La última actualización de WordPress, la 4.7.2, es muy importante ya que corrige unos fallos de seguridad bastante inquietantes. Es por esto que siempre recomiendo a mis clientes que actualicen sus páginas con la última versión de WP. En este caso no es ni siquiera una opción. Es obligatorio pues se han corregido en concreto 4 vulnerabilidades. Y que sean solo cuatro y que WordPress recomiende esta actualización es porque es delicado el tema. De hecho la empresa Sucuri, que se dedica a la seguridad de sitios web, recomienda que se haga esta actualización inmediatamente. Recibí su correo hace pocos días y eso es lo que he hecho.
Estas vulnerabilidades son que es fácil que se inyecte código malicioso a través de SQL, y esto no es bueno. La segunda vulnerabilidad tiene que ver con XSS. La tercera es que a través de la utilidad Publica esto (Press this en la versión en inglés), era posible que un usuario no autorizado pudiera publicar categorías. Y la cuarta y más importante y delicada es una vulnerabilidad de privilegios sin autenticar en la API Rest. Y esto, aunque sea técnicamente difícil de entender, es grave.
Si tu WordPress es la versión 4.7.0 o 4.7.1 no lo pienses mucho: Actualiza ya. Sucuri ha encontrado cientos de webs en manos de hackers gracias a estos fallos de seguridad. No se lo pongamos fácil a los delincuentes. En este enlace puedes leer el artículo de Sucuri: WordPress REST API Vulnerability Abused in Defacement Campaigns. Al fin y al cabo le dedicamos mucho esfuerzo a nuestra web como para que nos jodan.
Espero que todo vaya bien y que vuestras versiones de WordPress estén actualizadas. Siempre, siempre, actualizar a la última versión.
