Ayer mismo se dio aviso sobre un grave fallo de seguridad detectado en uno de los módulos más famosos y utilizados dentro de la plataforma WordPress. Concretamente hablamos de Jetpack y, según los usuarios que han conseguido detectar el fallo, al parecer el mismo habilitaba el robo de las credenciales de usuario. Debido a esto se ha enviado mensajes urgentes para que todos los administradores de plataformas basadas en WordPress que utilizasen este módulo bien lo desactiva o actualicen a una versión corregida del mismo.
Si no has trabajado nunca con WordPress no sabrás muy bien de qué te hablo y de cuál ha sido el problema exacto. A modo de detalle, comentarte que Jetpack es posiblemente el plug-in más popular y utilizado por todos los administradores cuyas páginas webs hacen uso de este sistema de gestión de contenidos. Básicamente lo que ofrece este plug-in es el poder añadir distintos extras al panel de control que ofrece WordPress de forma que se mejore notablemente la administración del sitio gracias a una serie de módulos que se pueden activar y desactivar de forma totalmente independiente.
Al menos podemos anunciar que tras conocerse este terrible fallo en la seguridad de Jetpack la empresa detrás de su desarrollo, Automatic, encargada también del desarrollo de WordPress, ha lanzado una actualización de seguridad que todos los administradores, tal y como se ha anunciado, deberían de instalar en cuanto se hayan enterado del problema. Como detalle, comentarte que el fallo ha sido localizado en el módulo Shortcode Embeds Jetpack, mismo que es el encargado de permitir la inclusión de imágenes, vídeos externos, documentos…
Este fallo ha sido detectado por la empresa Sucuri y afecta a todos los Jetpack posteriores al 2012, concretamente a la versión 2.0 del conocido módulo WordPress. Debido a este problema, cualquier usuario avanzado podría fácilmente inyectar código malicioso JavaScript permitiéndole robar las cookies del usuario, incluyendo todo tipo de claves y credenciales de acceso, e incluso redirigirlo a exploits.
Fuente: PC World