Llegamos a ustedes gracias a:



Noticias

Fallas en plugin de SEO ponen en riesgo a sitios de WordPress

Los usuarios del plugin ‘All in One SEO Pack’ deben realizar una actualización tan pronto como sea posible, advierten los investigadores de seguridad de Sucuri

[03/06/2014] Muchos sitios de WordPress podrían encontrarse en riesgo si sus administradores no actualizan un popular plugin de SEO (search engine optimization) a una recientemente lanzada versión que repara las series vulnerabilidades.

Los investigadores de la firma de seguridad web Sucuri encontraron dos fallas en un plugin llamado All in One SEO Pack que, potencialmente, permite a los atacantes tener acceso a las cuentas no administrativas de WordPress para elevar sus privilegios e inyectar código malicioso en el panel de administración.

Si su sitio tiene suscriptores, autores y usuarios no administradores logueándose a wp-admin, se encuentra en riesgo, afirmaron los investigadores de Sucuri el sábado en una entrada de blog. Si tiene un registro abierto, se encuentra en riesgo, así que tiene que actualizar el plugin ahora.

El plugin All in One SEO Pack automáticamente optimiza el contenido de WordPress para una indexación más eficiente por parte de los crawlers de los motores de búsqueda para lograr un mejor ranking en los resultados de búsqueda. De acuerdo a las estadísticas del repositorio oficial de add ons de WordPress, el plugin ha sido descargado más de 18,5 millones de veces a la fecha.

Una de las dos fallas descubiertas por Sucuri puede ser explotada por un usuario regular, como un autor o suscriptor, para modificar el título, descripción y las etiquetas meta de palabras clave del SEO de una entrada creados por el plugin. Si se usa de manera maliciosa, esto podría dañar el ranking en la búsqueda de resultados del sitio.

Sin embargo, la vulnerabilidad también se puede combinar con una segunda falla para inyectar código JavaScript malicioso en el panel de control del administrador que podría ejecutarse cuando la página se encuentre cargada.

Esto significa que un atacante potencialmente podría hacer cosas como cambiar la contraseña del administrador de la cuenta o insertar código de backdoor en los archivos del sitio web para realizar otras actividades maliciosas posteriormente, señalaron los investigadores de Sucuri.

Se ha aconsejado a los administradores de sitios WordPress que realice un upgrade del plugin All in One SEO Pack a la versión 2.1.6 que fue lanzada el domingo en el repositorio de add ons de WordPress. También se puede iniciar la actualización desde el panel de administración del plugin.

Los sitios de WordPress han sido un blanco popular para los atacantes por años y las vulnerabilidades en los componentes de terceros de la plataforma, como los plugins o temas, han sido explotados en el pasado.

Una vulnerabilidad crítica encontrada en el 2011 en un script para cambiar el tamaño de las imágenes, llamado TimThumb, que fue empaquetado en muchos temas de WordPress, aún era blanco de ataques un año después.
Lucian Constantin, IDG News Service