¿Recuerdas el viejo dicho que las desgracias llegan de tres en tres? Pues los cazadores de vulnerabilidades de Wordfence posiblemente estarían de acuerdo ya que han descubierto unas desagradables vulnerabilidades día cero en tres plugins de WordPress.
El problema empeora ya que estaban atacando esas vulnerabilidades de manera activa cuando fueron descubiertas por casualidad al investigar unos recientes ataques, por lo que cualquiera que los utilice está en peligro y debería actualizar inmediatamente.
Los plugins son (con sus versiones corregidas):
- Appointments por WPMU Dev (solucionado en 2.2.2)
Un plugin de reservas que ayuda a pequeños negocios a gestionar citas y clientes.
- Flickr Gallery por Dan Coulter (solucionado en 1.5.3)
Integra imágenes de Flickr pero ahora abandonado. El plugin solo se ha testado hasta WordPress 3.0.5 (hace seis años). Por favor, no ejecutéis nada tan antiguo.
- RegistrationMagic-Custom Registration Forms por CMSHelpLive (solucionado en 3.7.9.3)
Ofrece una serie de funciones sobre cómo manejar el registro de usuarios.
No se sabe cuánto tiempo han estado explotando estas vulnerabilidades pero todas han sido calificadas como “críticas” y le han dado la alarmante puntuación de 9.8 en el Common Vulnerabilities Scoring System (CVSS). Cualquiera de ellas podría ser usada para crear una puerta trasera y tomar el control completo de una web.
Las buenas noticias son que ninguno de estos plugins era muy popular. Entre los tres, solo se habían instalado en 21.000 ocasiones, muy poco en comparación con las decenas de millones de webs que utilizan WordPress. No hace falta decir que cualquier web que esté utilizando esos plugins está corriendo un grave peligro.
Los problemas con plugins maliciosos en WordPress son un tema recurrente pero que tiene difícil solución.
Anteriormente este año, 200.000 webs se vieron afectadas por un código malicioso de spam escondido dentro de un plugin llamado Display Widgets, que se eliminó sin contemplaciones del repositorio de WordPress. Sin embargo, lo admitieron de nuevo hasta en cuatro ocasiones, hasta que enviaron una versión antigua libre de spam.
El incidente subraya los problemas de seguridad de los plugins de WordPress. El núcleo de WordPress está bien protegido y con actualizaciones frecuentes a cargo de un equipo eficiente de seguridad.
El ecosistema de plugins, es una colección de decena de miles de plugins de terceros, que pueden hacer de todo en tu web. En comparación es el salvaje oeste.
En gran parte, tu web WordPress depende de la calidad de los plugins que instales. Los gestores de las webs están en las manos de los autores de los plugins si ocurre algún incidente, por lo que usa siempre los que estén actualizados y tengan un buen mantenimiento. Por todo esto es imprescindible que actualices los plugins en cuanto surge una nueva versión.
Algunos hospedajes web especializados en WordPress te avisarán si detectan que estás ejecutando software vulnerable, e incluso disponen de listas de plugins no permitidos.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario