Un millón de páginas Wordpress en peligro

David Cerdán

JetpackOther

30 mayo 2016

La firma de seguridad Sucuri, especializada en seguridad web, ha anunciado el descubrimiento de una vulnerabilidad grave en Jetpack, el famoso plugin de Wordpress. El pugin está instalado en casi un millón de páginas web que podrían estar en peligro de ser infectadas por software malicioso.

Sucuri es una empresa tecnológica con cierto nombre focalizada en la seguridad web. En el pasado ha sido criticada por su política de comunicar públicamente los fallos de seguridad de algunos servicios de Internet, como hacen algunos hackers. De esta manera, intentan concienciar sobre la importancia de la seguridad en el software. Cabe decir en su defensa que tienen el compromiso de avisar primeramente a los desarrolladores con un cierto margen de tiempo.

Ésta vez le ha tocado el turno a Wordpress y a su popular plugin multiuso Jetpack. Sucuri ha detectado una grave vulnerabilidad que permitiría inyectar código javascript malicioso en las páginas web que lo usan.

Lo malo de ser popular

Wordpress es un sistema software de gestión de contenido (CMS en inglés) que permite la creación de una gran diversidad de páginas web. Su gran popularidad proviene de la facilidad con la que permite crear blogs de Internet. De hecho se calcula que actualmente acapara el 25% de los sitios web que utilizan un CMS como base.

Su gran éxito se debe en gran parte a sus enormes posibilidades de extensión a través de temas y plugins, que permiten modificar tanto su diseño como sus funcionalidades.

Uno de los plugins más utilizados por todas las funcionalidades que incorpora es Jetpack. Jetpack fue desarrollado por Automattic, la empresa también creadora de Wordpress, y permite entre otras cosas incorporar formularios a las páginas web, crear galerías de imágenes o analizar el tráfico recibido.

Tanto Wordpress como sus plugins han sido afectados numerosas veces por problemas de seguridad. El gran uso que se hace de ellos en Internet los hace foco de los ataques de los ciberdelincuentes. Afortunadamente Wordpress suele reaccionar rápidamente ante este tipo de situaciones, proporcionando actualizaciones para solucionar las vulnerabilidades encontradas.

Detalles del problema

Esta vez la vulnerabilidad ha afectado al módulo de Jetpack llamado "Shortcode incrustados" (Shortcode Embeds), una pequeña funcionalidad que permite que los lectores de nuestra página puedan añadir imágenes, vídeos y otros elementos multimedia en los comentarios.

Al parecer el error permitiría que un atacante incrustara código Javascript malicioso y robara así datos de nuestra página (incluso nuestras credenciales). Es lo que se conoce como una vulnerabilidad XSS (cross-site scripting).

Wordpress ya ha publicado una actualización de su software para resolver el problema, así que si estáis utilizando Jetpack es importante que actualicéis de inmediato o deshabilitéis temporalmente el plugin o el módulo en cuestión.

 Si lo deseáis tenéis la información completa de la vulnerabilidad en el blog de Sucuri.

 

Temas Relacionados