¿Lo que acaba de suceder? La semana pasada, la mayor parte de los dos millones de sitios web de WordPress recibieron una actualización de seguridad forzada debido a una falla crítica en un complemento que se utiliza para realizar copias de seguridad de los datos. La vulnerabilidad podría permitir que usuarios no autorizados descarguen copias de seguridad de sitios de WP.
El jueves pasado, se lanzó una actualización de seguridad para el complemento UpdraftPlus para sitios web de WordPress para corregir una vulnerabilidad de seguridad grave. Los desarrolladores pensaron que la falla era lo suficientemente urgente como para justificar una actualización forzada.
UpdraftPlus se utiliza para simplificar la descarga y restauración de copias de seguridad para sitios de WordPress. Los desarrolladores de JetPack, durante una auditoría interna de UpdraftPlus, encontraron una vulnerabilidad en la verificación de permisos perdidos que podría permitir a usuarios no autorizados acceder a este juego guardado. Normalmente, solo los administradores deberían tener acceso a él. Según los gráficos de UpdraftPlus, alrededor de 1,7 millones de sitios descargaron la actualización el jueves.
JetPack y UpdraftPlus han emitido advertencias sobre la falla. Los sitios que cifran sus copias de seguridad son menos vulnerables, y los desarrolladores de UpdraftPlus señalan que WordPress está codificando sus contraseñas almacenadas, lo que debería protegerlos de los piratas informáticos que obtienen copias de seguridad sin cifrar. JetPack dice que la mayoría de los sitios de WordPress se han actualizado e insta a aquellos que no han instalado el último parche de UpdraftPlus.
Las vulnerabilidades de los complementos de WordPress se están convirtiendo en un problema cada vez más grave. Un informe de un grupo de seguridad el mes pasado dijo que se informaron más vulnerabilidades en 2021 que en 2020 y que se sabía que existían tres cuartas partes de las fallas en los complementos.
