Nuevo WordPress 4.5

Por fín, recién salido del horno, nos llega la tan esperada nueva versión de WordPress. Nos trae algunas novedades, quizás no tantas como la expectación había creado, pero en definitiva, lo importante es que WordPress sigue en constante proceso de mejora y que no para!. Veamos cuales son algunas de esas novedades.

 1. Personalizador:

  • previsualización de nuestra web en smartphone y tablet. Hasta ahora sólo podíamos previsualizar nuestro proyecto a nivel de dispositivos de escritorio, Pc o portátil. El nuevo wordpress 4.5 nos da la posibilidad de hacerlo también a nivel de dispositivos móviles, lo cual nos evita el engorro de tener que recurrir al “inspector” de Chrome o Firefox. Personalmente hecho de menos la opción, como nos dan estos navegadores, de poder visualizar nuestra web en distintos modelos de smartphones y tablets, pero bueno, supongo que todo se andará. Para acceder a esta función sólo tenemos que dirigirnos  a nuestro personalizador en el panel de control de nuestro WordPress y abajo del todo veremos tres iconos, un Pc, un smartphone y una tablet. Clikando en cualquiera de ellos previsualizaremos nuestra web en el dispositivo escogido.previsualizando en dispositivos móviles
  • Opción de insertar nuestro logo: Eso sí, siempre que el theme lo permita, como es caso de el nuevo sixteen que viene en la nueva versión de WordPress. Hasta ahora había que buscar en las opciones del propio theme dónde estaba el logo, si podíamos cambiarlo, incluirlo en los archivos del tema, etc. Ahora WP nos da esa opción directamente desde el personalizador.añadiendo el logo en wordpress 4.5

2. Editor:

  • Posibilidad de poner enlaces inline. Ya no tenemos que seleccionar la palabra, abrir el cuadro de diálogo, meter nuestro enlace… sino que clickando directamente en el botón de enlaces ya podemos introducirlo directamente en el texto.
  • Nuevos atajos de formato. A los que ya teníamos, se han añadido algunos como:introducir código directamente sin tener que pasar por la etiqueta mediante la tilde invertida `codigo`

usar tres guiones para poner una línea horizontal —

usar arteriscos para cusrivas y negritas *cursivas , **negritas**

 

3. Sistema:

  • Mejora en la carga y optimización de imágenes. Reduce las imágenes hasta en un 50% sin pérdida apreciable de calidad. Esto está claramente motivado por la apuesta definitiva de WordPress hacia el acceso en dispositivos móviles, reduciendo considerablemente los tiempos de carga de imágenes en éstos.
  • Acceso al panel de control mediante e-mail. Hasta ahora sólo podíamos acceder al panel mediante nuestro usuario. Ahora podemos hacerlo también con nuestro e-mail sin tener que recurrir a algún plugin.

A nivel de código interno WordPress ha introducido mejoras en su constante búsqueda de la seguridad reparando también algunas vulnerabilidades. A nivel de multisite hay también algunas novedades que nos va a permitir a desarrolladores y diseñadores explotar más aún si cabe este valor añadido de WordPress. En un próximo post ahondaré más a fondo este tema.

En cuanto a posibles problemas en plugins y themes instalados, he de decir que he actualizado todas las páginas que gestiono a la nueva versión y no he tenido ningún problema de funcionalidad, con lo cual animo a todos a actualizar al nuevo WP 4.5 y evitarnos sobretodo problemas de seguridad. Como ya sabemos, cuando sale una nueva versión del code de WP, se publican las posibles vulnerabilidades que se han solucionado, con lo cual éstas están al alcance de cualquiera y pueden ser usadas para hackear versiones anteriores.

seguridad en WordPress y los papeles de Panamá

Muchas veces dejamos de lado un aspecto básico de nuestra web en pos de un diseño bonito y elegante, la seguridad. Podemos llegar a tener una web extraordinariamente vistosa, con unos plugins que nos permitan todo tipo de funcionalidades, unos sliders impresionantes o unos efectos parallax que sean la envidia de nuestra competencia, pero nunca, repito nunca dejemos de lado la seguridad de nuestra web .Wodpress en ese sentido quizás sea el CMS que más se vuelca en ese aspecto y puedo asegurar que bien configurado y siguiendo unas mínimas pautas de seguridad es prácticamente invulnerable. Aún así hoy por hoy nuestra página está expuesta a numerosos y constantes ataques y es vital que ésta siga unos protocolos de seguridad que impidan los accesos no deseados a nuestra instalación. La protección de nuestra base de datos, la instalación de un plugin de seguridad, las actualizaciones del core de Worpress, plugins y themes o contar con back ups de nuestro sitio son las medidas mínimas de seguridad que pueden poner harto difícil el acceso de hackers a nuestros sitio web. Recientemente, como todos sabéis, ha salido a la luz el escándalo de “ los papeles de Panamá ”.
La filtración de millones de documentos que comprometen en materia fiscal a sociedades y personas de todo el mundo, algunas de ellas muy conocidas, ha supuesto un verdadero escándalo a nivel mundial. Dicha filtración, por lo visto, ha sido posible debido a una intrusión no autorizada en el sitio web del despacho de abogados Mossack Fonseca, los supuestos intermediarios entre los afectados y las sociedades “offshore”. Pués bien dicha web es un sitio WordPress y según cuentan los amigo de Wordfence (empresa experta en seguridad Worpress) dicha intrusión se ha producido a través de una versión vulnerable del plugin “slider Revolution” y el posterior acceso al servidor de correo electrónico ubicados ambos en el mismo servidor que WordPress. La semana pasada MF envió un correo electrónico a sus clientes diciendo que había experimentado el acceso no autorizado de sus servidores de correo electrónico, lo que confirma que los servidores fueron comprometidos. Una vez que se accede a un sitio web de WordPress, se puede ver el contenido de wp-config.php que almacena las credenciales de base de datos de WordPress. El atacante habría utilizado esto para acceder a la base de datos. La página de MF ejecuta, además del plugin SR el plugin WP SMTP que le da la capacidad de enviar correo desde su sitio web a través de un servidor de correo. Esta dirección de correo electrónico del servidor plugin almacena información en texto plano en la base de datos de WordPress. La información de acceso almacenada es un inicio de sesión SMTP del servidor de correo para el envío de correo electrónico. una vez que el atacante tuvo acceso a WordPress, el archivo wp-config.php que contiene las credenciales de base de datos y la base de datos de WordPress, puede ver la dirección del servidor de correo, el nombre de usuario y contraseña para iniciar sesión y enviar correos electrónicos y, por supuesto, habría tenido todos los demás privilegios que se otorgan a esa cuenta.
también se usa en la página el plug-in Easy Mail Boletín ALO que proporciona una funcionalidad de gestión de listas. Una de las funciones que proporciona es recibir mensajes devueltos desde un servidor de correo y eliminar automáticamente los correos rebotados de la lista de suscriptores. Para ello, el plugin necesita acceso para leer mensajes de correo electrónico desde el servidor de e-mail. Este plugin también almacena la información de inicio de sesión del servidor de correo electrónico en la base de datos de WordPress en texto sin formato. En este caso, la información de inicio de sesión proporciona la capacidad de recibir correo a través de POP o IMAP del servidor de correo. Una vez que el atacante también tuvo acceso a estos datos, después de obtener acceso a la base de datos de WordPress a través de slider revolution, habría podido inscribirse en el servidor de correo electrónico y sería capaz de leer los mensajes de correo electrónico a través de POP o IMAP.

grafico ataques a wordpress

Para resumir el movimiento de los atacantes

Lo más probable es que el atacante tuviera acceso a la página web de MF WordPress a través de una conocida vulnerabilidad de Revolución Slider. Esta vulnerabilidad es bastante fácil de explotar. Esto le habría dado acceso a la base de datos de WordPress. Luego los otros dos plugins adicionales que almacenan información de acceso a su servidor de correo electrónico en texto sin formato en la base de datos estarían a su merced. El atacante habría leído esta información de la base de datos de WordPress y lo utilizó para obtener acceso al servidor de correo electrónico.

¿Se hace cumplir el principio de privilegio mínimo?

Uno de los conceptos clave en la seguridad de la información es el principio del mínimo privilegio. Por ejemplo: Las cuentas de usuario sólo deben tener el acceso que necesitan para hacer su trabajo.
Es difícil de imaginar en una empresa con clientes de alto potencial que la misma cuenta que utiliza un gestor de relaciones con los clientes también se utiliza para enviar mensajes de correo electrónico de la lista. Esto garantizaría que el administrador ve todas las respuestas en su bandeja de entrada. Si ese fuera el caso, el atacante habría tenido acceso a la cuenta de correo electrónico de un funcionario superior cuando robaron estas credenciales del servidor de correo electrónico.

2016-04-11_16-34-12

Voy a resumir brevemente cómo los atacantes probablemente tuvieron acceso a los documentos de los clientes corporativos como PDF. Según el sitio web del portal de MF en https://portal.mossfon.com/, “el portal de Información del Cliente Mossfon es una cuenta en línea segura que permite acceder a su información corporativa en cualquier lugar y en todas partes, con actualizaciones en tiempo real”. En el portal de MF que proporciona acceso a los clientes se ejecuta una versión de Drupal que cuenta con más de veintitres vulnerabilidades.Esta versión fue responsable de “Drupageddon”, una piratería masiva de sitios Drupal acaecida tiempo atrás. Entrar en este sistema no supondría problema alguno a un analista de seguridad principiante. Una vez que un atacante compromete el sistema de permisos de acceso de cliente, habría derrotado al control de acceso y podría acceder a toda la información corporativa del cliente. Esto es probablemente el sistema utilizado para robar PDFs y otros documentos.

Conclusión

Mossack Fonseca tenía una vulnerabilidad por una versión del plugin Slider Revolution que no habría sido debidamente actualizado, en su sitio de WordPress que probablemente dio a un atacante el acceso inicial a sus sistemas incluyendo su base de datos de WordPress. Actualizar con regularidad tanto el propio software de WordPress, así como sus plugins y themes, tener nuestra web en un servidor de confianza y por supuesto cambiar con regularidad nuestras contraseñas de acceso, al margen de tener un buen plugin de seguridad se antoja fundamental para proteger nuestra web de atacantes.
Evidentemente sobra decir que todo lo anteriormente expuesto debe tomarse a modo de ejemplo y que en ningún caso, quien firma este blog está de acuerdo en las tremendas irregularidades fiscales de las que, presuntamente, son responsables las personas y empresas afectadas.