Múltiples plugins de WordPress son vulnerables a XSS (Cross-site Scripting) debido al mal uso de las funciones add_query_arg() y remove_query_arg(). Estas son funciones populares utilizadas por desarrolladores para modificar y agregar cadenas de caracteres a URLs en WordPress.
La Documentación Oficial de WordPress (Codex) para estas funciones no era muy clara y llevó a muchos desarrolladores de plugins a usarlas de manera insegura. Los desarrolladores asumieron que estas funciones escaparían con seguridad las entradas de los usuarios a la base de datos, pero no era así. Este detalle tan simple causó que muchos de los plugins populares fueran vulnerables a XSS.
A la fecha, esta es la lista de plugins afectados:
- Jetpack
- WordPress SEO
- Google Analytics de Yoast
- All in one SEO
- Gravity Forms
- Varios plugins de Easy Digital Downlads
- UpdraftPlus
- WP-E-Commerce
- WPTouch
- Download Monitor
- Related Posts para WordPress
- My Calendar
- P3 Profiler
- Give
- Varios productos de iThemes incluyendo Builder y Exchange
- Broken-Link-Checker
- Ninja Forms
Probablemente hay algunas más que no están en la lista. Si utilizas WordPress, se recomienda que entres a tu panel de administración y actualices todos los plugins a la brevedad.
Aquí hay algunos consejos y trucos para ayudar a reducir el riesgo de seguridad:
- Mantén tu sitio actualizado.
- Restringe el acceso a tu área administrativa.
- Monitorea tus logs.
- Sólo utiliza plugins o plantillas que tu sitio realmente necesite para funcionar.
- La prevención puede fallar, y lo que sigue es escanear tu sitio para detectar indicadores que lo puedan comprometer o software no actualizado.
- Defiende a conciencia tu sitio con herramientas profesionales diseñadas para ello.
Si necesitas ayuda para administrar, optimizar, actualizar, asegurar y defender tu sitio Web, te invito a conocer nuestros planes de servicio de mantenimiento.