SEO by Yoast hackeado

fallo de vulnerabilidad seo by yoast

En los últimos días se ha producido una noticia muy importante que todos los amantes y usuarios de WordPress deberíamos tener en cuenta. Search Engine Land se ha hecho de que en el plugin SEO by Yoast se ha detectado una grave vulnerabilidad que expone a nuestros sitios web y a los de nuestros clientes hechos con este CMS a posibles ataques de hackers.

Según palabras de los desarrolladores, este plugin está instalado en más de 14 millones de páginas web, de ahí que sea fácil entender el impacto que esto puede suponer para el “bienestar” de nuestros proyectos online. ¿Pero en qué consiste esta vulnerabilidad encontrada en esta funcionalidad de WordPress?

Según el informe oficial de WPScan Vulnerability Database, hay una parte de este plugin que es muy susceptible de ser atacada por una inyección ciega de SQL. Esto es una manera de infiltrar en un site una porción de código malicioso que permite modificar el comportamiento de un programa o acceder a la intranet de un sitio web, además de ingresar también a la base de datos. De esta manera, un hacker que realiza este tipo de acciones podría crearse un usuario para acceder a nuestro WordPress e incluso conceder accesos a otros usuarios o borrar nuestro usuario, entre otras cosas.

[bctt tweet=”Si no actualizas YA tu Yoast, tu web será hackeada.”]

Si tiramos un poco de Wikipedia (para algunas cosas es muy fiable), podemos ver que se llama inyección ciega de SQL porque funciona mediante ensayo y error, probando letra a letra y carácter a carácter. Esto se hace de manera automatizada, por lo que es cuestión de tiempo que se acabe acertando una contraseña y nombre de usuario en su totalidad. Una vez han conseguido acceder, pueden realizar todo lo que deseen: incluir enlaces follow a otros sitios web para mejorar su autoridad,empeorar la tuya, generar spam o 5000 motivos más.

Este fallo del plugin se encuentra localizado en el archivo admin/class-bulk-editor-list-table.php. Este es un archivo al que solo puede acceder el administrador o ciertos usuarios con permisos.

Pero que no cunda el pánico, en Yoast se pusieron manos a la obra y enseguida sacaron una nueva versión de su plugin con el objetivo de solucionar esta problemática. La nueva actualización es la 1.7.4, que incluye un parche para hacer frente a estas intrusiones malignas.

hackers atacan yoast

Para finalizar, este hecho se ha convertido en noticia porque quizá, Yoast sea el plugin más popular de WordPress. Y esto siempre llama la atención, además de hacernos ver que nadie está fuera de peligro. Sí, nadie es perfecto.

No obstante, este y otros tipos de ataques se pueden producir por el simple hecho de no actualizar cualquier plugin, la versión de WordPress y hasta por nuestra plantilla. Cualquier “agujero” que dejemos sin tapar puede ser aprovechado por personas con malas intenciones. Si ves un aviso de que debes actualizar algo en tu web o tienda online, no te lo pienses. Es cuestión de seguridad. Si tienes una versión anterior…¡corre! ¿A qué esperas para actualizarla?

¿Te ha parecido interesante?
¡Suscríbete!

Sobre nosotros Fran

Emprendedor autodidacta. Alumno y colaborador en el blog de Ecommaster 2014-2015. Seducido por el mundillo del Seo, el E-commerce y el desarrollo web y de tiendas online con WordPress y Prestashop.

2 comentarios

  1. Interesante artículo. Acabo de encontrarme con él, precisamente porque estoy buscando información sobre un problema que ha surgido en mi web con el SEO de Yoast al empezar a utilizar el shortcode bctt tweet. Verás, Yoast considera que al incluir la palabra clave en bctt tweet, se está enlazando la misma con otra página, imposibilitando de esta manera que mi palabra clave se indexe. Con Click to Tweet no sucedía. La verdad es que me estoy volviendo loca. Te lo cuento, igual me puedes aconsejar. Me suscribo a tu web y así estamos en contacto.

    • Hola Txaro, gracias por pasarte por el blog y suscribirte! Lo siento, me tengo que no te he entendido bien qué es lo que te ocurre. No me ha surgido ese problema. De todas formas, si te parece bien, te invito a que me escribas un mail a contacto@franmolina.es y me cuentes algo más sobre este problema para ver si te puedo echar un cable 😉 . Un saludo y gracias de nuevo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *