Seleccionar página

Si hace unos días WordFence nos avisaba de un problema en el plugin MainWP Child (¿Aun no has actualizado?), hoy nos avisa de una vulnerablidad en un plugin mucho más utilizado: SEO by Yoast.

Este plugin es uno de los plugins más importantes del panorama SEO para WordPress, con más de un millon de sitios activos utilizándolo (y probablemente lo estás usando si usas un plugin de SEO, ya que las mejores opciones son Yoast o All in One SEO), así que hablamos de que podría afectar a millones de usuarios. No es una vulnerabilidad muy grave ya que el hacker requiere permisos de adminstrador para poder atacar, pero de conseguirlos, se convierte en un problema.

The vulnerability is a SQL injection attack that needs admin access to be exploited. To the layman, this sounds like it’s unexploitable, but these kinds of security holes are usually exploited via a cross-site request forgery (CSRF) which tricks an admin into loading a link from their own website (where they’re logged in as admin) which then exploits the vulnerability using the admin’s privileges. – WordFence Blog

Es decir: Se trata de un ataque por inyección SQL que necesita acceso admin para actuar. Esto parece casi inalcanzable para los hackers, pero utilizan un método CSRF para conseguirlo. ¿Un qué? Según la WikiEl CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) es un tipo de exploit malicioso de un sitio web en el que comandos no autorizados son transmitidos por un usuario en el cual el sitio web confía.

La solución, como siempre, es actualizar el plugin a su última versión. Su última versión, la 1.7.3, lanzada el pasado 11 de marzo, arregla este error. Asegúrate de que tienes esta versión, y si no sabes o alguien te ha hecho la web y no te encargas de estas cosas, lo mejor es que pidas ayuda porque es algo serio.