Vulnerabilidades en Elementor y WP Super caché

Vulnerabilidades en Elementor y WP Super caché

Lo venimos advirtiendo desde hace años; utilizar cualquier CMS es hoy por hoy algo relativamente sencillo de poner en marcha pero si no se gestiona con un buen mantenimiento web, puede llegar a ser también bastante sencillo quedarte sin ella y perder todos tus datos. Investigadores en ciberseguridad han detectado vulnerabilidades en varios plugins de WordPress que, si se explotan con éxito, podrían permitir que un atacante ejecute código arbitrario y se apodere de un sitio web. Potencialmente, podría afectar a siete millones de sitios web.

Los complementos de WordPress son un gran añadido para el sistema de gestión de contenidos enfocado a la creación de páginas web. Como sucede con otro tipo de complementos, plugins o extensiones como los miles de creados para los navegadores web, aportan un mayor número de características y prestaciones con las que no cuentan de base estos desarrollados. El problema es la seguridad, ya que suelen ser aprovechados para la introducción de malware a través de sus vulnerabilidades.

Las últimas encontradas en los complementos de WordPress se han descubierto en Elementor, un complemento de creación de sitios web que se usa en más de siete millones de sitios, y en WP Super Cache, una herramienta que se usa para servir páginas en caché de un sitio de WordPress. Según Wordfence, que descubrió las debilidades de seguridad en Elementor, el error se refiere a un conjunto de vulnerabilidades almacenadas en las secuencias de comandos entre sitios (XSS) (puntuación CVSS: 6.4), que se produce cuando se inyecta una secuencia de comandos maliciosa directamente en una aplicación web vulnerable.

En este caso, debido a la falta de validación de las etiquetas HTML en el lado del servidor, un atacante puede aprovechar los fallos para agregar JavaScript ejecutable a una publicación o página a través de una solicitud especialmente diseñada. Los investigadores encontraron que varios elementos HTML como Encabezado, Columna, Cuadro de iconos y Cuadro de imagen eran vulnerables al ataque XSS almacenado, lo que hace posible que cualquier usuario acceda al editor de Elementor y agregue un JavaScript ejecutable.

«Dado que las publicaciones creadas por los colaboradores suelen ser revisadas por editores o administradores antes de su publicación, cualquier JavaScript agregado a una de estas publicaciones se ejecutará en el navegador del revisor», explica Wordfence en un informe técnico: «Si un administrador revisó una publicación que contiene JavaScript malicioso, su sesión autenticada con privilegios de alto nivel podría usarse para crear un nuevo administrador malicioso o para agregar una puerta trasera al sitio. Un ataque a esta vulnerabilidad podría llevar a la toma de control del sitio«.

Por otro lado, se descubrió una vulnerabilidad de ejecución remota de código autenticado (RCE) en WP Super Cache que podría permitir a un adversario cargar y ejecutar código malicioso con el objetivo de obtener el control del sitio. Este complemento se usa en más de dos millones de sitios de WordPress.

Tras la divulgación responsable el 23 de febrero, Elementor solucionó la vulnerabilidad en la versión 3.1.4 y el desarrollador detrás de WP Super Cache, dijo que abordó el problema en la versión 1.7.2.

Se recomienda encarecidamente que los usuarios que usen estos complementos se actualicen a las últimas versiones para mitigar el riesgo asociado con estas vulnerabilidades.

Desde Manilva Web estamos muy atentos a este tipo de advertencias y nos preocupamos por que las páginas webs de nuestros clientes con mantenimiento, estén 100% actualizadas para evitar este tipo de situaciones que pueden poner en riesgo la integridad de su sitio web e información. Si te has enterado tarde de esta vulnerabilidad y tu web ha sido hackeada, puede consultar por nuestros servicios de reparación web.

Nueva versión de WordPress 5.7

Nueva versión de WordPress 5.7

Únete a «Esperanza», la primera versión de WordPress de 2021. «Esperanza» toma su nombre en honor de Esperanza Spalding, un prodigio musical moderno. Su camino como músico es variado e inspirador.

Con esta nueva versión, WordPress te trae nuevos colores. El editor te ayuda a trabajar en unos cuantos sitios donde antes no podías – al menos, no sin tener que ponerte a programar o contratar a un profesional. Los controles que más utilizas, como cambiar los tamaños de la fuente, están en más sitios, justo donde los necesitas. Y los cambios de diseño que deberían ser simples, como imágenes a altura completa, son incluso más sencillos de hacer.

Ahora, el editor es más fácil de usar

Ajuste del tamaño de la fuente en más lugares: ahora, los controles del tamaño de la fuente están justo donde los necesitas en los bloques lista y de código. ¡Ya no hay que ir a otra pantalla para hacer ese único cambio!

Bloques reutilizables: varias mejoras hacen que los bloques reutilizables sean más estables y fáciles de usar. Y ahora se guardan automáticamente con la entrada cuando haces clic en el botón «Actualizar».

Arrastrar y soltar en el insertador: arrastra bloques y patrones de bloques a tu entrada directamente desde el insertador.

Puedes hacer más sin escribir código personalizado

Alineación de altura completa: ¿alguna vez has querido hacer que un bloque, como el bloque de fondo, rellene toda la ventana? Ahora puedes hacerlo.

Bloque de botones: Ahora puedes elegir un diseño vertical u horizontal. Y puedes establecer el ancho de un botón a un porcentaje preestablecido.

Bloque de iconos sociales: ahora puedes cambiar el tamaño de los iconos.

Esta nueva paleta de color simplificada reduce todos los colores que solían estar en el código fuente de WordPress a siete colores básicos y a una gama de 56 tonos que cumplen la relación de contraste recomendada por la WCAG 2.0 AA frente al blanco o al negro.

Los colores son perceptivamente uniformes de claro a oscuro en cada gama, lo que significa que empiezan en blanco y se van oscureciendo en la misma cantidad con cada paso.

La mitad de la gama tiene una relación de contraste de 4,5 o superior frente al negro y la otra mitad mantiene el mismo contraste frente al blanco.

Busca la nueva paleta en el esquema de color por defecto del escritorio de WordPress y úsala cuando crees temas, plugins o cualquier otro componente. Para todos los detalles, echa un vistazo a la nota de desarrollo de la paleta de color.

De HTTP a HTTPS en un solo clic

A partir de ahora, cambiar un sitio de HTTP a HTTPS es un movimiento de un solo clic. WordPress actualizará automáticamente las URL de la base de datos cuando hagas el cambio. ¡No más búsquedas y suposiciones!

Nueva API de Robots

La nueva API Robots te permite incluir el filtro de las directivas en la etiqueta meta «robots» y la API incluye por defecto la directiva max-image-preview: large. Eso significa que los motores de búsqueda pueden mostrar vistas previas más grandes de las imágenes, lo que puede impulsar tu tráfico (salvo que el sitio esté marcado como no público).

Limpieza en curso después de la actualización a jQuery 3.5.1

Durante años, jQuery ha ayudado a que las cosas se movieran en la pantalla de formas que las herramientas básicas no podían — pero eso sigue cambiando y también lo hace jQuery.

En la versión de WordPress 5.7, jQuery se ha vuelto más centrado y menos intrusivo, con menos mensajes en la consola.

Carga diferida de tus iframes

Ahora es fácil dejar que los iframes carguen de forma diferida. Por defecto, WordPress añadirá un atributo loading=»lazy» a las etiquetas del iframe cuando se especifique tanto la anchura como la altura.

 

WordPress 5.6.2 disponible

WordPress 5.6.2 disponible

Esta actualización de mantenimiento incluye 5 correcciones a fallos. Estos fallos afectan a la versión 5.6.1 de WordPress, así que querrás actualizar.

Puedes descargar WordPress 5.6.2 directamente o visitar la pantalla de Escritorio → Actualizaciones y hacer clic en Actualizar ahora.

Si tus sitios son compatibles con las actualizaciones en segundo plano ya habrán empezado el proceso de actualización. WordPress 5.6.2 es una pequeña actualización de mantenimiento enfocada en corregir problemas de cara al usuario descubiertos en la versión 5.6.1.

La siguiente actualización mayor será la versión 5.7, actualmente programada para el 9 de marzo de 2021.