Tu blog de Reflejos es vulnerable pero…

Wordpress...¿Tienes un blog dentro de la plataforma Reflejos o conoces alguien que lo tenga? Si tu respuesta es afirmativa entonces, a manera de advertencia, y sin mucho ánimo de parecer pesimistas tengo que decirtelo… Tu blog tiene es vulnerable, pero no todo está perdido.  

Como deben saber la plataforma Reflejos, encargada de alojar muchos blogs cubanos (incluyendo DesdeAbreus) está soportada sobre WordPress que es a su vez el CMS mas popular de toda la internet.

WordPress (en lo adelante WP) trabaja con PHP como lenguaje de programación y hace uso de MYSQL como gestor de bases de datos por lo que muchos ojos de desarrolladores estan encima de este CMS, por tanto siempre aparecen esos individuos que descubren errores en la programación y como siempre intentan sacarle partido.

¿Ok pero… qué tiene que ver con Reflejos y la vulnerabilidad de la que hablas?

La versión de WP que usa actualmente Reflejos (4.7.2) no está tan atrasada como muchos pudieran creer pero lamentablemente está (como casi todo en internet) sujeto a vulnerabilidades y esto pudiera traerle a los que hemos decidido por Reflejos para nuestra plataforma de alojamiento un problema.

La versión actual presenta problemas y personas mal intencionadas pudieran hacer uso de Ataques Cross-Site a través del personalizador de WP y permitir la subida de archivos grandes lo cual contando con los 250 MB asignados a un blog estandar dentro de Reflejos pudiera ser todo un apocalipsis para algunos.

Tambien esta versión es vunerable a otro tipo de ataque parecido denominado CFRS a las credenciales de los archivos que se suben al blog y por ejemplo los cuadros de diálogos en la parte de los elementos multimedia.

Son vulnerable pero…

Los que están leyendo y comienzan a sentirse mal porque su blog pudiera ser objetivo de un ciberataque comiencen a respirar mas tranquilos. WP anunció hace poco la salida de la versión 4.7.5 que viene precisamente a subsanar estos errores.

No solo los XSS y los CFRS sino que la nueva versión corrige un error en el redireccionamiento de la clase HTTP y el tratamiento y validación de las clases de datos que se manejan internamente.

Como bonus adicional los desarrolladores desde WP aseguran que la versión 4.7.5 corrige ademas unos tres errores que están presente desde la 4.7 pero que estos son errores menores y que no tienen que ver con seguridad.

Ahora solo resta esperar que los responsables de mantener Reflejos se pasen por la zona de descargas oficial de WP y descarguen la versión 4.7.5 para ponerla en Reflejos. Claro ahora no le vayamos a caer en pandilla y llenarles el buzon de soporte con mensajitos de “tienen que actualizar que en DesdeAbreus dijeron que nuestros blogs son vulnerables” 😉

18 Replies to “Tu blog de Reflejos es vulnerable pero…”

  1. Que curioso. La version 4.7.2 de WP tuvo problemas tan serios que hasta Google Search Console me aviso de urgente para que verificara todos mis sitios cuando estaban en esa version. En el caso de GUTL, hasta los hombres de negro pidieron de urgencia un update cuando salio 4.7.3 y… ¿Reflejos no actualizó? Por Dios, eso solo es sinonimo de despreocupacion porque 4.7.2 dio problemas, repito, muy serios de seguridad…

    • Como lees… si entramos al panel de administracion y vamos a la esquinita inferior derecha veremos el 4.7.2 del que se habla en el artículo, realmente no somos de estar rebuscando errores pero cuando el propio WP te anuncia que cambies a la 4.7.5 pues bueno… que te cae la curiosidad por ver que tienes tu 😉

      • No le hagas caso _Neji, te esta “troleando”

        Versiones 4.7.0/4.7.1 fueron fatales, hasta un par de oficialistas cogieron sus palos en Reflejos 🙂

  2. _Neji ya debes de estar satisfecho. Hicimos los trabajos de mantenimiento para actualiza a la ultima versión de WP

    De nada

    • jajaja In our Dreams… la 4.7.2 sigue campeando por su respeto en toda Reflejos…. parece que esperando que ciertos trolitos con algunos conocimientos nos hagan algun que otro ataquito desde el mas allá para ver si entendemos que cuando la propia WP esta “recomendando” pasar a la 4.7.5 no lo hace por mero capricho 😉

      • Pense que hicieron la actualización ayer después que el sitio estuvo en mantenimiento por una hora aproximadamente. Pero tienes razón, sigue con la 4.7.2, le apunte con el cañón de Tenable.io y canto clarito clarito como el gallo de Moron.

  3. muy bello, muy lindo todo eso pero…¿Reflejos actualizará la plataforma?, a mi parecer no lo harán, porque ayer estaba en mantenimiento, pero hoy no veo los resultados, aún está la versión 4.7.2, no veo esperanzas de que actualicen a la 4.7.5 o la que haya salido después de esta, si de verdad piensan hacer algo al respecto, espero que sea ¡antes! de fin de año, eso por supuesto, si es que no quieren ser pirateados por algún “sesudo” de la red

  4. A ver, vengo a pedirles paciencia, ya tenemos pensado Actualizar a la última versión de WP, solo que hay que esperar a que el Director General llegue de su viaje a Venezuela, para que firme un acuerdo, para poder poner la actualización en la cola de descarga, y automáticamente que se terminen de bajar las novelas que estamos viendo, actualizamos, la fecha a cumplir el acuerdo sería para el 25 de Octubre, así que no se impacienten, ok

    • Si y mientras tanto crucemos los deditos para que un gracioso no le de por meternos un exploit que nos haga trizas la BD 😉

      • Tranquilos hay otras prioridades y lineamientos para analizar la ‘conceptualización’ y seguir en las mismas con las mismas 🙂

  5. Acabo de actualizar a la versión 4.8 todos los sitios que administro bajo WordPress. Reflejos aun en 4.7.2, sería bueno y de corazón lo digo, un buen explote de seguridad por estos lares…

    • Como ISE que soy solo puedo decir lo siguiente:

      1.- WordPress 4.7.2 no tiene “exploits” conocidos. Esto no quiere decir que no existan.
      2.- Que no existan “exploits” conocidos hoy, no quiere decir que mañana no estén disponibles.
      3.- Conclusión … si se conocen las vulnerabilidades lo mejor es actualizar a la versión donde las mismas se corrigieron.

  6. Ya los hombres de negro le avisaron a Maikel para que actualizara GUTL a la versión 4.8 “Evans” de WordPress. Tal vez ahora Reflejos se llene de vergüenza y haga los mismo con Cubava.

  7. Bueno no sé cuando fue, pero entrando a mi Blog nuevo hoy, ya Reflejos cuenta con WordPress 4.8, parece que ya le recargaron el nauta al Admin para que pudiera actualizar Reflejos.

    OT: @maikel…… a modo de curiosidad, no sé porque cuando entras en los Blogs en la parte de los Temas, salen las plantillas que usaste en SWL-X cuando estaba en cubava, no son funcionales para que uno las use, pero creo que deberían borrarlas completas de una vez, digo, creo yo.

    • OT: @ tr0j4n No tengo blog en Reflejos, así que nada tengo que ver con buen o mal trabajo de los admins de Reflejos. Pensé que cuando uno borraba su blog, toda su información era borrada y desaparecía, pero hace poco me di cuenta que no era así. Esas plantillas no deberían existir en el server, pero ahí están…
      En fin… el mar

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*