WordPress, software para la creación de blogs y sitios web, marca un antes y un después en su política de seguridad tras publicar la versión 3.7, nombre en clave ‘Basie’.

La principal característica es la capacidad de actualizaciones autónomas a partir de esta versión. WordPress no anunciará al administrador que hay actualizaciones disponibles sino que directamente se actualizará con los parches de mantenimiento y seguridad que se vayan publicando. Eso sí, existe una opción para filtrar según que tipo de actualización esté disponible. Por ejemplo, podremos decidir si también actualizamos los complementos y temas al igual que el núcleo de WordPress o dejar su actualización a nuestro cargo. 

 
WordPress se suma así a la tendencia que popularizó Google Chrome: Actualizaciones transparentes al usuario. Un paso que no se ha dado sin motivación. 
 
Recientemente, un estudio realizado por WP WhiteSecurity, determinó que más de un 70% sobre una base de más de 40.000 instalaciones eran vulnerables. Algunas versiones detectadas, como la 3.3.1, con hasta 24 vulnerabilidades sin parchear. Esto sin contar los innumerables complementos y temas con agujeros críticos de seguridad que permiten el compromiso del sitio con relativa facilidad. Como muestra: una búsqueda de exploits para WordPress en el sitio www.exploit-db.com devuelve 7 resultados para complementos y temas… tan solo en el mes de octubre, y la mayoría de ellos permite subir archivos de manera arbitraria o inyección ciega de código SQL. 
 
http://2.bp.blogspot.com/-yu7IO-9N7EI/Um0va5Px-uI/AAAAAAAAC64/toe92FCUUaM/s1600/Exploits_Wordpress.png
 
Dentro de las estadísticas internas del equipo Antifraude de Hispasec, WordPress suele copar los primeros puestos de plataformas usadas para alojar malware o phishing, casi siempre, eso si, muy cerca de otro CMS
popular: Joomla. 
 
Otra característica interesante es la integración de la librería ‘zxcvbn’. Esta librería, escrita en su mayor parte en Coffescript, realiza un análisis de la contraseña con la que el usuario va a autenticarse en el sistema indicándole cuando esta es considerada débil. 
Esto servirá para paliar en parte la elección de contraseñas sencillas que favorecen las posibilidades de éxito en ataques de fuerza bruta, diccionario o híbridos sobre cuentas de usuarios. 
 
Finalmente, en el documento de cambios, señalan también que se han solucionado más de 400 tickets de mantenimiento. Esta versión no incluye ningún parche de seguridad más allá de las mejoras comentadas. 
 
Sin lugar a dudas una versión interesante desde el punto de vista de la seguridad que podría ayudar a acortar la ventana de exposición ante vulnerabilidades publicadas. 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/10/actualizaciones-automaticas-partir-de.html#comments
 
Más información:
 
WordPress 3.7 “Basie”
http://wordpress.org/news/2013/10/basie/
 
Version 3.7
http://codex.wordpress.org/Version_3.7
 
Statistics Show Why WordPress is a Popular Hacker Target
http://www.wpwhitesecurity.com/wordpress-news/statistics-70-percent-wordpress-installations-vulnerable/
 
realistic password strength estimation
https://github.com/lowe/zxcvbn

Fuente:
David García
dgarcia@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen: 
Fotos Digitales Gratis
www.fotosdigitalesgratis.com
 
Logos/Imágenes MR Respectivas Compañías mencionadas en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar