Fallo de seguridad en WordPress permite borrar archivos del servidor

WordPress contiene una vulnerabilidad que podría permitir a un atacante la eliminación de toda la instalación de WordPress y archivos del servidor. WordPress 4.9.6, y anteriores, son vulnerables.  El atacante que explote la vulnerabilidad podría escalar privilegios desde una cuenta con un rol bajo como Author, o mediante la explotación de otra vulnerabilidad/configuración incorrecta. El atacante podría eliminar cualquier archivo de la instalación de WordPress así como otros archivos del servidor en el que el usuario del proceso de PHP tenga permisos para eliminar. Podría borrar toda la instalación de WordPress. El atacante podría utilizar la capacidad de eliminación arbitraria Leer más…

WordPress corrige 6 problemas de seguridad

WordPress ha publicado la actualización 4.7.3 corrigiendo 6 problemas de seguridad que se han encontrado en la versión 4.7.2 y anteriores del sistema gestor de contenidos: Cross-site scripting (XSS) a través de metadatos de archivos multimedia. Los caracteres de control pueden engañar el redireccionamiento de validación de URL. Los archivos no deseados pueden ser borrados por los administradores utilizando la funcionalidad de eliminación de complementos. Cross-site scripting (XSS) a través de la URL de video insertada de YouTube. Cross-site scripting (XSS) a través de nombres de términos de taxonomía. Cross-site request forgery (CSRF) en Press. Esta falsificación de solicitudes entre Leer más…

Sitios web basados en CMS desactualizados podrían ser fuente para ataques de ransomware

De acuerdo con la empresa de seguridad Heimdal Security, la inyección de scripts maliciosos que redirigen al usuario de Internet hacia el kit de explotación Neutrino ha aumentado en sitios web legítimos. La mayoría de los sitios web afectados por esta inyección son sitios basados en sistemas CMS (Content Management System) desactualizados o que estando actualizados utilizan complementos o plugins desactualizados. Los sitios web más atacados son aquellos que están basados en WordPress. Existen casi un billón de sitios con el CMS de WordPress, de los cuales se estima que aproximadamente 142 millones de sitios pueden estar comprometidos. Más del 20% Leer más…

Ataques a sitios WordPress

Para los que poseen un sitio WordPress, esta es una noticia que debe llamar su atención. Se ha reportado un ataque de fuerza bruta a la cuenta Admin de sitios implementados bajo WordPress. El uso de WordPress para integrar sitios web se ha extendido. Es fácil de usar y para implementar un sitio web no se requiere de conocimientos de programación. Hay una diversidad de complementos que el usuario puede utilizar para agregar determinada funcionalidad al sitio implementado bajo WordPress. El ataque de fuerza bruta para romper la seguridad de la cuenta Admin de WordPress está utilizando cerca de 90 Leer más…