Martes 23 de Mayo de 2023

驴Fallo en Wordpress?

Una vulnerabilidad en esta herramienta est谩 siendo explotada para comprometer sitios web.

Compartir en Redes

馃摪 Esta conocida herramienta de gesti贸n de contenidos, recientemente, fue comprometida por una vulnerabilidad categorizada como CVE-2023-30777, que afect贸 a m谩s de 2 millones de usuarios/as a nivel mundial.聽

馃洝锔 Si bien ya fue corregido, este ataque de secuencias de comandos en sitios cruzados (XSS) permiti贸 escalar privilegios de usuarios no autorizados, para inyectar secuencias de comandos maliciosas, redireccionamientos, anuncios y otras formas de manipulaci贸n de URL en sus sitios web objeto, comprometiendo informaci贸n confidencial de sus usuarios/as y otros activos de la informaci贸n.聽聽

鉁匬or eso, si utilizas este sistema, en este post, te brindamos nuestras recomendaciones a tener en cuenta, fundamentalmente, la de mantener correctamente actualizados a la 煤ltima versi贸n disponible, tanto el WordPress como sus themes y plugins.聽

Las versiones afectadas son las anteriores a 5.12.6 (retroalimentada) y 6.1.6., trat谩ndose de una falla cross-site scripting (XSS).聽

Esta vulnerabilidad permite a usuarios no autorizados escalar privilegios, para as铆 robar informaci贸n confidencial y otros activos.

Aunque esta falla ya ha sido detectada y corregida, en caso de usar WordPress, se recomienda:聽

  • Actualizar a la 煤ltima versi贸n disponible, tanto el WordPress como sus themes y plugins.聽
  • Elegir un proveedor de hosting confiable y seguro.聽
  • Realizar copias de seguridad peri贸dicas y mantenerlas actualizadas.聽
  • Eliminar manualmente cualquier theme y/o plugin en desuso.聽
  • Durante la instalaci贸n, cambiar el prefijo de la base de datos por uno personalizado.聽
  • Configurar un certificado SSL (Secure Sockets Layer)聽
  • Instalar un firewall de aplicaciones web (WAF)聽聽

Para proteger el panel de administraci贸n:聽

  • Modificar el nombre del usuario predeterminado (鈥渁dmin鈥) por uno personalizado.聽聽
  • A帽adir plugins de seguridad para limitar intentos de inicio de sesi贸n, bloquear IPs maliciosas, detectar cambios en archivos, etc.聽

Mantener actualizadas nuestras tecnolog铆as contempla a todas las partes involucradas, como, en este caso, a este sistema de gesti贸n de contenidos.聽

馃搶 饾棪饾棞 饾棫饾棙饾棥饾棙饾棪 饾棓饾棢饾棜饾棬饾棥饾棓 饾棗饾棬饾棗饾棓 饾棦 饾棖饾棦饾棥饾棪饾棬饾棢饾棫饾棓:聽
Escribinos a 馃摡 ciberseguridad@ba-csirt.gob.ar o por privado 馃挰 en nuestras redes