Nos advierte Daniel Cid, de Sucuri Blog de la existencia de múltiples plugins de WordPress vulnerables a Cross-site Scripting (XSS) a causa del mal uso de las funciones add_query_arg() y remove_query_arg().
Si se pregunta ¿para qué es esto? Estas son las funciones más utilizadas por los desarrolladores para modificar y agregar cadenas de consulta a las direcciones URL’s dentro de WordPress.
Hasta la fecha, nos dan una lista de plugins afectados:
-Google Analytics por Yoast
-Todo en uno SEO
-Formas de Gravedad
-Múltiples Plugins de Easy Digital Descargas
-WP-E-Commerce
-WPTouch
-Descargar Monitor
-Mensajes Relacionados para WordPress
-P3 Profiler
-Give
-Múltiples productos iThemes incluyendo Builder y Cambio
-Roto-Link Checker
-Formas de Ninja
Nos aconsejan que si usa WordPress, es muy recomendable que en este momento vaya a su panel de control wp-admin y actualice los plugins que están fuera de fecha.
El equipo de Sucuri Blog junto a los de Joost de Yoast, quienes detectaron por primera vez este problema, han estado trabajando en investigar del tema a través de repositorio de WordPress en los últimos días en un intento de encontrar y advertir a muchos desarrolladores de plugins como sea posible.
Si usa WordPress, ¡ahora es su turno para actualizar sus plugins! Si tiene las actualizaciones automáticas activadas, su sitio debería estar ya parcheado, especialmente en los casos más graves. Si es desarrollador, El equipo de WordPress está proporcionando más directrices para ayudarte en este tema aquí.
Recordar lo que indican en el artículo: ?todo software tendrá errores y algunos de esos errores conducirán inevitablemente a las vulnerabilidades de seguridad?. Aunque por mucho que los desarrolladores traten de minimizarlos, estos pueden estar ahí y al decir ?estos? se aplica a cualquier cosa que haya sido escrito por personas basadas en el código: plugins, temas, servidores web, CMS, etc.
La solución: es estar preparados para encontrar formas de reducir el efecto a la vulnerabilidad en su entorno. Aquí algunos consejos y trucos para ayudar a reducir su riesgo global y mejorar su postura de seguridad individual:
Securiti Blog pueden hacerlo de forma gratuita para usted.
Si usted tiene un sistema de prevención de instrucciones (IPS) o Web Application Firewall (WAF), puede ayudar a bloquear los tipos más comunes de hazañas XSS.
Estos son algunas recomendaciones de alto nivel que nos indica el equipo de Securiti Blog. Si necesita más información visite este blog para obtener más ideas sobre cómo mantener su sitio web seguro y preparado para las amenazas.