Sin dudas, WordPress es uno de los administradores de contenido más utilizados en el mundo, pero también el más atacado y famoso por sus vulnerabilidades. Su condición de sistema colaborativo hace que programadores de todo el mundo, algunos sin demasiada experiencia, aporten código para utilizar con WordPress, los famosos Plugins y también plantillas, haciendo que la falta de experiencia se convierta en blanco para los expertos con intenciones algo dudosas.
OneTone es uno de los temas de WordPress más utilizados, aunque algo anticuado ya, aún elegido por muchos usuarios del famoso gestor de contenidos. La vulnerabilidad lleva presente desde hace meses pero los ataques comenzaron desde principios de abril de 2020 y aún no hay parche para corregir el problema.
Se trata de una vulnerabilidad XSS que permite a un atacante inyectar código malicioso dentro de la configuración del tema, pudiendo redirigir a los visitantes hacia otro sitio y crear usuarios con permisos de administrador a través de una puerta trasera del tema.
No hay solución hasta ahora
WordPress ha quitado de su lista de temas a la versión OneTone gratuita pero eso no ayuda los que tienen actualmente esta versión instalada en sus sitios que, según datos de investigación de NinTechNet, son más de 16.000 sitios web que aún utilizan OneTone.
Sin duda es un problema que puede afectar a la seguridad y privacidad de una página web. Pone en jaque a los webmasters y daña también la reputación del sitio.
