Este último ciclo ha sido más relajado en cuanto a los ataques, vulnerabilidades y actualizaciones (se nota la época vacacional).
Seguimos sin novedad en cuanto al core de WordPress con la última versión 6.0.1. Si en cambio hemos procedido actualizar y testear bastantes plugins de los sites mantenidos en BLINDAJEWEB.
Respecto a las vulnerabilidades ha descubierto una bastante gorda en «Download Manager», un plugin de WordPress que está instalado en más de 100.000 sitios. Esta fallo de seguridad hace posible que un atacante autenticado elimine archivos arbitrarios alojados en el servidor, siempre que tenga acceso para crear descargas. Si un atacante elimina el archivo wp-config.php, puede obtener privilegios administrativos, incluida la capacidad de ejecutar código, volviendo a ejecutar el proceso de instalación de WordPress.
Los plugins gestores de descargas suelen ser por su contexto potencialmente peligrosos, recomendamos no usar ningúno salvo que sea estrictamente necesario y poner todo el foco de protección en ellos.
Por otro lado tenemos otro fallo de seguridad en Ecommerce Shopping Cart Plugin, por suerte tampoco es usado en ninguno de los sites que mantenemos. Esta vulnerabilidad podría usarse para engañar a los administradores del sitio para que actualicen la configuración del plugin debido a una verificación incorrecta de nonce. Importante actualizar a la última versión de este plugin para incorporar el parche que han desarrollado.