ACTUALIZACIÓN DE SEGURIDAD WORDPRESS

NextGen PLUGIN

Un plugin de WordPress instalado en más de un millón de sitios acaba de corregir una grave vulnerabilidad de inyección de SQL que puede permitir a los atacantes robar datos de la base de datos de un sitio web.

El nombre del plugin vulnerable es NextGEN Gallery, un plugin tan exitoso que tiene su propio conjunto de plugins.

Dos opciones de configuración del plugin de Galería NextGEN dejan al descubierto nuestro WordPress a posibles ataques.

Primer escenario de ataque

Según la empresa de seguridad web Sucuri, quien descubrió los problemas de seguridad de NextGEN Gallery, el primer escenario de ataque puede ocurrir si un propietario de WordPress activa la opción NextGEN Basic TagCloud Gallery en su sitio.

Esta característica permite a los propietarios de sitios mostrar galerías de imágenes que los usuarios pueden navegar a través de etiquetas. Al hacer click en una de estas etiquetas, se modifica la URL del sitio a medida que el usuario navega por las fotos.

Sucuri dice que un ataque puede modificar los parámetros de enlace e insertar consultas SQL que serán ejecutadas por el plugin cuando el atacante cargue la URL malformada.

Segundo escenario de ataque

El segundo escenario puede ocurrir si los propietarios de sitios web abren su sitio para posteos de blogs. Debido a que los atacantes pueden crear cuentas en el sitio y enviar una publicación o un artículo para su revisión, también pueden insertar los shortcodes malformados de NextGEN Gallery.

El experto de Sucuri, Slavco Mihajloski, dice que un código corto como el siguiente puede usarse para atacar sitios.

[Querycode1] [any_text1]% 1 $% s [any_text2] [querycode2]

El problema radica en cómo las funciones de complemento interno manejan este código. Por ejemplo, % s se convertirá en ‘% s’ y romperá eficazmente la consulta SQL en la que se inserta esta cadena.

Esto permite al atacante agregar código SQL malicioso después de este bloque de caracteres y hacer que se ejecute dentro del backend del sitio. Dependiendo del nivel de habilidad del atacante, esto puede permitirle volcar la base de datos del sitio y robar registros personales del usuario.

Sucuri dio a esta vulnerabilidad una puntuación de 9 de 10, principalmente debido a lo fácil que era para explotar el defecto, incluso para los atacantes no técnicos.

Sucuri dice que los autores del plugin arreglaron esta falla en NextGEN Gallery 2.1.79. Al leer el changelog del plugin por su cuenta, será muy difícil detectar que la versión 2.1.79 solucionó una falla de seguridad severa.

En el momento de escribir esto, el archivo de cambios de NextGEN Gallery en el repositorio de plugins de WordPress sólo dice “Cambiado: Ajuste de la visualización de etiquetas”.

Si sos usuario de este plugin y contás con una versión anterior a 2.1.79, tu sitio es vulnerable, por lo que no dejes de actualizar NetxGen plugin:

https://wordpress.org/plugins/nextgen-gallery/

Compartí este artículo

La función ya comenzó a ser desplegada de manera gradual a todos los usuarios del sistema operativo.

A partir de esta semana, los usuarios de Android podrán acceder a una pequeña pero útil actualización, ya que Google agregó la posibilidad de buscar archivos de Drive directamente desde su aplicación de búsqueda. Hasta ahora, esto era posible únicamente dentro de la app ofimática de la compañía.

Para utilizarla, simplemente hay que escribir en la barra de búsqueda el nombre del archivo, seleccionar la pestaña “En apps” (se encuentra junto a las pestañas de imágenes, noticias, videos, etc.) y chequear los resultados entregados. Al seleccionar el archivo, éste se abrirá en la aplicación de Google Drive. Vale destacar que esta sección también muestra resultados dentro de GMail, YouTube, redes sociales (Facebook, Twitter) y otras aplicaciones que estén instaladas en el dispositivo.

Si bien sería mucho más cómodo que los archivos aparecieran sin necesidad de pulsar sobre la pestaña “En Apps”, aún así se trata de una herramienta sumamente útil. La función ya comenzó a ser desplegada de manera gradual a todos los usuarios, por lo que no todos podrán acceder a ella al mismo tiempo. Por otro lado, por ahora no hay noticias sobre la implementación de esta solución en iOS, pero se estima que podría estar disponible en los próximos meses.

Compartí este artículo

El servicio de mensajería permite publicar fotos y videos cortos en el apartado “status”, ofreciendo a los usuarios una herramienta de personalización extra para mostrar su estado de ánimo.

Facebook parece empecinado en replicar la “experiencia Snapchat” en todas sus plataformas. La compañía estadounidense ya habilitó funciones similares a las de su rival tanto en su app como en Instagram, y ahora ha anunciado que hará lo mismo en WhatsApp.

La flamante función, que está disponible con la nueva actualización de la plataforma para Android, iOS y teléfonos con Windows, permite publicar fotos y videos cortos en el apartado “status”, ofreciendo a los usuarios una herramienta de personalización extra para mostrar su estado de ánimo.

Si bien esta renovación luce un poco forzada – ya que la mayoría de los usuarios del servicio de mensajería ni siquiera actualiza regularmente sus fotos de perfil – es un paso más de Facebook en su afán por delimitar el campo de acción de Snapchat. Con esta movida buscan que los usuarios dejen de lado a su competidor y, en cambio, utilicen las mismas funciones en alguna de sus plataformas móviles.

Vale destacar que, a priori, el miedo de la compañía es racional, ya que Snapchat tiene 158 millones de usuarios diarios y una presencia muy fuerte sobre todo en los Estados Unidos. Si bien Facebook multiplica por 10 ese número, no quiere dejar ningún cabo suelto en su pelea por ser la plataforma social más convocante del mundo.

Compartí este artículo

Google anunció la liberación de la primera beta de YouTube Go, la plataforma que permitirá guardar videos en dispositivos móviles para su posterior reproducción offline. La app está pensada para aquellos momentos en los que el usuario posee una conexión deficiente o nula.

Lamentablemente, por ahora solo ofrece dos opciones de resolución, una básica de 144p y otra standard de 360p. Estos números se encuentran muy lejos de resoluciones más “agradables” para el ojo humano, como lo son el HD (720p) o el FullHD (1080p), que son el estándar para la reproducción de video online hoy en día.

Por ahora, YouTube no adelantó demasiado al respecto, pero se espera que en las próximas versiones de prueba la app permita elegir todo tipo de resoluciones, incluyendo aquellas que son de alta resolución. Vale recordar que plataformas como Netflix y Amazon Video ya ofrecen la posibilidad de descargar videos online, tanto en calidad standard como en HD.

Aquellos que quieran probar la beta de YouTube Go pueden hacerlo a través de dispositivos Android, ya que la versión para iOS llegará recién cuando se lance oficialmente el producto. Asimismo, la disponibilidad del soft está restringida por países, por lo que habrá que consultar su web oficial para estar al tanto de su liberación en distintas regiones.
youtube-go

Compartí este artículo

Google ha comenzado a enviar avisos a los desarrolladores de todo el mundo donde manifiesta su intención de remover o limitar la visibilidad de las aplicaciones del Play Stores que no cumplan con su nueva política de protección de datos del usuario.

El objetivo de la compañía es purgar su tienda de “aplicaciones zombies” que no solo nunca son actualizadas, sino que además solo sirven para entorpecer el proceso de búsqueda de nuevas apps. Asimismo, muchos otros desarrolladores cuyas apps hayan quedado obsoletas no tendrán ninguna motivación para realizar dichos cambios.

Para muchas compañías desarrolladoras, esta nueva política de Google es una muy buena noticia. “Creo que es fantástico, esto eliminará de Google Play miles de aplicaciones basura y zombies y nuestros juegos encontrarán una mayor visibilidad en la tienda, ya que los términos de búsqueda se verán mucho menos abarrotados”, expresó Jack Cooney de Nerd Agency, creador de la popular aplicación “Hip Hop Ninja!”

Actualmente, una queja recurrente es la cantidad de apps basura que dificultan encontrar lo que realmente se busca. La limpieza de Google ayudará a limpiar el store, permitiendo a los usuarios descargar la app deseada mucho más fácil.

Desde Google aclararon que los desarrolladores tienen hasta el 15 de marzo para adaptarse a la nueva política de privacidad. De lo contrario, “se tomarán medidas administrativas para limitar la visibilidad de la aplicación, incluida la eliminación de Play Store”.

 

Compartí este artículo

Ingreso Clientes

Datos incorrectos. Por favor revisa el e-mail y la contraseña.

Ingresaste correctamente.

Olvidé mi contraseña

Cerrar

Recuperar contraseña

Te llegará un correo con la información acerca de como proceder.

Volver

Cerrar