whatsApp

Vulnerabilidades detectadas en plugins de Wordpress

Investigadores en ciberseguridad han detectado vulnerabilidades en varios plugins de WordPress que, si se explotan con éxito, podrían permitir que un atacante ejecute código arbitrario y se apodere de un sitio web. Potencialmente, podría afectar a siete millones de sitios web.

Los complementos de WordPress son un gran añadido para el sistema de gestión de contenidos enfocado a la creación de páginas web. Como sucede con otro tipo de complementos, plugins o extensiones como los miles de creados para los navegadores web, aportan un mayor número de características y prestaciones con las que no cuentan de base estos desarrollados.  El problema es la seguridad, ya que suelen ser aprovechados para la introducción de malware a través de sus vulnerabilidades.


Las últimas encontradas en los complementos de WordPress se han descubierto en Elementor, un complemento de creación de sitios web que se usa en más de siete millones de sitios, y en WP Super Cache, una herramienta que se usa para servir páginas en caché de un sitio de WordPress. Según Wordfence, que descubrió las debilidades de seguridad en Elementor, el error se refiere a un conjunto de vulnerabilidades almacenadas en las secuencias de comandos entre sitios (XSS) (puntuación CVSS: 6.4), que se produce cuando se inyecta una secuencia de comandos maliciosa directamente en una aplicación web vulnerable.


En este caso, debido a la falta de validación de las etiquetas HTML en el lado del servidor, un atacante puede aprovechar los fallos para agregar JavaScript ejecutable a una publicación o página a través de una solicitud especialmente diseñada. Los investigadores encontraron que varios elementos HTML como Encabezado, Columna, Cuadro de iconos y Cuadro de imagen eran vulnerables al ataque XSS almacenado, lo que hace posible que cualquier usuario acceda al editor de Elementor y agregue un JavaScript ejecutable.


«Dado que las publicaciones creadas por los colaboradores suelen ser revisadas por editores o administradores antes de su publicación, cualquier JavaScript agregado a una de estas publicaciones se ejecutará en el navegador del revisor», explica Wordfence en un informe técnico: «Si un administrador revisó una publicación que contiene JavaScript malicioso, su sesión autenticada con privilegios de alto nivel podría usarse para crear un nuevo administrador malicioso o para agregar una puerta trasera al sitio. Un ataque a esta vulnerabilidad podría llevar a la toma de control del sitio«.


Por otro lado, se descubrió una vulnerabilidad de ejecución remota de código autenticado (RCE) en WP Super Cache que podría permitir a un adversario cargar y ejecutar código malicioso con el objetivo de obtener el control del sitio. Este complemento se usa en más de dos millones de sitios de WordPress.


Tras la divulgación responsable el 23 de febrero, Elementor solucionó la vulnerabilidad en la versión 3.1.4 y el desarrollador detrás de WP Super Cache, dijo que abordó el problema en la versión 1.7.2.


Se recomienda encarecidamente que los usuarios que usen estos complementos se actualicen a las últimas versiones para mitigar el riesgo asociado con estas vulnerabilidades.


Desde Dinan estamos muy atentos a este tipo de advertencias y nos preocupamos por que las páginas webs de nuestros clientes estén 100% actualizadas para evitar este tipo de situaciones que pueden poner en riesgo la integridad de su sitio web e información.

Preguntas más frecuentes sobre el Kit Consulting

Si tienes cualquier duda o pregunta sobre el Kit Consulting te recomendamos que rellenes el formulario para que nos pongamos en contacto. Por si acaso, damos respuestas a las preguntas más frecuentes sobre los fondos europeos.

 

  • ¿En qué consiste el programa Kit Consulting?

    Kit Consulting es una iniciativa de apoyo impulsada por el Gobierno de España que facilita a las PYMES, sin importar el sector al que pertenezcan, el desarrollo de un plan estratégico para avanzar en su transformación digital. Este programa está diseñado para ayudar a las pequeñas y medianas empresas a identificar y aplicar las herramientas y procesos necesarios para digitalizarse y modernizar su funcionamiento.

    El programa cuenta con una financiación de 300 millones de euros, proporcionados por la Unión Europea a través de los fondos NextGenerationEU. Estos fondos están destinados a cubrir los costos de asesoría especializada y a apoyar a las PYMES en su transición hacia un modelo de negocio más eficiente y digital.

  • ¿Cuál es la cantidad de las ayudas otorgadas por Kit Consulting?

    Las subvenciones disponibles en el programa Kit Consulting varían según el tamaño y las necesidades de cada empresa. Para garantizar un acceso equitativo y ajustado a los recursos, se han definido tres segmentos de empresas beneficiarias, con importes específicos para cada uno:

    Segmento A: Empresas con entre 10 y menos de 50 empleados pueden recibir hasta 12.000 euros para contratar servicios de asesoría digital.

    Segmento B: Empresas con entre 50 y menos de 100 empleados pueden acceder a 18.000 euros en ayudas, permitiéndoles contratar hasta 3 servicios de asesoría.

    Segmento C: Empresas de entre 100 y menos de 250 empleados tienen disponibles hasta 24.000 euros en apoyo para contratar hasta 4 servicios de asesoramiento especializado.

    Esta estructura permite que el apoyo financiero se adapte a la capacidad y requisitos de cada tipo de empresa, garantizando que el programa sea accesible y útil para todas las PYMES que deseen sumarse al proceso de transformación digital.

  • ¿Qué servicios están incluidos en el Bono del Kit Consulting?

    Como asesores digitales en Dinan Informatica, ofrecemos varias soluciones que puedes financiar con el Bono del Kit Consulting, entre ellas:

    Asesoramiento en Ventas Digitales: Ayudamos a las empresas a optimizar sus canales de ventas en línea y a mejorar la experiencia de sus clientes.
    Asesoramiento Integral en Transformación Digital «360»: Servicio completo para implementar una transformación digital profunda en la empresa.

    Además, existen otros servicios subvencionables a los que se puede acceder a través de otros asesores digitales. Estos incluyen: Inteligencia Artificial
    Análisis de Datos (Básico y Avanzado)
    Procesos de Negocio y Producción
    Estrategia y Rendimiento de Negocio
    Ciberseguridad (Básico, Avanzado, y Preparación para Certificación)

    Cada uno de estos servicios está orientado a mejorar áreas clave de la empresa, desde el análisis de datos hasta la seguridad digital, asegurando que el proceso de digitalización sea completo y adecuado para las necesidades de cada negocio.

  • ¿Qué requisitos deben cumplir las empresas para acceder a esta ayuda?

    Como ocurre en la mayoría de las ayudas públicas ofrecidas por el gobierno, existen ciertos requisitos que las empresas deben cumplir para poder beneficiarse del Bono Kit Consulting. Estos requisitos son iguales para todas las empresas, independientemente de su sector o actividad, y se detallan a continuación:

    Domicilio fiscal en España: La empresa debe estar establecida y tener su sede fiscal en territorio español.
    Clasificación como PYME: Debe tratarse de una pequeña o mediana empresa.
    Condición financiera saludable: No se permite acceder a empresas consideradas en crisis.
    Cumplimiento de obligaciones fiscales y de Seguridad Social: La empresa debe estar al corriente de sus pagos fiscales y de sus obligaciones ante la Seguridad Social.
    Ausencia de prohibiciones: La empresa no debe estar sujeta a ninguna de las prohibiciones estipuladas en la Ley General de Subvenciones.
    Registro en el Censo de empresarios: La empresa debe estar inscrita en el Censo de empresarios, profesionales y retenedores de la Agencia Estatal de Administración Tributaria o en el censo equivalente de la Administración Tributaria Foral, con una antigüedad mínima de seis meses.
    Sin orden de recuperación pendiente: La empresa no debe estar sujeta a ninguna orden de recuperación por ayudas incompatibles emitida por la Comisión Europea.
    Límite de ayudas de minimis: La empresa debe cumplir con los límites de ayudas de minimis establecidos en la normativa europea.

    Estos requisitos aseguran que las empresas beneficiarias puedan aprovechar el apoyo del programa de manera responsable y efectiva, promoviendo así un crecimiento sostenido y una transformación digital sólida.
    Si escoges una solución de un proveedor que cueste más que el importe máximo de ayuda para esa solución, también deberás pagar la diferencia entre el coste y la ayuda.