WordPress y All in One SEO Pack, una mala combinación

Que WordPress se ha convertido en una de las principales plataformas de publicación de contenidos en Internet es algo que ya no se le escapa a nadie. Empezó siendo una herramienta para blogs, pero su evolución ha llevado a que, a día de hoy, tenga la polivalencia necesaria para ser adecuado para muchos otros usos. Sin embargo, ese éxito tiene una cara B, y no es otra que la de haberlo situado en el punto de vista de muchos ciberdelincuentes. Hay muchas razones para ello: obtener datos de usuarios, boicotear la presencia web de una empresa, institución o persona, simple interés «académico»…, la lista es interminable. Por ello, los administradores de páginas web que emplean este popular CMS deben permanecer muy atentos a todas las noticias relacionadas con la seguridad del mismo. Y, en caso como el que es difundido hoy por Computerworld, tomar las medidas adecuadas.

El problema viene, como ocurre en la mayoría de las ocasiones, por la combinación de varios elementos. En este caso se trata por una parte, claro, de WordPress, pero concretamente en combinación con versiones no actuales del plugin All in One SEO Pack, un complemento destinado a optimizar las páginas con el fin de mejorar su presencia en Google. Para tal fin, estos complementos analizan y recomiendan cambios en los contenidos, y en algunos casos también efectúan modificaciones relaciondas con el propio funcionamiento de la web. El problema viene porque, con las versiones anteriores de este plugin, ya que por un fallo de seguridad en su función Bot Blocker (un elemento destinado a bloquear los molestos bots que llenan los comentarios de las publicaciones con spam).

Por el modo en el que este complemento presenta los resultados en el panel de administración de WordPress, si se ha activado guardar un log de los intentos de publicación llevados a cabo por los bots, se genera un agujero de seguridad que, con la técnica de ataque adecuada, puede ser explotado para obtener derechos de administración en la web comprometida. Semper Fi Web Design, la compañía responsable del plugin, publicó el pasado viernes la versión 2.3.7, que corrige ese problema, y a urgido a sus usuarios a que actualicen sus instalaciones de inmediato.

Actualizar los componentes de las webs es, siempre, un buen hábito. No en el primer minuto tras su publicación, claro, es recomendable dar un cierto margen para ver si los primeros en actualizarse detectan algún problema con la nueva versión, pero sí tan pronto como se tenga constancia de su buen funcionamiento. Esta es, sin duda, una práctica imprescindible si queremos evitar muchas de las amenazas que, cada día, se ciñen sobre WordPress.

Imagen: Pixelcreatures