WordPress 5.6 presenta un nuevo riesgo para nuestra web – WWWhat's new

Aplicaciones, marketing y noticias en la web.
Desde 2005.
Publicado el
WordPress es el CMS más usado en todo el mundo. Hay millones de sitios web que usan WordPress como plataforma de gestión de contenido, y ahora que ha salido la versión 5.6 ha llegado el momento de estar atentos a posibles nuevas amenazas presentes.
Así es, WordPress 5.6, está con nosotros desde el 8 de diciembre de 2020, e incluye algunas características y actualizaciones importantes, así como una gran cantidad de mejoras menores y correcciones de errores. Algunos cambios tienen implicaciones inmediatas para la seguridad y la compatibilidad, pero ojo que no todo son rosas.
WordPress 5.6 vendrá con una nueva función que permite que las aplicaciones externas soliciten permiso para conectarse a un sitio y generar una contraseña específica para esa aplicación. Una vez que se le ha otorgado acceso a la aplicación, puede realizar acciones en nombre de un usuario a través de la API REST de WordPress. Esta funcionalidad es similar a XML-RPC (que siempre aconsejamos bloquear), pero la API REST ofrece capacidades significativamente más amplias.
Es decir, que no tendremos solamente a usuarios dentro de WordPress, podemos tener a aplicaciones para que realicen tareas. Algunos ejemplos de cómo podrían usarse incluyen publicar publicaciones en un sitio de WordPress desde otras interfaces, acceder o actualizar datos en la base de datos de WordPress, o incluso crear usuarios.
Desafortunadamente, es muy sencillo crear un administrador del sitio para que otorgue contraseñas a una aplicación maliciosa. Un atacante podría engañar al propietario de un sitio para que haga clic en un enlace solicitando una contraseña de aplicación, nombrando su aplicación maliciosa como quisiera.
Las URL de solicitud de contraseña de las aplicaciones están configuradas para enviar la contraseña recién generada al sitio del solicitante a través de una URL de redireccionamiento. Dado que las contraseñas de aplicaciones funcionan con los permisos del usuario que las generó, un atacante podría usar esto para obtener el control de un sitio web.
Son ataque de ingeniería social, por lo que hay que estar atentos a este tipo de peticiones.
La versión 7.4.14 de Wordfence (pluguin famoso para aumentar la seguridad de los sitios web), deshabilita las contraseñas de aplicaciones de forma predeterminada. Si tiene un caso de uso específico para las contraseñas de aplicaciones y desea volver a habilitar las contraseñas de aplicaciones, puede hacerlo en Wordfence-> Firewall-> Manage Brute Force Protection.
Las contraseñas de las aplicaciones se generan de forma segura y tienen 24 caracteres (con contraseñas seguras), por lo que es poco probable que los ataques de fuerza bruta tengan éxito, pero si alguien hace click donde no debe, la contraseña se enviará al hacker.
En Wordfence recomiendan:
Si decide hacer uso de contraseñas de aplicaciones, le recomendamos encarecidamente que configure un usuario con permisos mínimos, idealmente con solo las capacidades necesarias específicamente para la aplicación a la que desea conectarse.
Pero no todo es negativo, la versión 5.6 trae buenas novedades:
Compatibilidad con PHP 8: está diseñado para ser «beta compatible» con PHP 8. Si usas muchos plugins, es mejor no actualizar a PHP 8, pero si estás creando un sitio nuevo desde cero, es la mejor opción.
Actualizaciones automáticas de versiones principales
Un tema completamente nuevo: titulado Twenty Twenty-One, se basa en un tema existente, Seedlet, y es bastante mínimo, aunque incluye soporte para el modo oscuro.

Ingeniero de más de 40, fundador de WWWhatsnew y editor apasionado.Trabajo en el mundo de la tecnología desde el año 2.000, y desde entonces no he parado un minuto de prestar atención a todas las novedades del sector, novedades que os contamos desde WWWhatsnew.com
Blog de Tecnología con 16 años de vida. Aquí explicamos las novedades del sector, damos consejos de diversos tipos, recomendamos aplicaciones y gadgets y mucho más.

Iconos de Fontawesome.com
(cc) 2005-2022 Algunos derechos reservados con licencia Creative Commons – Referencia con enlace obligatorio | Aviso Legal, Cookies y Política de Privacidad
Desarrollado y hospedado por SietePM SpA

source

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *