1000 temas afectados por la vulnerabilidad de Revolution Slider

Category: Seguridad 55 0

Hace unos días, les hablaba de mi desventura “Hacked without my knowledge of my own free will” (Hackeado sin mi conocimiento de mi propia voluntad) o estaba reportando principalmente la falla de seguridad crítica que se encontró en el muy popular plugin de WordPress Revolution Slider y que fue arreglado discretamente por su autor.

No fui el único afectado por esta falla y la retroalimentación comenzó a aumentar esta semana, tanto es así que el mercado de Envato ha lanzado una investigación más profunda sobre el tema, y con razón: el plugin Revolution Slider no sólo se vende en CodeCanyon, sino que también se entrega (en un paquete) con muchos temas en la plataforma ThemeForest.

1000 temas premium suspendidos por Envato

El número es simplemente asombroso! Más de 1000 temas premium, algunos de ellos best-seller, imaginan por un momento el número de descargas y, de hecho, el número potencial de sitios de WordPress que podrían verse afectados por la vulnerabilidad del Revolution Slider.

Envato ha identificado más de 1000 temas premium que podrían ser afectados por esta vulnerabilidad y vendidos a través de ThemeForest. Aunque el plugin Revolution Slider ya ha sido parcheado en la versión 4.2 y ahora está en la versión 4.6, algunos autores de temas aún no han reaccionado.

Debido a la severidad de esta vulnerabilidad y a la facilidad con la que puede ser explotada, la reacción de Envato fue desactivar temporalmente todos los temas que aún no han sido arreglados:

Estamos empezando a desactivar temporalmente todos los temas afectados que no han sido actualizados, en contacto con los autores de estos temas para obtener una actualización lo antes posible. Llevará algún tiempo porque hay muchos temas para ordenar manualmente…

Incluso para los plugins ya parcheados, el siguiente reto es conseguir que todos los usuarios se actualicen por sí mismos. Muchos temas no tienen un sistema de actualización automática incluido para informar a los usuarios. También hay que tener en cuenta que estos últimos no siempre aplican las actualizaciones tan pronto como están disponibles, por miedo a romper su WordPress.

Por lo tanto, Envato propone abordar este problema enviando un correo electrónico a los usuarios registrados para informarles de esta violación de seguridad:

Nos comunicaremos con todos los compradores de los temas afectados directamente a través de su dirección de correo electrónico de Envato tan pronto como sea posible para asegurarnos de que lean y actúen de acuerdo con esta información….

Envato ha publicado instrucciones detalladas para ayudar a los usuarios a determinar si están o no afectados, que se pueden encontrar en http://marketblog.envato.com/general/plugin-vulnerability/

Nota: La lista publica los aproximadamente 1000 temas “potencialmente afectados”, así que si hace clic en uno de estos temas y obtiene un hermoso error 404, es porque el tema aún no ha sido parcheado por su autor, todavía contiene el defecto y de hecho es lógicamente eliminado de la plataforma ThemeForest.

Por otro lado, si logras acceder al tema es porque ha sido actualizado y por lo tanto ahora está libre de riesgos, en este último caso, ¡aprovecha y actualízalo inmediatamente!

El peligro de los temas con Bundle

Cuando una violación de seguridad afecta potencialmente a más de 1.000 temas, una corrección discreta de esta violación no es aceptable. Este último debería haber sido hecho público por el equipo de ThemePunch (el equipo que desarrolla Revolution Slider) en el mismo momento en que ocurrió, lo que podría haber evitado que la vulnerabilidad fuera explotada activamente.

Al final del artículo, Envato destaca que hacen todo lo posible para que esto no vuelva a suceder:

Publicaremos directrices y procesos para garantizar que los problemas de este tipo nos lleguen más rápidamente, y para ayudar a los autores a garantizar que sus compradores estén actualizados y parcheados lo más rápidamente posible. También revisaremos cómo se gestionan las actualizaciones para paquetes y temas que incluyen plugins separados…

Desafortunadamente, “más directrices y más procesos” no abordarán la raíz del problema. Esta vulnerabilidad pone de manifiesto el peligro de permitir a los autores de los temas agrupar los plugins en sus productos. Envato nunca habría necesitado listar más de 1000 temas potencialmente afectados si hubiera desalentado o incluso prohibido los temas agrupados.

La lógica económica no está necesariamente en línea con las buenas prácticas (al menos en términos de seguridad), prohibir a los temas más vendidos el uso de paquetes conduciría necesariamente a una pérdida de beneficios para Envato. Parece que hay poco interés en que este último actúe de forma decisiva tras esta violación de la seguridad y pocas posibilidades de que avance hacia mejores prácticas….

WordPress es utilizado actualmente por más del 23% de los sitios web en todo el mundo y siempre será un objetivo para los hackers que buscan explotar las vulnerabilidades. Si Envato no toma una posición contra los autores de los temas con el paquete, continuará enfrentando los mismos problemas de seguridad que están saliendo en los titulares (y muy mala prensa) esta semana!

Fuentes y recursos :

  • DIFUNDE LA PALABRA-
  • La reacción de Envato: marketblog.envato.com/general/plugin-vulnerability/
  • Los temas en cuestión: marketblog.envato.com/general/affected-themes/
  • La luz de la luna también habla de ello: moonlight.com/themeforest-reacts/

4.517

Related Articles