La febril actividad de los piratas informáticos y su capacidad para invadir los servicios de internet, obliga a las empresas desarrolladoras de software a estar adoptando medidas de seguridad, para evitar que los usuarios sufran perjuicios potencialmente devastadores.
Los atacantes son capaces de todo: Acceder a los mensajes privados de los usuarios, agregar nuevas aplicaciones, disponer de imágenes privadas de sus víctimas, robar listas de contactos y credenciales, espiar, incluir mensajes y páginas “popup”, redireccionar a los usuarios hacia páginas con malwae, entre otros.
Para contrarrestar el ataque de los piratas, sistemas de gestión de contenidos (CMS) como WordPress, Drupal y Joomla dedican tiempo y esfuerzos a desarrollar las herramientas de seguridad que ofrecen a sus clientes.
En esta permanente labor de depuración, las empresas no están solas; reciben el apoyo de especialistas informáticos que descubren la utilización de elementos XSS (Cross-site scripting), utilizados por los hackers en aplicaciones que tienen, entre sus funciones, la misión de presentar la información en un navegador web u otro contenedor de páginas web.
La más reciente actualización WordPress 4.7.3 es una versión de seguridad para todas las versiones anteriores, que incluye el control sobre incursiones piratas reportadas por seis especialistas en informática; pero también incluye 39 revisiones de mantenimiento para la serie de lanzamiento 4.7.
Gracias a esos reportes sobre agujeros en la seguridad de las páginas web creadas en WordPress, se están corrigiendo las siguientes debilidades específicas:
- Cross-site scripting (XSS) a través de metadatos de archivos multimedia. (Reportado por Chris Andrè Dale, Yorick Koster y Simon P. Briggs).
- Los caracteres de control pueden engañar la validación de la URL de redireccionamiento. (Reportado por Daniel Chatfield) .
- Los archivos no deseados pueden ser eliminados por los administradores utilizando la funcionalidad de eliminación de complementos.( Informado por TrigInc y xuliang) .
- Cross-site scripting (XSS) a través de la URL de vídeo en las incorporaciones de YouTube. (Reportado por Marc Montpas) .
- Cross-site scripting (XSS) a través de nombres de términos de taxonomía. (Reportado por Delta).
- Cross-site request forgery (CSRF) en Press Esto lleva al uso excesivo de los recursos del servidor. (Reportado por Sipke Mellema).
La vulnerabilidad es mayor cuando el sitio web fue construido sobre un paquete básico, de bajo costo, carente de las herramientas necesarias para cerrar a la piratería. Cuando se elabora un sitio web, es preciso incluir sistemas de seguridad, para prevenir amenazas.
También es importante que el propio administrador del sitio debe estar atento para comprobar la proveniencia de mensajes, comentarios y ciertos comportamientos de la web que parezcan inusuales.
La actualización del software en forma regular también puede der vital para prevenir los ataques en línea y de ahí la importancia de estar atento a las actualizaciones de las CMS.
En este caso particular, WordPress recomienda la actualización de los sitios web mediante su versión 4.7.3. Indica:
Descargue WordPress 4.7.3 o vaya a Dashboard → Actualizaciones y simplemente haga clic en «Actualizar ahora». Los sitios que admiten actualizaciones de fondo automáticas ya están empezando a actualizarse a WordPress 4.7.3.
Es una alternativa fácil de ejecutar, para conjurar daños potencialmente devastadores.