WordPress 5.6 presenta un nuevo riesgo para nuestra web

Publicado el

wordpress

Wordpress es el CMS más usado en todo el mundo. Hay millones de sitios web que usan Wordpress como plataforma de gestión de contenido, y ahora que ha salido la versión 5.6 ha llegado el momento de estar atentos a posibles nuevas amenazas presentes.

Así es, WordPress 5.6, está con nosotros desde el 8 de diciembre de 2020, e incluye algunas características y actualizaciones importantes, así como una gran cantidad de mejoras menores y correcciones de errores. Algunos cambios tienen implicaciones inmediatas para la seguridad y la compatibilidad, pero ojo que no todo son rosas.

El riesgo de dar contraseñas a aplicaciones externas

WordPress 5.6 vendrá con una nueva función que permite que las aplicaciones externas soliciten permiso para conectarse a un sitio y generar una contraseña específica para esa aplicación. Una vez que se le ha otorgado acceso a la aplicación, puede realizar acciones en nombre de un usuario a través de la API REST de WordPress. Esta funcionalidad es similar a XML-RPC (que siempre aconsejamos bloquear), pero la API REST ofrece capacidades significativamente más amplias.

Es decir, que no tendremos solamente a usuarios dentro de Wordpress, podemos tener a aplicaciones para que realicen tareas. Algunos ejemplos de cómo podrían usarse incluyen publicar publicaciones en un sitio de WordPress desde otras interfaces, acceder o actualizar datos en la base de datos de WordPress, o incluso crear usuarios.

Desafortunadamente, es muy sencillo crear un administrador del sitio para que otorgue contraseñas a una aplicación maliciosa. Un atacante podría engañar al propietario de un sitio para que haga clic en un enlace solicitando una contraseña de aplicación, nombrando su aplicación maliciosa como quisiera.

Las URL de solicitud de contraseña de las aplicaciones están configuradas para enviar la contraseña recién generada al sitio del solicitante a través de una URL de redireccionamiento. Dado que las contraseñas de aplicaciones funcionan con los permisos del usuario que las generó, un atacante podría usar esto para obtener el control de un sitio web.

Son ataque de ingeniería social, por lo que hay que estar atentos a este tipo de peticiones.

Solución de Wordfence

La versión 7.4.14 de Wordfence (pluguin famoso para aumentar la seguridad de los sitios web), deshabilita las contraseñas de aplicaciones de forma predeterminada. Si tiene un caso de uso específico para las contraseñas de aplicaciones y desea volver a habilitar las contraseñas de aplicaciones, puede hacerlo en Wordfence-> Firewall-> Manage Brute Force Protection.

Las contraseñas de las aplicaciones se generan de forma segura y tienen 24 caracteres (con contraseñas seguras), por lo que es poco probable que los ataques de fuerza bruta tengan éxito, pero si alguien hace click donde no debe, la contraseña se enviará al hacker.

En Wordfence recomiendan:

Si decide hacer uso de contraseñas de aplicaciones, le recomendamos encarecidamente que configure un usuario con permisos mínimos, idealmente con solo las capacidades necesarias específicamente para la aplicación a la que desea conectarse.

Otras cosas que tiene Wordpress 5.6

Pero no todo es negativo, la versión 5.6 trae buenas novedades:

Compatibilidad con PHP 8: está diseñado para ser «beta compatible» con PHP 8. Si usas muchos plugins, es mejor no actualizar a PHP 8, pero si estás creando un sitio nuevo desde cero, es la mejor opción.

Actualizaciones automáticas de versiones principales

Un tema completamente nuevo: titulado Twenty Twenty-One, se basa en un tema existente, Seedlet, y es bastante mínimo, aunque incluye soporte para el modo oscuro.

Comparte en: