El equipo de seguridad de WordPress acaba de emitir una alerta de seguridad alta sobre el core, por lo que se recomienda actualizar la herramienta lo antes posible dada la gravedad de las amenazas detectadas.
En concreto, la alerta de seguridad que ha sido emitida contiene varias amenazas, muchas de ellas catalogadas como de peligrosidad alta. Las amenazas reportadas son:
- XSS (Cross-site scripting) almacenado mediante 'wp-mail.php'.
- Redirección abierta en 'wp_none_ays'.
- Dirección de correo electrónico expuesto en 'wp-mail.php'.
- XSS (Cross-site Scripting) reflejado a través de la biblioteca de medios.
- CSRF (Cross-site request forgery) en 'wp-trackback.php'.
- XSS almacenado a través del personalizador.
- Instancias compartidas de usuarios inversas compartidas a través de funciones.
- XSS almacenado en el núcleo de WordPress a través de la edición de contenidos.
- Exposición de datos a través de la variable 'términos/etiquetas REST'.
- Filtración de contenido de correos electrónico multiparte.
- Inyección SQL como consecuencia de un saneado inadecuado en 'WP_Date_Query'.
- XSS Almacenado en el widget de RSS.
- XSS almacenado en el bloque de búsqueda.
- XSS y XSS almacenado en el bloque de imagen destacado.
- XSS en bloque de widget.
Para solucionar estas amenazas de seguridad detectadas se ha publicado WordPress 6.03 la cual los soluciona. En el caso de que tengamos activadas las actualizaciones automáticas, ésta se realizará sin que nosotros tengamos que intervenir. Por el contrario, si las tenemos desactivadas, podemos actualizar fácil y rápidamente nuestro WordPress desde el enlace que encontraremos en el Dashboard de nuestra instalación.
Las brechas de seguridad han sido detectadas y corregidas en tiempo y forma, y ahora sólo está en nuestras manos el aplicarlas para poder proteger a nuestro sitio y usuarios. No lo dejes para luego. La mayor parte de las brechas de seguridad se producen en sitios desactualizados o con falta de mantenimiento.