Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

¡Tu Wordpress necesita ser actualizado!

Fecha de publicación 13/12/2018
Importancia
4 - Alta
Recursos Afectados

WordPress 3.7 y posteriores. 

Descripción

WordPress ha publicado una actualización de seguridad que soluciona varios problemas de seguridad.

Solución

Se recomienda que actualices tu WordPress a la versión 5.0.1. Para ello, descarga la última versión desde la página del gestor de contenidos o, dentro del propio gestor, en «Escritorio», «Actualizaciones» y en el área de administración de tu sitio, haz clic en «actualiza ahora».

Instrucciones de actualización

Para saber si existe una actualización de seguridad de WordPress deberás acceder a la consola de Administración del CMS. Automáticamente, al entrar aparecerán varios mensajes haciéndonos saber que existe una actualización de seguridad.

Si hacemos clic en el botón superior «Por favor, actualiza ahora» o en el botón «Actualizar a 5.0.1», comenzará la actualización automática:

Imagen que muestra los botones de actualización de WordPress, donde se indica que hay una versión disponible.

A continuación, aparecerá una ventana en la cual se muestran todas las actualizaciones pendientes como son la versión de WordPress, los plugins y los temas instalados. Seleccionaremos el botón «Actualizar ahora». Este proceso puede tardar varios minutos durante los cuales la página se encontrará en modo mantenimiento.

Imagen que muestra el botón actualizar ahora

Una vez finalizado, visualizaremos una pantalla como la que se muestra en la siguiente imagen, informando que nuestro WordPress está actualizado a la versión 5.0.1.

Imagen que muestra que el WordPress se ha actualizado correctamente

Nota: recomendamos realizar esta actualización en un entorno de desarrollo o preproducción antes de aplicarla en el entorno de producción. Antes de corregir el problema, haz una copia de seguridad de tu web, tanto de la base de datos como de todos los archivos que componen el sitio.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117. 
 

Detalle

Se han detectado una serie de fallos, mediante los cuales, un atacante podría llevar a cabo las siguientes acciones maliciosas:

  • alterar metadatos que permitan la eliminación de archivos sin autorización;
  • crear publicaciones para las cuales no se esté autorizado y que incluyan contenido específicamente diseñado;
  • modificación de metadatos que permitan la inyección de objetos php;
  • edición de comentarios mediante un usuario con los privilegios más altos, permitiendo la inclusión en los mismos de código malicioso. Esta vulnerabilidad se conoce con el nombre de cross-site scripting (XSS). También se ha comprobado que este tipo de vulnerabilidad podría afectar a algunas entradas URL específicamente diseñadas en los plugins de WordPress.
  • La pantalla de identificación de usuario, podría ser indexada por motores de búsqueda en algunas configuraciones poco comunes. Esto provocaría que las direcciones de correo quedaran expuestas y, en algunos casos raros, las contraseñas generadas por defecto;
  • páginas que estén alojadas con Apache, permitirían la carga archivos que evitasen la verificación MIME, permitiendo de nuevo una vulnerabilidad tipo cross-site scripting. Cualquier archivo que se suba a un servidor, debería pasar por una serie de validaciones que verifiquen que el fichero que se está cargando, no es malicioso. 

Desde WordPress indican que estas vulnerabilidades han sido detectadas a tiempo y corregidas antes de que se hayas podido realizar este tipo de ataques. No lo dudes, actualiza tu WordPress a la versión 5.0.1.

Tu soporte tecnológico puede consultar una solución más técnica el área de avisos del INCIBE-CERT.
 

Mejoramos contigo. Participa en nuestra encuesta