Si tienes un sitio web en WordPress, y usas el plugin WPML para traducciones, es momento de prestar mucha atención. Recientemente se descubrió una vulnerabilidad crítica en este popular plugin, que afecta a más de un millón de sitios y podría permitir a atacantes tomar el control total de tu página.
¿Qué es la vulnerabilidad en WPML?
La vulnerabilidad en WPML se debe a la falta de un proceso de seguridad conocido como sanitización, que filtra los datos de entrada para evitar la carga de archivos maliciosos. Sin esta protección, el plugin se vuelve vulnerable a la ejecución remota de código, lo que podría llevar a que un atacante tome control completo del sitio.
El problema radica en una función de un shortcode para crear un conmutador de idioma personalizado. Esta función procesa el contenido del shortcode en una plantilla del plugin, pero al no sanitizar los datos, queda expuesta a inyecciones de código malicioso.
Versiones afectadas y gravedad de la vulnerabilidad
La vulnerabilidad afecta a todas las versiones del plugin WPML hasta la versión 4.6.12 inclusive. Según la organización Common Vulnerabilities and Exposures (CVE), esta falla tiene una gravedad de 9.9 sobre 10, lo que la convierte en una amenaza crítica para los sitios afectados.
Si usas WPML en tu sitio, es crucial que actualices a la última versión lo antes posible para protegerte de posibles ataques que podrían comprometer tu sitio web.
Cronología de la vulnerabilidad
La vulnerabilidad fue descubierta por Wordfence a finales de junio. Aunque notificaron rápidamente a los desarrolladores de WPML, estos no respondieron de inmediato, tardando aproximadamente un mes y medio en confirmar la recepción de la alerta, el 1 de agosto de 2024.
Los usuarios de la versión de pago de Wordfence recibieron protección ocho días después del descubrimiento, mientras que los usuarios de la versión gratuita la obtuvieron el 27 de julio. Sin embargo, los usuarios de WPML que no utilizaban Wordfence tuvieron que esperar hasta el 20 de agosto para recibir una actualización que solucionara el problema, con el lanzamiento de la versión 4.6.13.
La importancia de actualizar WPML a la última versión
Desde Wordfence se insta a todos los usuarios de WPML a asegurarse de que están utilizando la última versión del plugin, la 4.6.13. Esta actualización es fundamental para proteger tu sitio de posibles ataques que puedan aprovechar esta vulnerabilidad crítica.
Si no has actualizado WPML recientemente, es crucial que lo hagas de inmediato para evitar que tu sitio se vea comprometido. Las consecuencias de no hacerlo podrían ser devastadoras, incluyendo la posibilidad de perder el control total de tu página web.
Conclusión: Mantén tu sitio seguro
La vulnerabilidad descubierta en el plugin WPML subraya la importancia de mantener actualizados todos los componentes de un sitio web. No solo se trata de añadir nuevas funcionalidades, sino también de proteger tu sitio contra amenazas cada vez más sofisticadas.
Recuerda, un sitio seguro es esencial para mantener la confianza de tus usuarios y proteger tu contenido. Asegúrate de revisar regularmente las actualizaciones y aplicar los parches de seguridad tan pronto como estén disponibles.
Fuente: https://www.searchenginejournal.com/wordpress-translation-plugin-vulnerability-affects-1-million-sites/525503/