI) y a través de HackerOne. No hemos recibido ninguna respuesta de ningún tipo desde el 20 de noviembre de 2014. Según nuestro conocimiento, su equipo de respuesta de seguridad también se ha negado a responder a la autoridad reguladora de comunicaciones finlandesa que ha intentado coordinar la resolución de los problemas que hemos informado, y al personal de HackerOne, que ha intentado aclarar el estado de nuestros tickets de errores abiertos.”
Si eso es correcto, divulgar el problema fue lo único responsable que se podía hacer, y los sitios son vulnerables no por la divulgación, sino por el fracaso de WordPress en abordar este problema durante casi 6 meses.
Entiendo que la seguridad es un problema complejo, pero por favor, asegúrate de tener los hechos correctos.
Soporte de WPBeginner
Nuestras más sinceras disculpas. Hemos actualizado el artículo.
Administrador
Bilal Bin Amar
pero después de la actualización, mi CMS (WordPress) y mi sitio se han vuelto muy lentos, debajo del CMS cuando hago clic en el plugin agregado, esto está dando un error
William Charles
Se actualizó automáticamente y ahora me pide que actualice mi base de datos, cuando actualizo mi base de datos obtengo el siguiente error: Catchable fatal error: Object of class WP_Error could not be converted to string in /home/doctorof/public_html/wp-admin/includes/upgrade.php on line 1459
¿Alguna idea sobre cómo solucionarlo? Intenté los métodos habituales (desactivar plugins, tema predeterminado, etc.).
Personal editorial
Por favor, póngase en contacto con su proveedor de hosting. Esto puede estar sucediendo debido a una tabla corrupta en la base de datos. Nos sucedió con nuestro sitio List25, y nuestro host pudo solucionarlo de inmediato.
Administrador
kunwar
Simplemente visita tu página de inicio de sesión de administrador /wp-admin y luego presiona el botón de actualizar base de datos, esto debería solucionar el problema.
pmisun
Después de que se aplicó la actualización automática, nuestros casos se arruinaron por completo y no obtuvimos respuestas del servidor. Llevamos 6 horas investigando, sin resultados positivos. El servidor está bien, los proveedores de IP / ISP están bien...
raja babu
quiero saber cómo puedo asegurar mi sitio, ¿cómo puedo detener la actualización automática del sitio??? por favor ayúdenme
Soporte de WPBeginner
Se recomienda encarecidamente que actualice su sitio de WordPress tan pronto como haya una nueva actualización disponible. No hacerlo hace que su sitio sea vulnerable. Sin embargo, si por alguna razón desea actualizar manualmente, puede desactivar las actualizaciones automáticas en WordPress
Administrador
Elaine Maul
Thank you for the alert! Although I have automatic updates set, it hadn’t got round to doing it yet for some reason, so I have actioned it myself
Thank you
ha manh bui
¿Cómo puedo saber si mi sitio http://homelytips.com/ está afectado? Simplemente se actualizó automáticamente a 4.1.4
Personal editorial
La actualización automática la realiza el equipo de WordPress si no las has desactivado.
4.1.4 también soluciona el problema.
Administrador