Especialista en servidores y Hosting VPS
Tengo un plugin con vulnerabilidad
/
RSS Feed
A todo sistema se le encuentra tarde o temprano algún problema de seguridad. Al ser WordPress uno de los CMS más usados alrededor del mundo se tienen reportes a diarios sobre plugins con vulnerabilidades encontradas… ¿qué debemos hacer?
- Dentro del grupo de Telegram
- Llevamos varias semanas comentando este tema
- Y me pareció buena idea resumir varios puntos en un solo episodio
- El tema de la seguridad se puede llevar de tres formas
- Ignorando todo… La vida es una y no hay porque amargarse
- Estar pendiente… Y hacer lo que se tenga que hacer
- Vivir en pánico… Y sufrir con cada nuevo reporte
- La segunda y tercera forma son igual de peligrosas
- Porque es mentira que se llega a saber todo
- Y volver a ver a otro lado no es la forma de solucionar nada
- Si estas consiente de la gravedad
- Del fuego cruzado que es internet
- Y de los intentos que los bots y cyber criminales hacen para hackearte
- Si no te querés complicar de nada
- Si no querés perder tiempo/esfuerzo
- Lo mejor es contratar un proveedor confiable para tu hosting o VPS
- Y contratar a un profesional que te lleve el mantenimiento, seguridad y actualizaciones de tu WordPress
- Solo de esta forma vas a poder ignorar todo
- Ya que tenés a gente que se preocupe por la seguridad y todo lo implica y significa
- ¿Vivir angustiado? ¿Estar siempre con pánico?
- Tampoco es recomendable
- Porque al final
- Muchas cosas que pasan en internet
- No depende de nosotros
- Y por mucha angustia que le pongas al tema
- No se resuelve nada con pánico
- ¿Qué te recomiendo?
- Primero ser consciente
- Que tu web esta bajo ataque constante
- Ya sea porque intentan dar con tu contraseña de administrador
- Ya sea porque quieren colarse desde el XMLRCP
- Ya sea porque intentan conectarse a tu base de datos
- O porque quieren ver si tenés un plugin con vulnerabilidad para explotarla y poder hackearte
- El primer paso es ser consciente y aceptar que esto pasa a diario… minuto a minuto
- Ahora que ya estamos con el frio en el cuerpo
- Te recuerdo que el tema de la seguridad es un recurrente en este PodCast
- Por ejemplo en el episodio
- Te comparto recomendaciones
- Pero en este episodio quiero compartir con vos
- Lo que yo hago con los plugins y sus vulnerabilidad
- De entrada
- Si el plugins ha quedado abandonado
- Directamente lo descarto y busco uno que reciba actualizaciones más constantes
- Al hacer esto ya tenés ventaja
- Porque hay gente que esta pendiente
- Y si algo pasa
- Podrán resolverlo
- Si usás plugins abandonados
- Al aparecer un problema no tendrás a nadie encargándose de solucionarlo
- Siguiendo los protocolos
- Normalmente nosotros los usuarios somos los últimos en enterarnos de las vulnerabilidad
- Al detectar la vulnerabilidad
- Se avisa al desarrollador sobre la misma
- El desarrollador se pone manos a obra a lanzar una nueva versión solucionando
- Y luego de dar aviso
- Este reporte se hace publico
- Y ahí nos enteramos los mortales como vos y como yo
- Con herramientas como WPScan
- No de valde el propio Automattic la ha comprado
- Imagino para tener estos reportes lo más pronto posible
- O para elevar el nivel de respuesta en los problemas del core
- Sea como sea una vez que te enterás que un plugins en tu WordPress tiene una vulnerabilidad
- Lo recomendable es buscar información sobre el problema
- ¿Cómo afecta?
- ¿Cómo se explota la vulnerabilidad?
- ¿Se puede hacer algo?
- ¿Qué versión afecta?
- Algunas veces ya actualizamos
- Y estamos en la versión que corrige el problema
- Por lo que podemos seguir viviendo jejeje
- Pero algunas veces estamos en la versión que presenta el problema
- Y no viene la actualización
- En este caso
- Lo ideal es verificar si el bug es fácil de explotar
- Porque si basta con llegar a la web y poner una línea de código en el formulario
- Mal vamos
- Y no nos podemos dar el lujo de seguir usando ese plugin hasta que se solucione el problema
- En ese momento debemos desactivar y eliminar el plugin
- Usar una alternativa
- Y estar pendiente al resolver el problema
- Para quitar el plugin alternativo y volver a nuestro plugin con la versión reciente y el problema resuelto
- ¿Y si pasan las semanas y no sacan una versión corrigiendo el problema de seguridad?
- Cambiar de plugin
- ¿Y si no tengo una alternativa viable?
- Si estabas con el plugin de tus sueños
- Que resolvía al 100% cada uno de tus necesidades
- Puede ser que tengás que usar dos o tres plugins para lograr las mismas funcionalidades
No le des vueltas, si hay un problema y no lo solucionan los desarrolladores… Es mejor borrar y buscar opciones con equipos más comprometidos o con opciones premium que garantizan su desarrollo y la solución de problemas.
Lo importante es estar atentos y hacer copias de seguridad por si es necesario restaurar nuestro WordPress.