Tengo un plugin con vulnerabilidad

Implementador WordPress y VPS
Implementador WordPress y VPS
Tengo un plugin con vulnerabilidad
icon loader
/

A todo sistema se le encuentra tarde o temprano algún problema de seguridad. Al ser WordPress uno de los CMS más usados alrededor del mundo se tienen reportes a diarios sobre plugins con vulnerabilidades encontradas… ¿qué debemos hacer?

Tengo un plugin con vulnerabilidad
  • Dentro del grupo de Telegram
  • Llevamos varias semanas comentando este tema
  • Y me pareció buena idea resumir varios puntos en un solo episodio
  • El tema de la seguridad se puede llevar de tres formas
    • Ignorando todo… La vida es una y no hay porque amargarse
    • Estar pendiente… Y hacer lo que se tenga que hacer
    • Vivir en pánico… Y sufrir con cada nuevo reporte
  • La segunda y tercera forma son igual de peligrosas
  • Porque es mentira que se llega a saber todo
  • Y volver a ver a otro lado no es la forma de solucionar nada
  • Si estas consiente de la gravedad
  • Del fuego cruzado que es internet
  • Y de los intentos que los bots y cyber criminales hacen para hackearte
  • Si no te querés complicar de nada
  • Si no querés perder tiempo/esfuerzo
    • Lo mejor es contratar un proveedor confiable para tu hosting o VPS
    • Y contratar a un profesional que te lleve el mantenimiento, seguridad y actualizaciones de tu WordPress
  • Solo de esta forma vas a poder ignorar todo
  • Ya que tenés a gente que se preocupe por la seguridad y todo lo implica y significa
  • ¿Vivir angustiado? ¿Estar siempre con pánico?
    • Tampoco es recomendable
    • Porque al final
    • Muchas cosas que pasan en internet
    • No depende de nosotros
    • Y por mucha angustia que le pongas al tema
    • No se resuelve nada con pánico
  • ¿Qué te recomiendo?
  • Primero ser consciente
  • Que tu web esta bajo ataque constante
    • Ya sea porque intentan dar con tu contraseña de administrador
    • Ya sea porque quieren colarse desde el XMLRCP
    • Ya sea porque intentan conectarse a tu base de datos
    • O porque quieren ver si tenés un plugin con vulnerabilidad para explotarla y poder hackearte
  • El primer paso es ser consciente y aceptar que esto pasa a diario… minuto a minuto
  • Ahora que ya estamos con el frio en el cuerpo
  • Te recuerdo que el tema de la seguridad es un recurrente en este PodCast
  • Por ejemplo en el episodio
  • Te comparto recomendaciones
  • Pero en este episodio quiero compartir con vos
  • Lo que yo hago con los plugins y sus vulnerabilidad
    • De entrada
    • Si el plugins ha quedado abandonado
    • Directamente lo descarto y busco uno que reciba actualizaciones más constantes
    • Al hacer esto ya tenés ventaja
    • Porque hay gente que esta pendiente
    • Y si algo pasa
    • Podrán resolverlo
    • Si usás plugins abandonados
    • Al aparecer un problema no tendrás a nadie encargándose de solucionarlo
  • Siguiendo los protocolos
  • Normalmente nosotros los usuarios somos los últimos en enterarnos de las vulnerabilidad
  • Al detectar la vulnerabilidad
  • Se avisa al desarrollador sobre la misma
  • El desarrollador se pone manos a obra a lanzar una nueva versión solucionando
  • Y luego de dar aviso
  • Este reporte se hace publico
  • Y ahí nos enteramos los mortales como vos y como yo
  • Con herramientas como WPScan
  • No de valde el propio Automattic la ha comprado
  • Imagino para tener estos reportes lo más pronto posible
  • O para elevar el nivel de respuesta en los problemas del core
  • Sea como sea una vez que te enterás que un plugins en tu WordPress tiene una vulnerabilidad
    • Lo recomendable es buscar información sobre el problema
    • ¿Cómo afecta?
    • ¿Cómo se explota la vulnerabilidad?
    • ¿Se puede hacer algo?
    • ¿Qué versión afecta?
  • Algunas veces ya actualizamos
  • Y estamos en la versión que corrige el problema
  • Por lo que podemos seguir viviendo jejeje
  • Pero algunas veces estamos en la versión que presenta el problema
  • Y no viene la actualización
  • En este caso
    • Lo ideal es verificar si el bug es fácil de explotar
    • Porque si basta con llegar a la web y poner una línea de código en el formulario
    • Mal vamos
    • Y no nos podemos dar el lujo de seguir usando ese plugin hasta que se solucione el problema
    • En ese momento debemos desactivar y eliminar el plugin
    • Usar una alternativa
    • Y estar pendiente al resolver el problema
    • Para quitar el plugin alternativo y volver a nuestro plugin con la versión reciente y el problema resuelto
  • ¿Y si pasan las semanas y no sacan una versión corrigiendo el problema de seguridad?
    • Cambiar de plugin
  • ¿Y si no tengo una alternativa viable?
    • Si estabas con el plugin de tus sueños
    • Que resolvía al 100% cada uno de tus necesidades
    • Puede ser que tengás que usar dos o tres plugins para lograr las mismas funcionalidades

No le des vueltas, si hay un problema y no lo solucionan los desarrolladores… Es mejor borrar y buscar opciones con equipos más comprometidos o con opciones premium que garantizan su desarrollo y la solución de problemas.
Lo importante es estar atentos y hacer copias de seguridad por si es necesario restaurar nuestro WordPress.

Si querés ponerte en contacto conmigo, podes escribirme en mi Formulario de contacto aquí en la web 😉

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *