Vulnerabilidades en plugins de WordPress

El gestor de contenidos WordPress no deja de crecer por su facilidad a la hora de crear y administrar una página web. La posibilidad de ir incluyendo plugins que hagan mejorar su funcionalidad es una de las razones por las que este CMS es tan valorado.

El problema es que a través de estos plugins se están “colandovulnerabilidades que ponen en riesgo la seguridad de nuestro WordPress.

Las vulnerabilidades que se han detectado hasta el momento, implican que se puedan realizar ataques Cross-site Scripting (XSS) reflejados.

¿Qué tipo de ataques son los XSS?

Aquellos que permiten a una tercera persona incluir código JavaScript (o similar) en la web.

¿Qué consecuencias tienes estos ataques?

Con estos ataques se puede robar y secuestrar información y controlar las sesiones de usuario.

En el caso de las vulnerabilidades detectadas en WordPress, los ataques serían indirectos (reflejados) y consistirían en modificar valores que la aplicación web utiliza para pasar variable entre dos páginas.

Mediante los ataques XSS reflejados el atacante podría hacer phishing, lo que supone que la víctima ve en la barra de direcciones un sitio, pero, realmente, es otro diferente. La víctima confiando que está en el sitio correcto podrá incluir contraseñas o datos personales de los que se apoderará el atacante.

Si queréis saber qué plugins de WordPress presentan esta vulnerabilidad podéis encontrarlos en el Blog de Hispasec.

Si no estáis seguros de si vuestras webs están sufriendo algún tipo de ataque o no conocéis las vulnerabilidades que puede presentar podéis solicitar de forma gratuita, una auditoría de seguridad web a CloudsDEFENSE.