Vulnerabilidad crítica en el plugin de Google para WordPress – MuySeguridad

La ciberseguridad de Taiwán en el punto de mira de EEUU y China
Google anuncia KataOS, un sistema operativo centrado en la seguridad y los sistemas embebidos
El mercado de la ciberseguridad crecerá en España un 7,7% en 2022
ThreatQuotient automatiza la detección de nuevas ciberamenazas
Los ataques de ransomware provocan un aumento de los problemas psicológicos
10 antivirus de rescate gratuitos contra malware en Windows
Follina, la nueva pesadilla de Windows y Office
Ciberguerra Ucrania-Rusia: los frentes digitales
El peligro para Europa de la ciberguerra en Ucrania
Cómo reforzar la seguridad en Internet
«En los últimos años, la superficie de ataque ha cambiado por completo»
«Siempre estamos buscando nuevas formas de mejorar la seguridad de nuestros productos y servicios»
«Con esta alianza ofrecemos al mercado una solución integral de seguridad»
«Es de esperar que sigan aumentando los intentos de ciberataque a las empresas»
«Las soluciones SD-WAN simplifican y automatizan el despliegue y la operación»
Soluciones EDR, seguridad endpoint y productividad
Llegan las amenazas internas: cómo controlar una plantilla híbrida
Cuando se trata de proteger los datos, conoce a tu enemigo
¿Qué es el Directorio Activo y por qué es un blanco fácil para los hackers?
Acceso a información de usuarios sin tocar el terminal móvil
Tianfu Cup 2021: hackean Windows 10, iOS 15, Ubuntu 20, Chrome y otros
Microsoft te muestra el camino para el desarrollo seguro de apps en la nube
Pwn2Own 2021: no hay ningún software que resista al hackeo
Cómo securizar las organizaciones en cualquier lugar
Sophos Evolve: tu cita con la seguridad informática
Cómo deshabilitar la webcam cuando no la uses y evitar que te espíen
Así funciona el nuevo DoNotSpy11 para mejorar la privacidad de Windows 11
Nuevo Tails, ideal para los que buscan privacidad y seguridad
Cómo evitar que el Black Friday 2021 se convierta en el Black… Fraude
Ocho consejos contra ataques de phishing que cualquier usuario puede seguir
Wallix Bastion 9 refuerza la seguridad de las cuentas privilegiadas en todo tipo de escenarios
HP refuerza la seguridad de sus equipos con HP Wolf Security
La hoja de ruta de DevOps en materia de seguridad
Cómo proteger el eslabón «clave» de la cadena: los MSP
Ponte al día en Ciberseguridad con la nueva campaña divulgativa de INCIBE
Publicado el
por
Ya lo hemos comentado en otras ocasiones, WordPress es la plataforma líder en publicación de webs y contenidos en Internet. Y es comprensible, porque hablamos de una solución CMS muy completa, modular, que evoluciona constantemente gracias a la enorme comunidad que tiene detrás. Una comunidad que, por una parte, se encarga de mantener el core del sistema, mientras que otro amplio conjunto de particulares, profesionales y empresas enriquecen su ecosistema gracias a los plugins, esos complementos que elevan las posibilidades casi hasta el infinito.
Ocurre, sin embargo, que con cierta frecuencia estos complementos son los responsables de problemas de seguridad que pueden llegar a comprometer toda la instalación de WordPress, ya que en muchas ocasiones cuentan con los suficientes permisos como para, empleados malintencionadamente, robar datos, emplear la web y la infraestructura con otros fines, boicotear el servicio… sí, un plugin no seguro y mal empleado puede ser muy peligroso. Y cuanto más popular sea ese complemento, claro, más extendido se encontrará el riesgo.
MS Recomienda
Así, hoy sabemos por la compañía de seguridad WordFence, de la que ya hablamos hace unos días, que SiteKit, el plugin de Google para administradores de sitios WordPress, se ha visto afectado por una vulnerabilidad crítica. Google fue informada del mismo el pasado 21 de abril de 2020. Dos semanas más tarde, el 7 de mayo, la compañía del buscador publicó una actualización que solucionaba este problema. Así, con tiempo para que los usuarios hayan actualizado ya, se hacen ahora públicos la naturaleza y el análisis técnico del problema. 
Según los investigadores, esta vulnerabilidad permite a cualquier usuario que se haya autenticado en la página web, independientemente de su rol en en el mismo, acceder y hacerse con el control de Google Search Console. De esta manera podría llevar a cabo acciones como modificar los sitemaps, hacer que determinadas entradas no se muestren en las páginas de resultados de Google (SERP) o, incluso, poner el sitio completo al servicio de campañas Black Hat SEO para promocionar contenidos de manera inadecuada.
Como indicaba al principio, Google ya ha actualizado el SiteKit, por lo que ahora es perentorio que todos los administradores de sitios en WordPress, y especialmente aquellos en los que los usuarios pueden registrarse, se aseguren de actualizarse a la versión 1.8.0 (o superior si ya existe, en el momento en que leas esto).
Para quienes no lo conozcan, y como indica Google en la página del plugin, SiteKit para WordPress, el complemento conecta el sitio con los principales servicios de la empresa del buscador para administradores de webs. Esta es la descripción oficial de dichos enlaces:
 
La delincuencia organizada traslada sus «actividades» al mundo digital por el COVID-19
Microsoft alerta de nuevas campañas de phishing alrededor del coronavirus
Si me dieran una cana por cada contenido que he escrito relacionado con la tecnología… pues sí, tendría las canas que tengo. Por lo demás, música, fotografía, café un eReader a reventar y una isla desierta. ¿Te vienes?
Google anuncia KataOS, un sistema operativo centrado en la seguridad y los sistemas embebidos
Google suma un servicio administrado de Backup y DR
Google habilitará automáticamente 2FA para 150 millones de sus usuarios
Google reforzará la seguridad de Google Workspace
Google Project Zero aumentará el margen temporal antes de la divulgación pública de vulnerabilidades
¿Qué alternativas tienes para crear una página web?
La ciberseguridad de Taiwán en el punto de mira de EEUU y China
Copyright © Total Publishing Network S.A. 2022 | Todos los derechos reservados

source

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *