Complemento de WordPress actualizado en una acción forzada rara



El complemento de seguridad de inicio de sesión de Logonizer se actualizó automáticamente para parchear una vulnerabilidad de inyección SQL.

El equipo de seguridad de WordPress ha aprovechado una característica poderosa, pero rara vez utilizada, en la plataforma de administración de contenido para forzar una actualización de un complemento common en toda la base de usuarios. Loginizer, con más de un millón de instalaciones, se actualizó después de que los investigadores encontraron una vulnerabilidad crítica que podría haber permitido a un atacante tomar el command de un sitio mediante técnicas de inyección SQL.

Loginizer es un complemento preferred que proporciona seguridad de inicio de sesión y autenticación para sitios internet creados en WordPress. Según un artículo de ZDNet, la vulnerabilidad significaba que un atacante podría incluir código SQL en un intento de nombre de usuario. Si bien el nombre de usuario falso sería rechazado, Loginizer lo almacenaría en la foundation de datos de WordPress, donde podría ejecutarse y proporcionar acceso al sitio al atacante.

Según W3Techs, WordPress es la foundation del 38,6% de todos los sitios internet.

«Dado el riesgo crítico de la vulnerabilidad y la facilidad de explotación, los complementos no parcheados son un riesgo importante no solo para los propietarios de sitios internet descuidados, sino también para la integridad de los visitantes de su sitio world-wide-web, cuyos datos confidenciales y PII pueden ser robados y luego vendidos o explotado «, dice Ilia Kolochenko, fundadora y directora ejecutiva de ImmuniWeb.

Aun así, muchos administradores de sitios de WordPress se quejaron de la actualización forzada.

«Como WordPress también descubrió, a muchos administradores de sitios no les gustan las actualizaciones forzadas, principalmente debido a la posibilidad de que cuando solucionan un problema de seguridad, pueden romper algo más en el sitio», explica Jayant Shukla, CTO y cofundador de K2 Cyber ​​Security.

En una actualización del artículo de ZDNet, los desarrolladores de Logonizer informan que el 89% de todos los sitios que utilizan el complemento se han actualizado debido a la actualización forzada.

Lee mas aquí.

Quick Hits de Darkish Examining ofrece una breve sinopsis y un resumen de la importancia de las noticias de última hora. Para obtener más información de la fuente original de la noticia, siga el enlace proporcionado en este artículo. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique