Facebooktwitterlinkedin

Para aquellos no familiarizados con WordPress, All In One SEO puede ser una herramienta desconocida, pero junto a Yoast, es uno de los plugins para SEO más utilizados por la comunidad de este CMS, con más de 3 millones de instalaciones activas en todo el mundo.

Pero actualmente no atraviesa su mejor momento. En los últimos días, durante una auditoría interna, el equipo de Jetpack, otro de los plugins más populares de WordPress, encontró una serie de vulnerabilidades en All In One SEO, las cuales podrían afectar severamente los sitios web que hagan uso del plugin si alguien decide explotarlas.

Qué es All In One SEO

Como ya hemos comentado All In One SEO se trata de un plugin diseñado para WordPress, que ayuda a optimizar los contenidos del sitio web en orden de que mejores su posicionamiento en los resultados de búsqueda. Es decir, que impulsa la optimización de los resultados de búsqueda para el sitio web a través de diferentes herramientas. Este plugin está diseñado para cualquier sitio web que emplee estrategias de SEO, especialmente para blogs.

Esta herramienta está diseñada con una interfaz simple, sencilla e intuitiva, lo que la convirtió en una referencia para numerosos usuarios que no cuentan con conocimientos avanzados en SEO y pueden configurar múltiples opciones sin grandes complicaciones.

Una brecha que compromete la seguridad en WordPress

De acuerdo a lo revelado por el equipo de Jetpack, esta brecha de seguridad en el plugin consta de dos partes las cuales son dependientes entre sí. La primera es una vulnerabilidad que afecta directamente la función de REST Api de WordPress y que podría permitir a los usuarios acceder a información de contraseñas y nombres de usuarios del sitio web. Para ello, la persona tan solo necesitaría contar con un nivel de acceso mínimo en el sitio web, como el de un suscriptor. 

Como vemos, esto puede generar problemas en los sitios web, ya que significa un fallo de seguridad en torno a la información de los usuarios. Según explica Jetpack, esto sucede debido a un punto débil en el plugin con respecto al REST API de WordPress.

«Como no tenía en cuenta el hecho de que WordPress trata las rutas de la API REST como cadenas que no distinguen entre mayúsculas y minúsculas, el cambio de un único carácter a mayúsculas podía eludir completamente la rutina de comprobación».

La segunda de las vulnerabilidades encontradas se refiere a una Authenticated SQL Injection, una de las técnicas de hackeo más peligrosas y más utilizadas, y que puede permitir al atacante leer, editar o eliminar las bases de datos de la web atacada.

¿Cuántas webs se han visto afectadas por esta brecha?

Lo más impresionante de la ubicación de estos problemas de vulnerabilidad es el impacto que pueden presentar. All In One SEO es un plugin que es empleado activamente por más de 3 millones de usuarios globalmente. Lo que quiere decir que todos los datos de los usuarios de esos tres millones de webs podrían verse afectados por el mal uso de terceros de estas vulnerabilidades que hemos comentado.

¿Qué medidas tomar para solucionar esto?

Este inconveniente fue localizado en los primeros días de diciembre, y seguidamente se realizó la notificación por parte de Jetpack al equipo de All In One SEO, lo que obtuvo como respuesta una actualización sobre el plugin, alcanzando la versión 4.1.5.3, que se despliega actualmente. 

De esta forma, para quienes usan esta herramienta en su sitio, es imperativo realizar la actualización de la misma, ya que en esta nueva versión ambas vulnerabilidades han sido eliminadas, dejando solo un plug-in de optimización funcional.

Imagen: Depositphotos

Mantente informado de las noticias más relevantes en nuestro canal de Telegram