Anuncios

WordPress Plugin SEO by Yoast es vulnerable a los hackers

WordPress SEO Yoast

El popular sitio de Hacker News ha informado que existe una vulnerabilidad que afecta a millones de usuarios que usan el popular plugin WordPress SEO by Yoast.

De acuerdo con un aviso, todas las versiones del famoso plugin WordPress SEO by Yoast de las anteriores versiones 1.7.3.3 son vulnerables a una inyección de código SQL.

Esto se considera como una vulnerabilidad crítica debido a que podría comprometer seriamente el sitio de WordPress que usa el plugin WordPress SEO by Yoast.

Mohit Kumar de Hacker News explica cómo funciona la vulnerabilidad en el plugin WordPress SEO by Yoast:

“Básicamente en ataque SQLi, es un atacante el cual se inserta vía una consulta de formato incorrecto de SQL en una aplicación a través de una entrada. Sin embargo, en este escenario, un hacker externo podría no activar esta vulnerabilidad porque la falla en realidad reside en el archivo ‘admin/class-bulk-editor-list-table.php’, el cual es que está autorizado para ser visitado por un administrador de WordPress, un Editor o un Autor con la asignación privilegiada”

Por lo tanto, con el fin de aprovechar esta vulnerabilidad, en este caso se podría activar el exploit que sólo los usuarios autorizados podrían hacerlo.

Esto se puede lograr con la ayuda de la ingeniería social, donde un atacante puede engañar a los usuarios autorizados a hacer clic en una URL explotable”.

Tratando de simplificar esto, esto quiere decir que un atacante podría aprovechar esta vulnerabilidad engañando a los administradores de un sitio WordPress para que haga clic en un enlace que desencadenaría el ataque SQLi.

Una vez que el ataque ha sido llevado a cabo, el atacante podría agregar su propia cuenta de administrador para el sitio de WordPress que ya que fue vulnerable y podrá hacer lo que quiera con el portal.

Hay que tomar en cuenta, que el hecho de que hay muchos que usamos el plugin SEO by Yoast no quiere decir que todos estamos afectados por esta falla. El ataque sólo puede ser activado manualmente por un administrador de WordPress, un editor o autor que haga clic en un vínculo peligroso creado por el atacante.

Además, esto es algo que puede ser corregido fácilmente mediante una actualización del plugin WordPress SEO by Yoast a la última versión.

El equipo de Yoast ha parcheado con prontitud el exploit al ser notificado, y la nueva versión (1.7.4) resolverá este problema. La versión Premium del plugin también se ha actualizado.

En el futuro, puede hacer las actualizaciones del plugin automáticamente pasando a Administrar> Plugins y Temas> pestaña y seleccionar, Actualizaciones automáticas.

Si usted no tiene la función de actualización automática activada, se recomienda que actualice el plugin SEO by Yoast en todos los sitios en los que ya lo tienen instalado.

¿Usas WordPress Plugin SEO Yoast, cuéntanos si te ha llegado la actualización?

Anuncios

Dejar un comentario

Anuncios