SeguridadWordPress

WordPress 4.7.0 y 4.7.1 vulnerable , actualiza Ya.

By 07/02/2017 No Comments

La semana pasada en varios medios se ha descubierto una vulnerabilidad grave de WordPress, y desde entonces una oleada de hackeos recorre las webs que usan WordPress en sus  versiones 4.7.0 y 4.7.1.

wordpress hackeado

Versiones vulnerables de WordPress

Afecta  a las versiones 4.7.0 y 4.71 , esto supone cientos de miles de webs actualmente. Recordamos que WordPress supone el 25% de los sitios webs de internet.

Una solución el fallo fue incluido en la versión 4.7.2 , junto a parches para otros  problemas menos graves. Esto fue hecho intencionalmente para se tuviera tiempo de actualizar a la ultima versión.

La versión 4.7.2 fue lanzada el 26 de enero de 2017  tal como podemos ver en la web  de WordPress y las versiones 4.7.1 y 4.7.0  el 21-Ene-2017  y  04-Ene-2017 respectivamente
El API REST mediante JSON permite el acceso  para ver, editar, borrar y crear post. Un error en el diseño permite a los visitantes  editar cualquier post de la web .

La API REST está activado por defecto en todos los sitios que utilizan WordPress 4.7.0 o 4.7.1 . Si su sitio web usa estas versiones de WordPress, entonces es altamente vulnerable a un hackeo de sus post.

 

Que estamos haciendo en SERED

Estamos ajustando el Firewall ( WAF )  para bloquear las peticiones de ese tipo ,  bloqueando en unos dias miles de peticiones de este tipo . De todas formas  es muy recomendable actualizar a la version 4.72. Ya que algunos servidores dedicados , vps , tienen reglas propias que pueden dejar una pequeña brecha de seguridad.

 

Recomendación

Si no tiene las actualizaciones automáticas en sus sitios WordPress le recomendamos actualizar lo antes posible a la version  4.7.2 de WordPress, ya que de otra manera puede estar expuesto a que editen las entradas de su sitio web.

Usar un hosting Profesional como el Hosting WordPress de Sered le da mayor seguridad , ay que detrás  hay un equipo técnico pendiente de los problemas de seguridad que puedan surgir

Si necesita ayuda no dude en contactar con nuestro Soporte Especializado

 

Enlaces de interes:

Blog de Sucuri – Marc-Alexandre Montpas of Sucuri descubridor del  0-Day

Comments

comments