viernes, 29 de enero de 2016

Wordpress del pleistoceno vulnerables hasta a la gripe, ¿hasta cuando?

Compartir este artículo:
Buenas a todos, en el post de hoy me gustaría realizar una crítica constructiva para todas aquellas empresas que se dedican a cocinar páginas web en Wordpress (aunque es extrapolable a Joomlas, Prestashops, Drupals, y demás gestores de contenido) para sus clientes y que no les explican cómo deben actualizar sus Wordpress, o en su defecto a todos aquellos clientes que desconocen, ignoran o no le dan la importancia suficiente a este sencillo proceso, el cual les evitaría de disgustos futuros innecesarios, cuando llegue un delincuente y en un barrido automático descubra que su Wordpress del pleistoceno "sin actualizar" sufre vulnerabilidades corregidas hace X años, y gracias a las cuales puede modificar sus artículos e incluir enlaces para "campañas de black SEO", links a páginas de viagra, y demás menesteres por los que se suelen sacar un dinerillo en las cantinas más turbias de Internet...

Ya hemos escuchado mil veces la cantinela de "si actualizo Wordpress se me descolocan los X" (sustituya la X por el texto "widgets", "plantilla", "banners", "anuncios", etc.). Quizás sea que la web no estaba tan bien programada y por ello todos sus contenidos se vayan al traste... pero esa es otra batalla en la que no vamos a entrar.

No puede ser, que en pleno año 2016, sigamos encontrando Wordpress versión "1.2", con una búsqueda en Google tan simple como la siguiente (he tapado los dominios por respeto):
  • inurl:"readme.html" ext:html intitle:wordpress




Es importante reseñar que la versión 1.2 es del año 2004, es decir, de hace 12 años:

  • https://wordpress.org/news/2004/10/wp-121/

Y por tanto, si en un Wordpress desactualizado unos meses con una versión 4.2.3 ya se sufren vulnerabilidades de inyección SQL con las que se puede actuar directamente sobre la base de datos...  (vease este interesante post: http://www.ethanjoachimeldridge.info/tech-blog/compromising-wordpress) ¿qué no podría hacerse en una versión de Wordpress de hace más de 10 años...?

Programadores, compañías de desarrollo web, clientes y usuarios en general, tened cuidado con vuestros gestores de contenido y actualizadlos, tanto los motores como los plugins... ¡o ateneos a las consecuencias!

Saludos!

No hay comentarios:

Publicar un comentario en la entrada

Related Posts Plugin for WordPress, Blogger...