WordPress 4.7.0 y 4.7.1 vulnerable , actualiza Ya.
La semana pasada en varios medios se ha descubierto una vulnerabilidad grave de WordPress, y desde entonces una oleada de hackeos recorre las webs que usan WordPress en sus versiones 4.7.0 y 4.7.1.
Versiones vulnerables de WordPress
Afecta a las versiones 4.7.0 y 4.71 , esto supone cientos de miles de webs actualmente. Recordamos que WordPress supone el 25% de los sitios webs de internet.
Una solución el fallo fue incluido en la versión 4.7.2 , junto a parches para otros problemas menos graves. Esto fue hecho intencionalmente para se tuviera tiempo de actualizar a la ultima versión.
La versión 4.7.2 fue lanzada el 26 de enero de 2017 tal como podemos ver en la web de WordPress y las versiones 4.7.1 y 4.7.0 el 21-Ene-2017 y 04-Ene-2017 respectivamente
El API REST mediante JSON permite el acceso para ver, editar, borrar y crear post. Un error en el diseño permite a los visitantes editar cualquier post de la web .
La API REST está activado por defecto en todos los sitios que utilizan WordPress 4.7.0 o 4.7.1 . Si su sitio web usa estas versiones de WordPress, entonces es altamente vulnerable a un hackeo de sus post.
Que estamos haciendo en SERED
Estamos ajustando el Firewall ( WAF ) para bloquear las peticiones de ese tipo , bloqueando en unos dias miles de peticiones de este tipo . De todas formas es muy recomendable actualizar a la version 4.72. Ya que algunos servidores dedicados , vps , tienen reglas propias que pueden dejar una pequeña brecha de seguridad.
Recomendación
Si no tiene las actualizaciones automáticas en sus sitios WordPress le recomendamos actualizar lo antes posible a la version 4.7.2 de WordPress, ya que de otra manera puede estar expuesto a que editen las entradas de su sitio web.
Usar un hosting Profesional como el Hosting WordPress de Sered le da mayor seguridad , ay que detrás hay un equipo técnico pendiente de los problemas de seguridad que puedan surgir
Si necesita ayuda no dude en contactar con nuestro Soporte Especializado
Enlaces de interes:
Blog de Sucuri – Marc-Alexandre Montpas of Sucuri descubridor del 0-Day