TIC's en la Web

Detectados dos fallos (resueltos) en la seguridad del All in One SEO pack

wordpress-all-in-one-seo-pack-plugin-hack

El equipo responsable de All in One SEO pack acaba de lanzar una nueva versión de su renombrado plugin. Se trata de una actualización de la seguridad que resuelve dos vulnerabilidades de seguridad que pueden afectar a cualquier sitio que ejecute el programa:

Supón que tu web tiene suscriptores, autores y usuarios no administradores accediendo vía wp-admin. Es ese caso, tu sitio corre peligro: de modo que debes actualizar el plugin de manera inmediata.

Existen (existían) dos fallos en la seguridad que permitían a cualquier hacker gestionar la escala de privilegios y llevar a cabo ataques de cross site scripting (XSS).

Un ataque demoledor para el SEO

En el primer caso, un usuario logueado, sin ningún tipo de privilegios de administración (un autor o un suscriptor, por ejemplo), podía añadir o modificar determinados parámetros usados por el plugin. Imagina a tu competencia toqueteando en el título SEO de tu post, la descripción y las palabras clave o las metaetiquetas. Sí, se iba a notar mucho en las páginas de resultados de los buscadores.

… Y aun puede ser mucho peor

Y lo dicho hasta ahora es lo menos preocupante. Sí: no es bueno enfadar a San Google, pero, al fin y al cabo, el daño es relativamente controlable. Ocurre que la segunda vulnerabilidad es bastante más preocupante: el fallo permite que se pueda ejecutar javascript malicioso en el panel de control del administrador.

Esto quiere decir que un atacante podría inyectar código javascript y hacer cosas como cambiar la clave de la cuenta del administrador para dejar algún tipo de “puerta trasera” en los archivos de tu web para llevar a cabo actividades menos buenas o incluso ilegales más adelante.

¿Cómo evitar que esto suceda? Pues es tan sencillo como actualizar el plugin a su última versión. Si, por lo que sea, no pudieras hacerlo, es muy recomendable que contactes con algún administrador de sistemas para poder proteger a tus usuarios de esta amenaza.

En cualquier caso, el All in One SEO pack no se distingue por mostrar ningún tipo de bugs, lo que implica que este tipo de noticias sean mucho más sonadas de lo habitual… Además del hecho que son del orden de 15 millones de sitios los que deben actualizar el plugin cuanto antes.

Exit mobile version