La falla del complemento deja hasta 200,000 sitios de WordPress en riesgo de ataque


Hay una solución disponible, por lo que es posible que desee asegurarse de ejecutar la última versión del complemento

Se ha descubierto que un well known complemento de tema de WordPress que está instalado en unos 200,000 sitios world wide web contiene una vulnerabilidad grave que, si se abusa de él, podría permitir a los atacantes remotos borrar los sitios y obtener acceso de administrador a ellos.

Descubierto por equipo de seguridad del sitio internet WebARX, la falla de seguridad afecta el Importador de demostración de ThemeGrill plugin, que viene instalado con temas del sitio diseñados por la compañía de desarrollo internet ThemeGrill. Los administradores de sitios net de WordPress pueden usar el complemento para importar contenido de demostración, widgets y configuraciones y personalizar fácilmente el tema de su sitio.

Sin embargo, durante tres años, el complemento sufrió un agujero de seguridad que dejó los sitios abiertos a ataques remotos. En las versiones 1.3.4 hasta 1.6.1, «existe una vulnerabilidad que permite a cualquier usuario no autenticado borrar toda la base de datos a su estado predeterminado después de lo cual se registra automáticamente como administrador», se lee en el informe.

«Para iniciar sesión automáticamente como administrador, debe haber un usuario llamado» admin «en la foundation de datos. Independientemente de esta condición, la foundation de datos se borrará a su estado predeterminado «, dijeron los investigadores. El exploit solo funciona si el complemento está activado.

De cualquier manera, la empresa enfatizó que el exploit no requiere ninguna carga útil de aspecto sospechoso, de manera equivalent al abuso que explota una vulnerabilidad crítica en el Complementos InfiniteWP Customer y WP Time Capsule eso fue revelado hace cinco semanas.

WebARX dijo que descubrió e informó el último agujero de seguridad al desarrollador de la herramienta el 6 de febrero. El arreglo finalmente se suministró con la versión 1.6.2 del complemento el 15 de febrero. Como resultado, se aconseja a los usuarios que se aseguren de ejecutar esta versión o la versión 1.6.3, que se lanzó hoy más temprano.

WordPress en la mira de los atacantes

La seguridad de WordPress debe ocupar un lugar destacado en la agenda de cualquier propietario de un sitio internet que utilice el application de publicación web. De acuerdo con W3Techs, WordPress impulsa más del 35 por ciento de todos los sitios website, y su popularidad se debe en parte a miles de complementos oficiales disponibles que amplían las funcionalidades de los sitios.

Por otro lado, el éxito de la plataforma también puede convertir todos esos sitios en objetivos jugosos para los cibercriminales, y los complementos y temas desactualizados a menudo aumentar la superficie de ataque de instalaciones de WordPress. Además de actualizar el software package central, no se puede exagerar la importancia de mantener también los complementos actualizados y deshacerse de los complementos abandonados y que ya no se necesitan.

Para estar seguro, muchos hacks también se originan a partir de credenciales de inicio de sesión comprometidas, así que asegúrese de su contraseña o frase de contraseña es fuerte y único y que, donde esté disponible, tú usar autenticación de dos factores para mayor seguridad








Enlace a la noticia authentic