WordPress 4.5 facilita la fuerza bruta

fondo-wp-coleman_phixrMás del 25% de las páginas web del mundo usan WordPress y ayer día 12 conocíamos la noticia de la nueva versión 4.5. Cambios y mejoras se han realizado aun así, recomendamos que no se actualice hasta las versiones de seguridad: “4.5.1”, “4.5.2”, etc.

La versión 4.5 de WordPress, llamado “Coleman” en honor al saxofonista Coleman Hawkins, ya pueden descargarla y ver la lista de mejoras en la web de WordPress. Algunas de las mejoras más destacadas que han implementado es:

  • Vista previa para ver en diferentes pantallas de dispositivos, smartphones, tables, etc. y poder ver el responsive de nuestra web.
  • La inserción de los enlaces en el editor aparecen en un cuadro justo encima del texto como ya en las anteriores versiones proporcionaba pero con ciertas mejoras de usabilidad.
  • Los emails de moderación de comentarios pendientes aparecen en HTML en vez de texto plano.

banner-auditoria-fortificacion

Estas son algunas de las decenas de las mejoras que ha realizado WP pero, ahora quiero comentar una que me llama mucho la atención y da el nombre a este post del blog.

El acceso de sesión -wp-admin, login.php- se podrá realizar con tu usuario o email. Está clara la tendencia de WP en centralizar los WordPress.org (independientes) a los servidores de Automattic. Entiendo que el objetivo es que en un futuro, tu cuenta en WP (com) te permita acceder a tu web.

Recuerda que tu WordPress, con varios sistemas de cronjobs, manda información de la situación de la web, actualizaciones, comentarios, visitas, etc. Como ya podemos observar en el plugin de Jetpack que prácticamente se ha fusionado como uña y carne. Pero eso es para escribir otra entrada más adelante.

Aunque volviendo a lo anterior… quiero expresar mi preocupación a las webs que no implementan medidas dewordpressa-email seguridad para las fuerzas brutas a sus loginscomo en casos de Mossfon y #PanamaPapers – puede que este cambio sea un retraso a nivel de seguridad facilitando así un ataque exitoso. Ya que aumenta las posibilidades de adivinar alguna de las dos credenciales posibles para el usuario: email or username.

Por ello, desde QuantiKa14 y WordPressA queremos avisar que es importante si instalas la nueva versión, implementar captchas y limitaciones de intentos (además de cambiar los nombres de los directorios y enlaces). Además de crear un correo diferente que no se pueda conseguir con crawlers o esté visible en la web.

Si estas interesado en tu empresa aprender como fortificar y proteger tus páginas de clientes o propias con WordPress. No dudes en contactar con nosotros a través del siguiente enlace: aquí

 

 

Add a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *