Hace unos días los chicos de SecuPress anunciaron una peligrosa vulnerabilidad XSS en W3 Total Cache, uno de los plugins para WP más famosos. Esta vulnerabilidad fue originalmente detectada por Zerial.
W3 Total Cache es uno de los plugins que más recomendamos en Infranetworking a nuestros clientes, pues permite configurar casi cualquier aspecto del cache y la velocidad de tu web, además te permite elegir entre diferentes tipos de cache como Disco, APC o Memcached. De todos los plugins que hemos encontrado, ha sido el que mejores resultados ha dado en nuestra infraestructura de Hosting WordPress.
SecuPress ha descubierto una peligrosa vulnerabilidad XSS en este plugin, y lo mejor es que a pocos días W3 Total Cache ya tiene una actualización disponible para parchear este bug. A pesar de que hace casi 1 año no se actualiza el plugin, al parecer esta vulnerabilidad apuro un poco más al autor Frederick Townes.
¿Qué es una vulnerabilidad XSS?
Un ataque XSS o Cross Site Scripting, es una vulnerabilidad que afecta enormidad de aplicaciones web. El peligro de este tipo de ataques reside en que permite la inyección de contenido en el sitio y modificarlo, como si fuera parte del código natural. Esto lleva a las víctimas a ejecutar código malicioso cuando se carga la web, lo cual tiene consecuencias nefastas, dependiendo de las intenciones del atacante.
Actualizar: única forma de protegerse de la Vulnerabilidad XSS en W3 Total Cache
- Ingresa a www.tusitio.com/wp-admin y ve a la opción derecha: Plugins
- Te aparecerán las actualizaciones disponibles: click en Actualizar
La lista completa de fixes y nuevas adiciones para esta versión incluye:
- Arreglo de vulnerabilidad XSS
- Agregan soporte para APCu Opcode Cache, Redis, Google Drive, Pecl Memcached, FTPS
- Se agregan nuevos minificadores como YUI Compressor, Narcissus
- Soporte para CDN de Highwinds
- Soporte para HSTS
- Mejoras para PHP 5.6 y PHP 7.
Para ver la lista completa de cambios: W3 Total Cache Changelog
Más información sobre esta Vulnerabilidad XSS en W3 Total Cache desde SecuPress