Vulnerabilidad en plugins y themes WordPress

Vulnerabilidad en plugins y themes WordPress
04/05/2015 Teresa Alba
Imagen post vulnerabilidad de themes WordPress

Hoy me he visto obligada a modificar el calendario editorial para contaros algo que, quizás, algunos ya habréis oído por ahí, pero que para otros muchos seguro es toda una noticia que les pondrá en alerta, al igual que a nosotros… ¡Se trata de la vulnerabilidad XXS que afecta a muchos de nuestros plugins y themes WordPress favoritos!

Si al igual que nosotros, sois compradores asiduos de artículos WordPress, como plugins o plantillas de ThemeForest, CodeCanyon, wordpress.org o cualquier otra fuente, poned especial atención a esto de la vulnerabilidad XXS, porque al parecer se trata de un código muy común en la mayoría de ellos y, por tanto, tenemos que ser conscientes de que podría tratarse de productos no seguros.

¿A quién puede afectar este problema de seguridad?

Este es un problema que nos afecta y nos limita prácticamente a todos los usuarios del rey de los CMS, ya que el código XXS se encuentra en una gran cantidad de plugins y themes WordPress, con independencia a la fuente de donde procedan.

Como usuarios de ThemeForest, hemos sido informados de este hecho y ya están trabajando en ello para que (en la medida de lo posible) tanto nuestros trabajos con los clientes, como los del resto de usuarios, se vean mínimamente afectados.

Semana a semana nos seguirán notificando cualquier novedad que se produzca al respecto, y estaremos al pie del cañón para resolver vuestras dudas o cualquier problema que hayáis podido sufrir en vuestro sitio WordPress.

consulta_gratuita

Aunque hay muchos plugins WordPress populares, como JetPack o All in One SEO Pack, que ya han sido actualizados y carecen de esta vulnerabilidad, el listado de otros muchos que se han visto afectados en las últimas semanas es bastante extenso, entre ellos:

  • WordPress SEO
  • Google Analytics by Yoast
  • Gravity Forms
  • Ninja Forms
  • UpdraftPlus
  • WP e-Commerce
  • WPTouch
  • Download Monitor
  • P3 Profiler
  • Give
  • iThemes Exchange
  • Broken-Link-Checker
  • Aesop Story Engine
  • My Calendar
  • WPTouch

También podríamos citar productos de iThemes y gran cantidad de plugins de Easy Digital Downloads.

SOS, ¿qué hago con mis plugins o themes WordPress?

Lo primero… ¡que no cunda el pánico!, ¿habéis comprobado si vuestra plantilla y plugins están actualizados? Detectar si nuestros productos están afectados por este problema de seguridad no es sencillo, por ello, la primera recomendación que os doy es que realicéis actualizaciones periódicas tanto de los themes WordPress, como de los plugins.

Otras recomendaciones para productos WordPress

  • Sólo descargar plugins y plantillas oficiales (gratuitos o de pago)
  • Eliminar productos inactivos
  • Restringir las direcciones IP con acceso al panel wp-admin
  • Obtener un plugin de escaneo de seguridad
  • Leer más sobre este tema

Así que… ¡ya sabéis!, nos toca estar alerta. ¿Ya habéis actualizado todos vuestros productos WordPress?

Teresa es licenciada en Administración de Empresas. Especializada en Negocios Internacionales, Social Media y Docencia, tiene experiencia en Comercio Exterior y Marketing Online. Actualmente es la Content Manager de MadridNYC.