Hace unas horas aparecía en Internet una noticia sobre un esencial fallo de seguridad en un plugin de WordPress muy utilizando: FancyBox para WordPress.
Nosotros hemos protegido de forma rápida a nuestros clientes de hosting compartido contra el malware que puede ser insertado en WordPress a través del fallo de seguridad de FancyBox.

seguridad wordpress fancybox

Recomendamos a todos nuestros clientes del servicio de servidores VPS, servidores VPS optimados y servidores dedicados que actualicen su complemento FancyBox en caso de tenerlo instalado o bien que lo desinstalen temporalmente hasta el momento en que aparezca una solución completa para el problema, en tanto que es mejor prevenir que tener inconvenientes.
A través de este fallo de seguridad el atacante puede efectuar una inyección XSS en el sitio web WordPress logrando acceso al sitios y si el servidor no está adecuadamente configurado y protegido el atacante podría conseguir acceso completo al servidor.

En el blog de Sucuri, en la nota oficial de la vulnerabilidad, se comenta un ejemplo de como el atacante puede conseguir la inyección XSS mediante una solicitud POST a un factor del plugin FancyBox for WordPress:

fancybox vulnerable

Esta vulnerabilidad se puede prevenir por medio de una modificación de las reglas del firewall del servidor, que es lo que hemos hecho para nuestros clientes de alojamiento compartido, en el caso de nuestros servidores VPS optimizados solo existe una solución: actualizar o borrar el plugin de la instalación de WordPress.
Esta vulnerabilidad se añade a la lista que poquito a poco va incrementando de vulnerabilidades que aparecen en plugins populares durante el último año, la ultima fue una vulnerabilidad fundamental en el plugin Revolution Slider para WordPress (plugin que empleamos nosotros en este sitio web) y la vulnerabilidad relacionada con el malware CrypPHP que causo daños esenciales en instalaciones de WordPress.

Si precisas ayuda para sostener tu WordPress seguro puedes contactar con sered.net y te informaran sin ningún compromiso de de qué forma puedes tener tu WordPress seguro, si ya eres usuario nuestro no te cobraremos.