Dos plugins en unos días con vulnerabilidades graves: por qué debes actualizar todo y siempre en WordPress

La verdad que llevamos unas semanas algo intensas en el mundo WordPress. Se han sucedido dos problemas graves de seguridad en dos plugins diferentes (de los populares) en muy poco tiempo. No es que WordPress sea inseguro, ni mucho menos, pero sí es cierto que hay que tener clara dos cosas. La primera que es muy popular y que los «malos» de la película están buscándole todo el rato las cosquillas. Y la segunda es que en el momento que instalamos un tema o un plugin en nuestro sitio, delegamos parte de la seguridad de nuestro sitio en el tema y en los plugins.

¿Qué plugins han sido los afectados?

Pues han sido tres que seguro que conoces (al menos a alguno de ellos):

1. Uno de los plugins más populares para configurar una cuenta SMTP en nuestro WordPress Easy WP SMTP
2. El plugin para duplicar páginas y otros contenidos llamado Duplicate Page

Son dos plugins muy populares y son dos plugins que además se tienen instalados de forma continua y se usan a menudo. Francamente, yo en muchas instalaciones los tengo.

¿Qué ha pasado?

Se han descubierto fallos de seguridad (de los gordos, de los darte el control total del sitio) y aunque los respectivos autores los han actualizado, muchos usuarios han sufrido ataques porque no estaban actualizados a la última versión. ¿En qué orden se suelen producir estos problemas? Os lo digo por experiencia propia.

1. Alguien externo detecta el problema y notifica al autor
2. El autor ve el problema, lo resuelve y actualiza
3. Una vez actualizado el plugin y protegido, se hace el anuncio del problema de seguridad

¿Qué ocurre si no estás actualizado? Pues como podéis ver, si no actualizas o actualizas tarde (en plan dejar la actualización para dentro de una semana) puedes estar dentro del grupo de afectados.

La verdad es que WordPress es el único sistema gestor de contenidos, donde todo el mundo puede actualizar sin miedo dando sólo a un botón (incluso él actualiza ciertas cosas de forma automática). Así que el único miedo que puedes tener es que la actualización rompa algo (que no es normal). Si tienes ese miedo, lo mejor es que tengas un hosting que haga las copias de seguridad por ti y al que puedas recurrir.

Así que en resumen actualiza todo, siempre y cuanto antes. Créeme que un problema de seguridad es mucho peor: para tu imagen de marca, para la seguridad de los datos que albergas y para tu nivel de posicionamiento en Google. Luego, poco vale arrepentirse con lo fácil que es estar actualizado.Nota: Hay una valoración incrustada en esta entrada, por favor, visita esta entrada para valorarla.

Almacenamos las IPs desde la que se envían las valoraciones para evitar fraudes