Aviso de seguridad: Vulnerabilidad XSS afectando a múltiples plugins de WordPress
Varios plugins de WordPress son vulnerables a ataques de «Cross-site scripting» (XSS) debido al mal uso de las funciones add_query_arg() y remove_query_arg(). Estas son funciones populares usadas por los desarrolladores para modificar y añadir cadenas de consultas en URLs dentro de sitios hechos con WordPress.
A la fecha, estos son algunos de los plugins más conocidos que han sido afectados:
- Jetpack
- WooCommerce
- WordPress SEO
- Google Analytics by Yoast
- All In One SEO
- Gravity Forms
- Easy Digital Downloads
- UpdraftPlus
- WP E-Commerce
- WPTouch
- Download Monitor
- Related Posts for WordPress
- My Calendar
- P3 Profiler
- Give
- Broken-Link-Checker
- Ninja Forms
Debe haber algunos más que se nos hayan escapados. Recordemos que la cantidad de plugins para WordPress es inmensa. Lo que recomendamos, si tú usas WordPress es que vayas a tu panel de administración wp-admin y actualices AHORA! cualquier plugin antiguo/desactualizado que tengas.
Este problema fue identificado por primera vez por Joost de Yoast en uno de sus plugins (hizo un buen escrito sobre el tema).
El equipo de Sucuri ha revisado plugins en el repositorio de WordPress para avisar a sus desarrolladores sobre el tema y ayudarles a parcharlo.
La buena noticia es que ya todos (o la gran mayoría) de plugins afectados han sido parchados y sólo queda en los dueños de sitio web con WordPress que ingresen a su panel y los actualicen.
A nosotros este problema nos ocurrió, varios sitios web en nuestros servidores fueron afectados y código fue inyectado. Tuvimos que actualizar plugins en la mayoría de los casos y en otros, simplemente eliminarlos. Además hubo que editar archivos PHP que no eran parte de plugins pero que ya habían sido infectados con código malicioso.
Agradecemos el apoyo de GreenGeeks, empresa que nos brinda el servicio de hosting ya que estuvieron hombro con hombro ayudándonos a deshacernos de este problema y pudimos reestablecer nuestros sitios web y los de nuestros clientes en menos de una mañana.