Múltiples plugins de WordPress son vulnerables a XSS (Cross-site Scripting) debido al mal uso de las funciones add_query_arg() y remove_query_arg(). Estas son funciones populares utilizadas por desarrolladores para modificar y agregar cadenas de caracteres a URLs en WordPress.

La Documentación Oficial de WordPress (Codex) para estas funciones no era muy clara y llevó a muchos desarrolladores de plugins a usarlas de manera insegura. Los desarrolladores asumieron que estas funciones escaparían con seguridad las entradas de los usuarios a la base de datos, pero no era así. Este detalle tan simple causó que muchos de los plugins populares fueran vulnerables a XSS.

A la fecha, esta es la lista de plugins afectados:

• Jetpack
• WordPress SEO
• Google Analytics de Yoast
• All in one SEO
• Gravity Forms
• Varios plugins de Easy Digital Downlads
• UpdraftPlus
• WP-E-Commerce
• WPTouch
• Download Monitor
• Related Posts para WordPress
• My Calendar
• P3 Profiler
• Give
• Varios productos de iThemes incluyendo Builder y Exchange
• Broken-Link-Checker
• Ninja Forms

Probablemente hay algunas más que no están en la lista. Si utilizas WordPress, se recomienda que entres a tu panel de administración y actualices todos los plugins a la brevedad.

Aquí hay algunos consejos y trucos para ayudar a reducir el riesgo de seguridad:

• Mantén tu sitio actualizado.
• Restringe el acceso a tu área administrativa.
• Monitorea tus logs.
• Sólo utiliza plugins o plantillas que tu sitio realmente necesite para funcionar.
• La prevención puede fallar, y lo que sigue es escanear tu sitio para detectar indicadores que lo puedan comprometer o software no actualizado.
• Defiende a conciencia tu sitio con herramientas profesionales diseñadas para ello.

Si necesitas ayuda para administrar, optimizar, actualizar, asegurar y defender tu sitio Web, te invito a conocer nuestros planes de servicio de mantenimiento.