El 9 de diciembre de 2021, se identificó una grave vulnerabilidad de ejecución remota de código en la popular biblioteca de registro de Java de código abierto “log4j” desarrollada por Apache. Esta vulnerabilidad calificó una gravedad rara de 9.8 sobre 10 debido a la facilidad de explotación, el uso generalizado de la biblioteca en programas JAVA, el soporte universal para JAVA en todos los navegadores web y la capacidad de los programas JAVA para ejecutarse en CUALQUIER computadora o dispositivo.
Contents
¿Mi sitio web de WordPress es vulnerable al exploit Log4j?
Hasta ahora, las vulnerabilidades de Log4j en el ecosistema de software de WordPress se limitan a 4 complementos específicos y temas de ‘Epsilon Framework’ que usan la biblioteca vulnerable de Java.
Compruebe si su sitio web utiliza alguno de los complementos o temas de esta lista indicados por WordFence. La lista puede actualizarse para incluir más complementos a medida que se descubren.
Si su sitio web no utiliza ninguno de los complementos o temas enumerados, no se verá afectado. Es de esperar que los autores de los complementos y temas afectados publiquen parches rápidamente.
WordPress y log4j
En los foros oficiales de WordPress.org, los moderadores han intervenido varias veces indicando que Log4j no es un problema para el núcleo de WordPress:
https://wordpress.org/support/topic/is-the-log4j-vulnerability-an-issue/
https://wordpress.org/support/topic/cve-2021-44228-log4j-wordpress-affected-or-newspaper/
https://wordpress.org/support/topic/vulnerability-log4shell-cve-2021-44228/
https://wordpress.org/support/topic/log4j-vulnerability/
¿Qué pasa con el alojamiento de mi sitio web?
El alojamiento cPanel tiene un componente específico que puede verse afectado por Log4j.
Si su sitio web de WordPress está alojado en un plan de alojamiento de cPanel, hay un componente específico de cPanel que puede verse afectado.
cPanel ha publicado un parche para corregir la falla crítica en la biblioteca de Java log4j que se encuentra en parte del software utilizado para el correo electrónico. La vulnerabilidad en sí se llama Log4Shell.
Póngase en contacto con su proveedor de alojamiento si cree que esto puede afectarle. Con toda probabilidad, las empresas de alojamiento más grandes ya han parcheado la biblioteca, pero nunca está de más volver a verificar.
Algunas empresas de alojamiento comunes con las que trabajamos han emitido declaraciones o tweets sobre log4j:
SiteGround (no afectado)
De acuerdo con esta respuesta de soporte, los sitios web alojados en SiteGround están completamente a salvo del exploit porque usan NGINX como el servidor web orientado al cliente para sus sistemas y no hay una biblioteca Log4j configurada en ninguna parte de la cuenta de alojamiento. Tampoco utilizan ningún servicio adicional o de terceros que utilice la biblioteca vulnerable para proporcionar un determinado servicio.
Esto significa que, como cliente de SiteGround, esta vulnerabilidad no lo afectó de ninguna manera y no es necesario que realice ninguna acción.
WPEngine (no afectado)
El personal de WPEngine respondió en este tweet que no se ven afectados por la vulnerabilidad log4j.
Web Liquid (no afectado)
En esta respuesta de tweet, Liquid Web indica que el complemento log4j no viene instalado de forma predeterminada en los servidores Liquid Web, pero la modificación de las configuraciones predeterminadas podría proporcionarlo. Cualquier cliente que haya instalado el complemento debe verificar la seguridad de su complemento e instalar las actualizaciones o parches que se hayan emitido.
¿Qué más puede hacer para proteger su sitio web de WordPress?
Equipe su sitio web con un complemento de seguridad.
Puede equipar su sitio con un complemento de seguridad como WordFence, Sucuri Security (← este es un enlace de afiliado), MalCare (← también lo es) o complementos de seguridad similares. Estos tipos de complementos pueden ayudar a detectar vulnerabilidades e intrusiones y también proporcionar notificaciones cuando / si su sitio está usando un complemento vulnerable, para que pueda actualizarse con la versión parcheada.
Asegúrese de que sus complementos y el núcleo de WordPress estén actualizados.
Es una buena práctica mantener sus complementos y WordPress actualizados para asegurarse de que se hayan aplicado los parches disponibles. Si no sabe si su WordPress y sus complementos están actualizados, consulte este tutorial, o puede considerar un plan de soporte de WordPress.
0 comentarios