Blog

Vulnerabilidad en el plugin Jetpack <9.8

El módulo Jetpack Carousel permite crear galerías que pueden ser comentadas por los usuarios. Una nueva vulnerabilidad permite en principio acceder a comentarios públicos y privados. Esto que puede ser considerado por muchos como algo no grave, a nivel de seguridad se considera crítico, ya que un atacante puede obtener información de la base de datos que no es pública. A veces estos bugs son utilizados no solo para atacar la vulnerabilidad evidente, sino llegar un poco más allá y conseguir otro tipo de información, a veces incluso poder tomar control de una web o inyectar código.

Es por todo esto, que siempre que haya una vulnerabilidad de seguridad considerada crítica, se recomienda actualizar cuanto antes con las correcciones. En este y muchos otros casos, los desarrolladores publican una fecha donde darán más detalles técnicos del bug de seguridad. Es con estos detalles técnicos, con los que los atacantes pueden saber cómo infectar webs con WordPress con el plugin Jetpack no actualizado. Es por eso que se suelen dar varios días antes de publicar la información más completa. En este caso se avisa de que el día 17 de junio de 2021 será cuando den los detalles del error de seguridad de JetPack.

Si tienes nuestros Servicios Avanzados y nos has pedido que nos encarguemos de tus actualizaciones, no tienes de qué preocuparte, nos encargaremos de todo (o ya nos hemos encargado).

Si programas o entiendes de código php  y quieres ver cómo se ha resuelto el error de seguridad, lo puedes ver aquí: Corrección del bug de JetPack.

 

Directo 8 – Con ADIGITAL del Sello de Confianza Online

1️⃣ 01:33 ¿Qué es Adigital?
– Jornadas, workshops y eventos: ¿Qué temáticas se tratan? ¿Es solo para asociados?
– Asociados: Amazon, Apple, Google, Facebook, Bancos, Bizum… ¿Es solo para grandes empresas?

2️⃣ 17:35 Sello de Confianza Online
– ¿Qué es y cómo surge el sello de Confianza Online?
– ¿Qué ventajas tiene para una empresa tener el sello?
– ¿Qué ventajas tiene para un consumidor comprar en una empresa con sello de Confianza Online?

3️⃣ 38:25 Recupera tu dominio .es. ¿Cómo es el proceso?
– Alguien está usando un dominio .es de mi marca.
– Se me olvidó renovarlo y alguien lo ha registrado después.

4️⃣ 49:00 Lista Robinson
– ¿Qué es y para quién es?
– ¿Es efectiva?

Podéis escuchar el directo desde YouTube:

También desde iVOOX:

O desde Spotify:

Comentarios del directo en Telegram:
https://t.me/aquihaydominios/32

Por último recuerda, que si quieres estar en los directos, te puedes unir a nuestro canal de Telegram: https://t.me/aquihaydominios

Directo 7 – BIZUM con Alicia Fernández del área de desarrollo de negocio

1️⃣ 03:35​ ¿Qué es Bizum?

– ¿De dónde surge?
– ¿Cómo se ha conseguido la colaboración de tantos bancos?

2️⃣ 08:19​ Integración de Bizum con los comercios online

– ¿Necesito un TPV para integrar Bizum?
– ¿Qué ventajas tiene integrar Bizum en mi negocio?
– ¿Puedo usarlo para cualquier producto o servicio?
– ¿Puedo usarlo si también vendo fuera de España incluso en otras monedas?

3️⃣ 28:25​ El futuro de Bizum

– ¿Sustituirá Bizum al pago con tarjeta?
– ¿Está trabajando Bizum en novedades?

Podéis escuchar el directo desde YouTube:

También desde iVOOX:

O desde Spotify:

Por último recuerda, que si quieres estar en los directos, te puedes unir a nuestro canal de Telegram: https://t.me/aquihaydominios

Directo 6 – FLoC las nuevas Cookies propuestas por Google

1️⃣ FLoC, las cookies propuestas por Google que prometen revolucionar la publicidad online
– ¿Qué son las Cookies?
– ¿Qué son las Cookies de terceros?
– ¿Qué es FLoC? ¿Por qué Google propone FLoC?

2️⃣ Directos de Aquí hay dominios
– En cualquier momento. ¡O cuando surja la noticia!
– Monotemáticos
– Más cortos

Podéis escuchar el directo desde YouTube:

También desde iVOOX:

O desde Spotify:

Por último recuerda, que si quieres estar en los directos, te puedes unir a nuestro canal de Telegram: https://t.me/aquihaydominios

Directo 5 – Copywriting con Ana Alabort

Al final del post, las recomendaciones de Ana sobre cursos, copywriters de referencia y libros.

¿De qué hemos hablado en este directo?

1️⃣ ¿Cómo atraer clientes con Stereo para tu negocio online? 00:06:14
– ¿Qué puedes aportar en Stereo?
– Lluvia de ideas para los participantes del directo

2️⃣Inteligencia emocional, Marketing y Copywriting 00:31:06
– ¿Cómo trabajar tu Copy en Stereo?
– ¿Cómo persuadir a tu audiencia?
– ¿Cómo impactar con tus textos?

3️⃣ Novedades de Telegram voice chat 01:09:34

Podéis escuchar el directo desde YouTube:

También desde iVOOX:

O desde Spotify:

O desde Stereo:

Por último recuerda, que si quieres estar en los directos, te puedes unir a nuestro canal de Telegram: https://t.me/aquihaydominios


Recomendaciones de Ana sobre cursos:


Recomendaciones de Ana sobre copys de referencia:


Recomendaciones de Ana sobre libros:

  • Curso de Marketing Digital de Miguel Florido.
  • Transformación Digital de Miguel Ángel Trabado.
  • Ideas que pegan de Chip y dan Heath.
  • Storybrand de Donald Miller.
  • Buyology de Martin Lindstrom.
  • Todos somos raros de Seth Godin.
  • The Copywriter’s Handbook de Robert . Bly.

Directo 4 – ClubHouse vs Stereo vs Twitter Spaces, GA4 y iOS 14

¿De qué hemos hablado en este directo?

1️⃣ ClubHouse vs Stereo vs Twitter Spaces 00:01:25
– Las nuevas tendencias en redes sociales de voz
– ¿Cómo monetizar?

2️⃣ Lo nuevo de Google Analytics 00:14:00
– ¿Qué es GA4?
– ¿Qué novedades trae?

3️⃣ Actualizaciones de iOS 14 00:37:30
– ¿Cómo y por qué afecta a la publicidad en Facebook?
Comunicado oficial de Facebook
Verificar un negocio en Facebook
Agregar dominios de tu propiedad a Facebook

4️⃣ Retomamos: Impuestos del transporte 01:01:57
– ¿Qué IVA lleva el transporte? – Casos especiales

Podéis escuchar el directo desde YouTube:

También desde iVOOX:

O desde Spotify:

Por último recuerda, que si quieres estar en los directos, te puedes unir a nuestro canal de Telegram: https://t.me/aquihaydominios

Directo 3 – Con Emilio Márquez – Marketing, marca personal y redes sociales

¿De qué hemos hablado en este directo?

  • Presentación de nuestro invitado: Emilio Márquez.
    • Inicios y trayectoria profesional.
    • Business Angels. ¿Qué son? ¿Cuando buscar uno?
    • Marketing, marca personal, redes sociales…
  • Presentación de proyectos de 3 participantes del directo.
    • Presenta tu proyecto en 3 minutos máximo.
    • Emilio valorará desde el punto de vista de un Business Angel.
    • Se hablará sobre oportunidades y amenazas del proyecto.

Podéis escuchar el directo desde YouTube:

También desde iVOOX:

O desde Spotify:

Por último recuerda, que si quieres estar en los directos, te puedes unir a nuestro canal de Telegram: https://t.me/aquihaydominios

Vulnerabilidad en el plugin Testimonial Rotator. Sin corrección.

Testimonial Rotator es un plugin usado por más de 500.000 usuarios de WordPress, y que han retirado hace poco del repositorio de plugins. Hasta aquí todo normal, es algo que ocurre frecuentemente cuando los desarrolladores dejan de mantener los plugins por los motivos que sean. Por otro lado, hace 9 meses que no tenían actualizaciones y lo especial en este caso es que ahora se ha descubierto una vulnerabilidad grave de seguridad. Por lo que un plugin con vulnerabilidad y no  mantenido por los desarrolladores, significa que no será corregida por lo que si tienes ese plugin, debes desinstalarlo, eliminarlo cuanto antes y buscar alguna alternativa.

La vulnerabilidad detectada, permite inyectar código JavaScript o HTML a usuarios con pocos privilegios, por ejemplo con un perfil tipo Colaborador. Esto podría ser incluso aprovechado para conseguir una escalada de privilegios.

Si tienes nuestros Servicios Avanzados y nos has pedido que nos encarguemos de tus actualizaciones, no tienes de qué preocuparte, nos encargaremos de todo (o ya nos hemos encargado).

Puedes ver como de fácil es aprovechar la vulnerabilidad en el siguiente vídeo, donde se ve como un Contribuidor inyecta código JavaScript que se le ejecuta a un admin cuando entra en la sección de crear testimonios.

Directo 2 configuración de transportes y de impuestos más SEO Core web vitals

¿De qué hemos hablado en este directo?

  • Tendremos una nueva sección de entrevistas.
    La semana que viene nos acompaña Emilio Márquez
  • Configuración de transportes y de impuestos.
  • SEO: Core web vitals.

Sentimos que por cuestiones técnicas se perdiera parte de la grabación del directo, unos 30 minutos en total. El resto pudo recuperarse y aunque no se escucha del todo bien, esperamos que os guste. Igualmente animamos a que estés en los directos. Recuerda que sí aún no estás, puedes hacerlo uniéndote a nuestro canal de Telegram: https://t.me/aquihaydominios

Podéis escuchar el directo desde YouTube:

También desde iVOOX:

O desde Spotify:

Vulnerabilidad en el plugin Post SMTP Mailer/Email Log corregida en la versión 2.0.21

Post SMTP Mailer/Email Log es un plugin para que tu web envíe correos por SMTP con más de 200.000 descargas a día de hoy.

Un error en la programación, hacía que un atacante pudiera saltarse una comprobación de seguridad (CSRF) y exportar correos en CSV sin ninguna protección.

El día 26 de febrero se darán más detalles de como se podía explotar esta vulnerabilidad. Por lo que es muy importante que si usas este plugin lo actualices antes de esa fecha.

Esta vulnerabilidad fue corregida en la versión 2.0.21 del plugin, por lo que te recomendamos como siempre tener tanto este como otros plugins siempre actualizados.

Si tienes nuestros Servicios Avanzados y nos has pedido que nos encarguemos de tus actualizaciones, no tienes de qué preocuparte, nos encargaremos de todo (o ya nos hemos encargado).

Si programas o entiendes de código y quieres ver cómo se ha resuelto el agujero de seguridad, lo puedes ver aquí: Corrección del bug de Post SMTP Mailer/Email Log