Actualización de Seguridad en WordPress

Todos los proyectos de 3w2 han sido actualizados para evitar fallos de seguridad en relación a la vulnerabilidad detectada en plugins muy populares de WordPress.

La vulnerabilidad fue detectada por Joost de Yoast en sus plugins, aunque parece existir un conocimiento del problema desde 2013, como reflejan algunos comentarios en los foros de WordPress. A medida que se conocía el alcance del problema se confirmó el agujero en múltiples plugins, hasta el punto de informar en portales importantes para dar a conocer la grave situación.  Ante la profundidad del problema se decidió hacer un esfuerzo coordinado, entre desarrolladores, WordPress y Sucuri, para alertar de los plugins afectados.

Este nuevo fallo de seguridad se puede evitar con la actualización de WordPress a la versión 4.1.2, y la actualización de todos los plugins.

La empresa de seguridad Sucuri ha trabajado de forma coordinada con el equipo de seguridad de WordPress para solucionar la vulnerabilidad XSS descubierta. La vulnerabilidad aprovecha una utilización inadecuada de las funciones add_query_arg() y remove_query_arg(). Incluso el theme Twenty Fifteen contiene el fallo en functions.php.

Se han revisado unos 500 plugins destacados y se ha encontrando la vulnerabilidad en 15, entre ellos algunos muy conocidos como WordPress SEO de Yoast o Jetpac. En el repositorio oficial quedan cerca de 38.000 plugins que también serán revisados.

Recomendaciones

  • Actualizar WordPress y todos los plugins para evitar los fallos de seguridad. Un proyecto actualizado es un proyecto más seguro.
  • Reducir el uso de plugins a los necesarios. Elimina los plugins que no se utilizan y evita la instalación de los que no son necesarios. Así además mejoras el rendimiento y la velocidad de carga. En relación a los temas, elimina los que no usas.
  • Es importante mantener una revisión constante de los proyectos para prevenir cualquier problema y evitarlos antes de que se presenten.

Actualmente la lista de los plugins afectados es la siguiente:

Jetpack
WordPress SEO
Google Analytics
All In one SEO
Gravity Forms
Plugins de Easy Digital Downloads
UpdraftPlus
WP e-Commerce
WPTouch
Download Monitor
P3 Profiler
Give
iThemes Exchange
Broken-Link-Checker
Ninja Forms
Aesop Story Engine
My Calendar

Algunos plugins como All in one SEO pack o JetPack ya están actualizados y han eliminado la vulnerabilidad pero es necesario revisar las actualizaciones de todos los plugins instalados. Desde WordPress han lanzado la versión 4.1.2 a través de las actualizaciones automáticas. Si no tienes esta configuración deberás realizar una actualización manual.

En desarrollo de temas o plugins será necesario revisar la documentación actualizada del Codex para adaptar el código y evitar el uso inadecuado de las funciones add_query_arg() y remove_query_arg(). Desde WordPress recomiendan a los desarrolladores una implementación del patch en plugins y themes, con sugerencias de cambios en el código, como el uso de:

[php]
esc_url() y esc_url_raw()
[/php]

Desde Smartik.ws sugieren un nuevo documento .php y renombrarlo a un nuevo query_arg parcheado. Subir el archivo php al plugin y hacer un “search&replace” cuando se llame al archivo.

Recuerda que antes de realizar actualizaciones o cambios en un proyecto es necesario disponer de una copia protegida.

Fuente: https://make.wordpress.org/plugins/2015/04/20/fixing-add_query_arg-and-remove_query_arg-usage/