Después de la tempestad llega la calma, Al menos para el core de WordPress que después del pasado mes de Mayo tuvo que afrontar importantes actualizaciones de seguridad como la WordPress 6.2.2. Donde no llega la calma es a los plugins ya que durante este mes de Junio hasta 60 incidencias se han reportado.
Las más destacadas son una vez más protagonizadas por Elementor (Free Widgets, Addons, Templates), que hacia posible que los atacantes autenticados, con permisos de nivel colaborador y superiores, suban archivos arbitrarios en el servidor del sitio afectado, lo que hacía posible la ejecución remota de código. El problema fue parcialmente parcheado en la versión 1.5.66 y completamente parcheado en 1.5.67.
Missing Authorization via REST API, es otro de los puntos calientes de WordPress, por eso siempre aconsejamos restringir la REST API si no es usada. Esto puedes hacerlo en el fichero functions.php con la siguiente función:
add_filter('json_enabled', '__return_false');
add_filter('json_jsonp_enabled', '__return_false');Y por último Ninja Form y su conector con google sheet a través de una vulnerabilidad detectada permitía que los atacantes no autenticados inyectasen scripts en las páginas tras engañar a usuarios con alguna acción como hacer clic en un enlace.
Volvemos hacer hincapié en la importancia de mantener actualizados todos los plugins y verificar los comportamientos tras la actualización. BLINDAJEWEB ofrece ciclos de actualización periódica para que puedas olvidarte de esas tareas de mantenimiento y seguridad.
