info@servicio365.com (+34) 622 24-0-365
Vulnerabilidad en WordPress con Divi y Extra
22/06/2018
0

 

¿Usas Divi, Extra o Divi Builder en tu WordPress? Puedes tener una grave vulnerabilidad

WordPress tiene muchas ventajas como gestor de blogs y contenido, es conocido por su facilidad de uso, por la alta personalización que permite, por la cantidad de complementos gratuitos que se pueden instalar, pero... lamentablemente también por sus fallos de seguridad, no siempre siendo culpa del propio WordPress, dejando al descubierto a millones de usuarios ante los recurrentes ataques por parte de bots maliciosos, usuarios malintencionados y "hackers" en busca de recursos. Por otro lado tenemos Divi, una plantilla resultona, fácil de usar y con miles de usuarios que la utilizan, ¿qué podría salir mal?

Esta mañana nos hemos levantado con una sorpresa y es que Divi, Extra o Divi Builder de la empresa Elegant Themes, son vulnerables a un fallo de seguridad en sus temas/plugins. Hay que recordar que Divi, con una cantidad de clientes activos que supera el medio millón (500.591 en el momento de escribir este artículo), es un tema muy extendido. A esta cifra probablemente haya que añadirle varios miles más que usan los temas y complementos de forma irregular, es decir, copias no legales.

divi plantilla

 

El problema

Los productos contienen un fallo que hace posible, para cualquier usuario que haya iniciado sesión en WordPress, sin importar su perfil o rol, obtener el contenido de un post, incluyendo los "shortcodes" ya procesados, de posts que hayan sido editados con el Divi Builder clásico.

Puede parecer una tontería, pero esto significaría que cualquier usuario que se registre en nuestra web, cualquier suscriptor, podría obtener todo el contenido de nuestra página y llevárselo sin más. ¡Barra libre de contenidos! Pero... espera, que la cosa no termina ahí, también pueden ejecutar "shortcodes" y este puede ser el verdadero problema.

 

¿Estoy afectado?

Como el problema afecta a todas las páginas que usan Divi, Extra y Divi Builder, la respuesta es sencilla: si los usas y no tienes al menos la versión 2.7.1 estás afectado. Pero entrando en más detalle, quiénes están afectados:

  • Usuarios que usen Divi, Extra o Divi Builder
  • Páginas que permitan el registro, ya sea por el propio core de WordPress o por complementos de terceros
  • Páginas web con contenido creado con Divi Builder que permitan a usuarios sin privilegios publicar contenidos

 

Un ejemplo de la gravedad del fallo

Que nos quiten el contenido es un mal "menor", pero vamos a ponernos en el peor escenario; ejecución de shortcodes. El problema real es que un usuario sin privilegios puede copiar un contenido, modificarlo y publicarlo sin preocuparse de sus permisos. Supongamos que tienes un shortcode que permite descargar un fichero que le indiques y que el usuario malicioso decide cambiar el shortcode para que descargue tu "wp-config.php". ¿Te imaginas lo que implica esto? Podrían tomar el control absoluto sobre nuestra base de datos y esto es simplemente un ejemplo.

Este tipo de vulnerabilidad ya la vimos hace unos años en WooCommerce, donde acabó en tragedia hasta para su propia web, permitiendo ejecuciones de código PHP, así que la cosa puede ponerse realmente peliaguda para aquellos que no acaben actualizando.

 

¿Cómo arreglar el fallo?

Tenemos dos opciones que pasan por:

  • Actualizar los complementos y tema, la opción recomendada
  • Usar el parcheador que han habilitado

Sin duda la mejor opción pasa por actualizar complementos y tema, pero si por algún motivo extraño no podemos hacerlo podemos usar el parcheador que han habilitado en el panel de control de usuarios en https://www.elegantthemes.com/members-area/security/june-2018/

Recuerda que si no te aclaras con el proceso puedes contactar con nosotros y estaremos encantados de ayudarte, además tenemos diferentes opciones de mantenimiento para que no tengas que preocuparte por este tipo de temas y estar lo más protegido posible ante casos como el que nos abarca. Tenemos precios muy económicos y ofrecemos un servicio rápido y eficaz a nuestos clientes, ¡no te lo pienses más y asegura tu negocio contactando con nosotros!

Una vez hayas actualizado ya podrás respirar tranquilo/a, por lo menos hasta que otro plugin, tema o el propio WordPress nos venga a dar un susto de buena mañana... y podemos apostar a que no será de aquí mucho tiempo, por desgracia.

Un saludo a todo/as y no os olvidéis de seguirnos en nuestras redes sociales para estar informados 🙂

Comparte en redes sociales