WordPress, uno de los sistemas de gestión de contenidos más populares del mundo, ha sufrido el mayor ciberataque de su historia. Más de 4 millones de páginas
Primero, "Wordpress no sufre un ataque..." sino un plugin de terceros tiene una vulnerabilidad crítica. Vulnerabilidad que se parcheó de manera automática vía wordpress.org
Para explotarlo, se tenía que tener activada la autenticación en 2 pasos de dicho plugin configurada. Y el atacante debía conocer al menos el nombre de un usuario administrativo. Que es gravísimo ojo, pero que se parcheó en seguida.
Y de estas tenemos casi todos los días. Siempre hay algún plugin de terceros que contiene alguna vulnerabilidad gravísima.
Primero, "Wordpress no sufre un ataque..." sino un plugin de terceros tiene una vulnerabilidad crítica. Vulnerabilidad que se parcheó de manera automática vía wordpress.org
Para explotarlo, se tenía que tener activada la autenticación en 2 pasos de dicho plugin configurada. Y el atacante debía conocer al menos el nombre de un usuario administrativo. Que es gravísimo ojo, pero que se parcheó en seguida.
Y de estas tenemos casi todos los días. Siempre hay algún plugin de terceros que contiene alguna vulnerabilidad gravísima.
#10 importa depende... cuando un software (el que sea) recibe muchas actualizaciones constantes suele ser síntoma de cierta "salud" de desarrollo. Que un software no tenga actualizaciones constantes no significa que no sea vulnerable, simplemente que no se está manteniendo / actualizando
#21 que las soluciones aparezcan rapido si es sintoma de salud, que rapido aparezca otro problema no. que un software no tenga actualizaciones no implica que no se este manteniendo, normalmente es asi pero no tiene por que ser asi.
#26 Los fallos que tu mencionas los usuarios nunca los sufren, nunca llegan a release, pero esto son fallos son de "release" que indica que los test son pobres.
#11 en este caso hablamos de un gestor de contenidos web, no de un software que instales en tu ordenador. En cualquier caso, el pensamiento naif de "no actualizar porque es peor" es lo que aprovechan precisamente los "malos"
#4 Wordpress es la mayor aberración que he podido ver en mi vida. De hecho alguna que otra distribucion de GNU te avisa de que instalarlo que de por sí es un problema de seguridad
Wordpress has had a history of serious security flaws. Any application
with less widespread use but the same amount of security issues would
have been removed from the tree.
We consider installing this package a severe risk to your system and
you should keep a close eye on the common security trackers so
that you are able to fix problems with your installation yourself if
required.
Igualmente, la release actual es la 6.7. De --> wordpress.org/download/releases/ "Only the most recent in the 6.7 series is safe to use and actively maintained."
Así que entiendo el mensaje está correcto, no instales la 6.6.2
"De hecho, se estima que el 97% de las brechas de seguridad en páginas web de WordPress se aprovechan de los complementos instalados."
Vaya por dios, quien iba a pensar que si a un software que deja bastante que desear le instalas una mierda que no mantiene nadie, programada como el culo y que casi siempre impide actualizar la base, resulta que a largo plazo sería un problema de seguridad .
#1 La gran mayoría del software (incluye sitios web y apps de móvil) más popular deja bastante que desear y está programado con el culo. Lo raro es que pese a ello no aparezcan todavía más problemas de seguridad.
#1 No sé, hoy en día parece que tienen hasta Wordpress VIP que cuesta $25k al año y aseguran que lo usan grandes empresas como "Telefónica" y "Capgemini". Debe ser algo bastante profesional
#18 eso es. Hablando de frameworks, yo acabo de terminar con Laravel una webapp CRUD para gestionar una base de datos gigantesca, y la mar de contento. No entiendo ese odio, la verdad.
#6 Como desarrollador web, mi mayor problema con jQuery es que sea requisito para usar cualquier librería, y únicamente tener que añadirlo por esa librería. Por ejemplo, en mi anterior trabajo se usaba una librería para manipular datos en tablas, y en versiones anteriores era requisito usar jQuery. Y al final se usaba para todo cuando no era necesario.
Según pasaba el tiempo, muchísimas de las funciones de jQuery quedaban obsoletas usando JavaScript puro: youmightnotneedjquery.com/
#16 supongo que te refieres a Datatables. Yo hace años que no utilizo jQuery y se ha convertido en obsoleto en favor de Vanilla JavaScript, pero de ahí a odiarlo hay un trecho.
#17 Efectivamente, Datatables era. Pero por lo que parece se puede usar Vanilla ahora para inicializarla. Odiarlo ya no tanto, al final ayudó mucho en su momento, pero vamos, si puedo me niego a depender de jQuery.
La clásica noticia de ¡millones de sitios webs comprometidos!
En la práctica se habrán comprometido entre 0 y 1 sitios, porque entre que alguien es consciente del fallo, prepara un exploit para aprovecharlo y busca lugares afectados por el exploit, ya habrá saltado una actualización automática y problema resuelto.
Primero, "Wordpress no sufre un ataque..." sino un plugin de terceros tiene una vulnerabilidad crítica. Vulnerabilidad que se parcheó de manera automática vía wordpress.org
Para explotarlo, se tenía que tener activada la autenticación en 2 pasos de dicho plugin configurada. Y el atacante debía conocer al menos el nombre de un usuario administrativo. Que es gravísimo ojo, pero que se parcheó en seguida.
Y de estas tenemos casi todos los días. Siempre hay algún plugin de terceros que contiene alguna vulnerabilidad gravísima.
¡Actualizad insensatos!
Primero, "Wordpress no sufre un ataque..." sino un plugin de terceros tiene una vulnerabilidad crítica. Vulnerabilidad que se parcheó de manera automática vía wordpress.org
Para explotarlo, se tenía que tener activada la autenticación en 2 pasos de dicho plugin configurada. Y el atacante debía conocer al menos el nombre de un usuario administrativo. Que es gravísimo ojo, pero que se parcheó en seguida.
Y de estas tenemos casi todos los días. Siempre hay algún plugin de terceros que contiene alguna vulnerabilidad gravísima.
¡Actualizad insensatos!
Un saludo
Por eso aparecen problemas y se parchean problemas rápidamente !
Un saludo
------------------------------------------------------------------------
!!!!!!!!! SECURITY WARNING !!!!!!!!!!!
Wordpress has had a history of serious security flaws. Any application
with less widespread use but the same amount of security issues would
have been removed from the tree.
We consider installing this package a severe risk to your system and
you should keep a close eye on the common security trackers so
that you are able to fix problems with your installation yourself if
required.
En cuanto al mensaje del warning, es bastante viejuno, y saltaba al instalar ciertas versiones muy antiguas y vulnerables.
Un saludo
Igualmente, la release actual es la 6.7. De --> wordpress.org/download/releases/ "Only the most recent in the 6.7 series is safe to use and actively maintained."
Así que entiendo el mensaje está correcto, no instales la 6.6.2
Vaya por dios, quien iba a pensar que si a un software que deja bastante que desear le instalas una mierda que no mantiene nadie, programada como el culo y que casi siempre impide actualizar la base, resulta que a largo plazo sería un problema de seguridad
Por otra parte, WordPress está en la misma lista que jQuery y PHP, serán como serán, pero nunca entendí su odio hacia ellos.
Según pasaba el tiempo, muchísimas de las funciones de jQuery quedaban obsoletas usando JavaScript puro: youmightnotneedjquery.com/
En la práctica se habrán comprometido entre 0 y 1 sitios, porque entre que alguien es consciente del fallo, prepara un exploit para aprovecharlo y busca lugares afectados por el exploit, ya habrá saltado una actualización automática y problema resuelto.