Proceso de actualización de WordPress pone una cuarta parte de todos los sitios en Internet en Riesgo
Scott Arciszewski, jefe de desarrollo de Paragon, está advirtiendo sobre una serie de problemas de seguridad que afectan el mecanismo de actualización que utiliza el CMS WordPress. El desarrollador ha tomado la medida extrema de hacer pública estas cuestiones después de que él era incapaz de convencer al equipo de WordPress para hacer frente a los problemas en privado.Arciszewski indica tres cuestiones
Arciszewski destaca que una función en el código fuente CMS WordPress es responsable de comunicarse con el servidor de WordPress y la descarga de la actualización más reciente de CMS.El desarrollador dice que esta función verifica la validez del archivo descargado por el control de una única suma de comprobación MD5, y no mediante el uso de una firma criptográfica, como la mayoría de los proyectos maduros manejan sus paquetes de actualización.
Este tema se ha informado desde hace tres años, pero ha sido generalmente ignorada. Además de los paquetes de actualización de la CMS, esto también afecta el plugin y el proceso de actualización del tema también.
"El servidor de actualización es de confianza explícita e implícitamente por todos los sitios web de WordPress en línea", segun Arciszewski .
Esto nos lleva al segundo problema, es que los servidores de actualización de WordPress son un punto único de fallo (SPOF) en la arquitectura general del ecosistema de WordPress.
Dado que más del 25% de todos los sitios web en Internet funcione en WordPress, un atacante determinado que se las arregla para hacerse cargo del servidor de actualizaciones puede empujar cambios maliciosos a millones de sitios web con consecuencias nefastas.
El tercer problema está relacionado con la versión de PHP mínimo del proyecto de WordPress ha decidido apoyar, que es la PHP 5.2.4.
Arciszewski indica que la versión mínima deberia ser la PHP 5.6.0, donde SSL / TLS es mucho mejor, y muchos problemas de seguridad que afectan a las versiones anteriores de PHP no están presentes.
A pesar de sus mejores intenciones, Arciszewski dice que el proyecto de WordPress ha optado por ignorar sus hallazgos. La culpa de ello es un enfoque poco profesional del proyecto a los problemas de seguridad.
El equipo de WordPress también promueve el uso del término equivocado "de una fuente responsable" sobre la "divulgación coordinada" más precisa, y se niegan a entretener a sugerencias para mejorar su lengua vernácula.
Otros expertos en seguridad de WordPress, incluyendo las de abeto blanco Diseño con sede en Colorado, han criticado el equipo de WordPress en el pasado por la misma falta de interés para la seguridad del CMS'.
El año pasado, los esfuerzos de Arciszewski en la obtención de tecnologías web han dado lugar a los equipos de WordPress, Joomla, laravel, y Symfony añadiendo soporte para CSPRNGs (criptográficamente seguro generador de números pseudoaleatorios) en sus proyectos.
Para solucionar el problema actual que afecta los procedimientos de actualización de WordPress, Arciszewski ha elaborado una guía completa para el manejo de este tipo de operaciones.
Fecha actualización el 2016-11-22. Fecha publicación el 2016-11-22. Categoría: Wordpress. Autor: Oscar olg Mapa del sitio