Soporte » Seguridad » .¿cuán grave era mantener la versión antigua?

  • Pajaroloco

    (@pajaroloco)


    Buenas tardes. Soy nueva por estos lares y no he encontrado ningún post relacionado con este tema así que preguntarse iniciándolo yo. Actualmente administro para un cliente/amigo 3 paginas web o mejor dicho la misma pagina en 3 lenguas, castellano, catalán e inglés. Antiguamente las administraba el mismo administrador del hosting. Tenia una versión de Wp 3.5 que no quería actualizar todavía a la 4 por los errores que suelen aparecer. Un buen día al acceder a la página en catalán veo que el administrador del hosting ha actualizado por su cuenta la versión de Wp a la 4 recién salida. Unos días después al intentar subir un artículo la pagina en inglés no me permite logarme y la de castellano al entrar el panel aparece en blanco.
    Escribo al administrador del hosting pidiendo ayuda/soporte y actualiza la versión de Wp también a la 4, indicando que tuvo que hacer las actualizaciones por ser una emergencia y suponer un grave riesgo de seguridad para el servidor.
    La cuestión es ¿realmente la versión 3.5 suponía tan alto riesgo de seguridad como para que el administrador del hosting se arrogue el derecho de sustituirme y hacer la actualización sin consultar con nadie?. ¿Era tan urgente e imprescindible actualizar esa versión a la 4?. ¿Suponía un grave riesgo de seguridad para el servidor el mantener la versión 3.5?. No veo que una actualización de versión «pequeña» ya que no cambia el numero entero de versión, p. Ej. de la 3 la 4 ponga en riesgo la integridad del servidor. Si puedo entender que haya riesgo de vulnerabilidad de la página. ¿Tan grave era la situación con la versión 3.5?
    Siento la extensión pero no sabia como explicarlo más corto. Si alguien puede arrojar un poco de luz lo agradecería mucho.
    Salu2

Viendo 4 respuestas - de la 1 a la 4 (de un total de 4)
  • elhui2

    (@elhui2)

    ¿realmente la versión 3.5 suponía tan alto riesgo de seguridad como para que el administrador del hosting se arrogue el derecho de sustituirme y hacer la actualización sin consultar con nadie?

    En el caso de las 3.5 es posible:

    La 3.5.1 resuelve lo siguiente:

    • Server-side request forgery (SSRF) and remote port scanning via pingbacks. Fixed by the WordPress security team. CVE-2013-0235.
    • Cross-site scripting (XSS) via shortcodes and post content. Discovered by Jon Cave of the WordPress security team. CVE-2013-0236.
    • Cross-site scripting (XSS) in the external library Plupload. Plupload 1.5.5 was released to address this issue. CVE-2013-0237.

    La 3.5.2 tambien estaba llena de errores:

    • Cross-Site Scripting (XSS) (Low Severity) when Editing Media. CVE-2013-2201.
    • Cross-Site Scripting (XSS) (Low Severity) when Installing/Updating Plugins/Themes. CVE-2013-2201.
    • XML External Entity Injection (XXE) via oEmbed. CVE-2013-2202.

    Mas info:
    http://codex.wordpress.org/Version_3.5.1
    http://codex.wordpress.org/Version_3.5.2

    Por otro lado el sysadmin es un HDP, lo unico que tenia que hacer es desactivar el sitio y pedirte que lo actualizaras.

    Iniciador del debate Pajaroloco

    (@pajaroloco)

    Gracias por responder, elhui2. Entiendo por tu respuesta que si bien podía ser necesario actualizar, cosa con la que ya contaba pero estaba planificada para más adelante, el sysadmin contaba con otras opciones. La cuestión es que el sysadmin le ha remitido una factura de 120€ a mi cliente por el trabajo realizado, justificándolo como «muy urgente por el peligro que suponía para la seguridad del servidor, además de complicado y laborioso y las varias horas empleadas», pero a mi modesto entender un trabajo que entra dentro de mis funciones y que nadie le había pedido. Entonces la cuestión eratener opinión/es al respecto sobre si era «imprescindible» su actuación inmediata en la línea que la hizo o como yo pensaba no lo era y había otra opción como por ejemplo indicar que era necesaria la actuación. Porque la que ha realizado me parece que ronda el hackeo, aunque el diga que no entró en el panel de administración para realizarla.
    Salu2 y gracias.

    elhui2

    (@elhui2)

    Eso suena a estafa, saca tus datos y contrata un hosting mas confiable €120.00 por actualizar un WordPress? jajajaja No se en Europa pero acá en México €35.00 es un precio justo!

    Saludos.

    Iniciador del debate Pajaroloco

    (@pajaroloco)

    Hola elhui2. Eso me pareció a mi, en realidad la impresión que tengo es que intenta sabotearme. El era antes el administrador de la página pero tan petardo que perdió al cliente, yo le cobro exactamente lo mismo que le cobraba él. Estoy intentando convencer al cliente de la conveniencia de un cambio de alojamiento, aunque tiene un poco de miedo por los impedimentos o retrasos que ponga el sysadmin.
    Salu2 y gracias de nuevo

Viendo 4 respuestas - de la 1 a la 4 (de un total de 4)
  • El debate ‘.¿cuán grave era mantener la versión antigua?’ está cerrado a nuevas respuestas.