Seguridad WordPress: API REST WordPress

Si la seguridad WordPress siempre es actualidad, en los últimos días se ha visto comprometida por una nueva vulnerabilidad descubierta en su última versión, 4.7.0 -4.7.1, vulnerabilidad en API REST WordPress, concretamente.

Uno de los repositorios de vulnerabilidades de WordPress más fiables notificaba un nuevo  agujero en la seguridad del CMS más famoso del mundo e inmediatamente después más de 1 millón de páginas web desarrolladas con este gestor de contenidos eran hackeadas.

En este artículo te damos más detalles de esta nueva vulnerabilidad y te enseñamos cómo evitar este agujero en la seguridad WordPress.

Seguridad WordPress y actualizaciones

Las actualizaciones son uno de los puntos clave para garantizar la seguridad de cualquier aplicación web. En el caso de WordPress, además, las actualizaciones son sin duda la clave de la seguridad, ya que, gracias al trabajo de desarrollo constante que hacen todos los integrantes cada nueva actualización implica un paso más en esta materia.
Seguridad WordPress, versión 4.7.2

En el caso de las versiones 4.7.0  y 4.7.1 de WordPress, la actualización cerró algunas vulnerabilidades, pero al parecer abrió una muy peligrosa.

Vulnerabilidad en API REST WordPress

El 1 de febrero, se destapaba una vulnerabilidad en la API REST WordPress que dejaba vía libre a cualquiera para modificar  entradas y páginas de la web sin necesidad de autenticación.

Es decir, permitía a los atacantes saltarse los controles de seguridad de autentificación mediante la generación de petición HTTP falsa. De tese modo, podían realizar modificaciones en los contenidos, sin que el propietario se diera cuenta.

Tras unos días de caos, el equipo de seguridad y desarrollo de WordPress ha conseguido dar con la clave y ha publicado en tiempo record una nueva actualización, WordPress 4.7.2. En esta nueva versión, se tapa ese agujero en la REST API WordPress, demostrando una vez más que este es un gestor de contenidos ‘vivo’ y se mantiene en constante desarrollo.

Si tienes alguna de las versiones que incluye la vulnerabilidad, apresúrate a actualizarla. Si por el contrario, tu web ha estado expuesta durante el desarrollo de la nueva versión de WordPress y has sufrido un hackeo, ponte en contacto con un equipo técnico.

En próximos artículos os damos más claves en seguridad WordPress.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *