Problema de vulnerabilidad en plugins y temas de WordPress

Hace unos días nos enterábamos de que había una grave vulnerabilidad (Cross-Site Scripting) en algunos de los plugins más populares para WordPress:

  • Jetpack
  • WordPress SEO (Yoast)
  • Google Analytics (Yoast)
  • All In one SEO
  • UpdraftPlus
  • WPTouch
  • Download Monitor
  • P3 Profiler
  • iThemes Exchange

Estos son algunos de los que más pueden sonar, pero ahora mismo hay más de 37.000 plugins disponibles en wordpress.org, más los cientos o miles que puede haber en sitios como Codecanyon. Y esto son solo los plugins.

El problema de seguridad viene del uso que los desarrolladores de plugins y plantillas han ido haciendo de un par de funciones de WordPress (add_query_arg() y remove_query_arg()), así que las miles de plantillas que hay en wordpress.org, Themeforest o sitios similares también se pueden ver afectadas.

Los dos plugins de SEO del listado de arriba son dos plugins que suelo instalar en todos los sitios de WordPress con los que trabajo (uno u otro, obviamente), y que también recomiendo a alumnos y clientes. Claro, que también recomiendo que tanto WordPress como los plugins y plantillas que se usen siempre se mantengan actualizados, y sigo viendo sitios que están corriendo con la versión 3.5 —o anterior— de WordPress, y si así anda la versión de WordPress, imagínate cómo están los plugins.

Si mantienes sitios con WordPress —y sobre todo si has tenido problemas con ellos últimamente—, te interesará echar un vistazo a los artículos que han ido publicando estos días sitios como Sucuri, WP Tavern o Envato:

Ya sabes… actualizaciones y copias de seguridad periódicas, que son gratis. Y borra todo aquello que no necesites realmente para que funcione tu sitio en WordPress.