Grave vulnerabilidad en wordpress.
Desde el blog de sucuri alertan de una grave vulnerabilidad en wordpress que afectaría a varios de los plugins y themes más utilizados, por el mal uso de las funciones add_query_arg() y remove_query_arg().
Al parecer la documentación en el codex no es muy precisa, y algunos themes y plugins esperan que estas funciones saneen la entrada cuando realmente no lo hacen.
Algunos de los plugins afectados son:
Actualiza tu instalación ya!
Aunque la lista de plugins no para de crecer, nuestra recomendación como siempre, es mantener al día tus actualizaciones de seguridad, revisa a diario plugins, themes y el propio wordpress en busca de actualizaciones y a ser posible utiliza algun método para prevenir ataques de fuerza bruta.
Plugins como wordfence te pueden ayudar mediante notificaciones en caso de necesitar alguna actualización de seguridad, además de avisarte si detecta cambios en los ficheros.
Si eres programador, revisa que en tu código no hagas uso de estas funciones:
add_query_arg() remove_query_arg()
Esta vulnerabilidad en wordpress puede afectarte si las utilizas, asegúrate de sanear la entrada con funciones como esc_url() o esc_url_raw(), estas funciones no escapan la entrada por si solas y por lo tanto estarás poniendo en peligro tu blog.
Recordad: Keep calm… and update your wordpress!
