Hay un fallo de seguridad importante en Visual Composer para WordPress, el popular constructor de páginas visual para nuestro querido WordPress. Desde Envato (distribuidores de Visual Composer vía el propio plugin o plantillas que lo incluyen) han hecho una circular donde emplazan a actualizar a la versión 4.7.4 de Octubre de 2015, por supuesto después de hacer un buen backup del sitio web. El motivo es que las versiones anteriores están afectadas por múltiples vulnerabilidades que permiten XSS.

Existen muchas plantillas de Themeforest que incluyen Visual Composer en sí mismas, por ejemplo nosotros hemos trabajado con cinco plantillas WordPress que lo tenían y ya están actualizadas. Y un cliente usaba el plugin suelto y ya se lo hemos actualizado.

En el caso de plantillas de Themeforest que incluyen Visual Composer, la actualización puede ser un poco más compleja ya que en su incrustación en plantillas se incoporan más elementos, cada vez es más habitual que una plantilla comprada toque bastantes elementos en el escritorio así que no es actualizar sólo una parte, sino que hay más partes de la plantilla a modificar o actualizar. Una tercera vía es deshabilitar el Visual Composer incrustado de la plantilla y ponerlo directamente como plugin externo (tras probar todo bien, claro). Y posiblemente haya que actualizar la plantilla (“ojo”, pueden tener personalizaciones así que mejor hacer una copia, comparar diferencias…).

En cualquier caso, si usas y te gusta Visual Composer, nuestro consejo es que compres una licencia si no la tienes ya (desde Codecanyon), pongas el número de serie en su configuración y así puedes actualizarlo desde el propio panel de WordPress. Su sistema de actualizaciones va diferente al habitual, ya que es un plugin de pago y por tanto no hay actualizaciones gratuitas.

Si no has actualizado aún Visual Composer, es importante que lo hagas. Si no sabes o no te atreves y necesitas ayuda profesional contáctanos.

Además, es un gran momento para desactivar también XMLRPC (xmlrpc.php) si no usas la aplicación de WordPress para IOS o editores de entradas externos, ya que estos días hay bastantes ataques contra dicho archivo, ya que incluso admite varios intentos de acceso mediante fuerza bruta por petición, bloquearlo es lo más sensato en la mayoría de instalaciones.

Categorías: WordPress

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *