WordPress acaba de forzar la instalación de un parche en más de cinco millones de sitios web en un intento de mantenerlos a salvo de un fallo de alta gravedad descubierto recientemente.
El fallo se encontró en Jetpack, uno de los plugins más populares del famoso constructor de sitios web, que ofrece funciones adicionales de seguridad, rendimiento y gestión de sitios web.
Según la empresa matriz de WordPress, Automattic, el plugin tiene más de cinco millones de instalaciones activas, y los administradores lo utilizan para hacer copias de seguridad de sus sitios, para protegerse contra ataques de fuerza bruta, para escanear ataques de malware y mucho más.
«Durante una auditoría de seguridad interna, encontramos una vulnerabilidad con la API disponible en Jetpack desde la versión 2.0, lanzada en 2012», dijo Auttomatic. «Esta vulnerabilidad podría ser utilizada por los autores de un sitio para manipular cualquier archivo de la instalación de WordPress».
A 30 de mayo, Jetpack 12.1.1 se había descargado e instalado en más de 4.350.000 sitios web, según datos oficiales de WordPress. Esto supone aproximadamente el 45% de todos los sitios web que corren con WordPress. Al parecer, la mayoría de los sitios web activos han sido parcheados.
No hay indicios de que se esté abusando de este fallo, pero que esto probablemente cambiará una vez que la vulnerabilidad se haga pública. «No tenemos constancia de que esta vulnerabilidad haya sido explotada. Sin embargo, ahora que se ha publicado la actualización, es posible que alguien intente aprovecharse de esta vulnerabilidad», añadió.
La última vez que …