Tag: wordpress

WordPress tiene un problema de seguridad muy grave que podría afectar hasta a 10.000 sitios web

Recientemente, se ha detectado que alrededor de 10,000 sitios web de WordPress están en riesgo debido a fallas críticas en el plugin HT Contact Form Widget. Estas vulnerabilidades permiten potencialmente la toma de control de los sitios afectados, lo que representa una amenaza significativa para la seguridad de miles de páginas y sus datos.

Un problema de seguridad que puede ser grave

La investigación, realizada por la empresa de seguridad en ciberinternet, ha revelado que estos fallos críticos están relacionados con una falta de validación en el manejo de entradas del usuario. Esta situación puede ser explotada por atacantes que buscan ejecutar código malicioso en los servidores vulnerables. Es importante destacar que los administradores de estos sitios deben actuar con prontitud para mitigar el riesgo y proteger la información de sus usuarios.

El plugin HT Contact Form Widget es ampliamente utilizado en varios sitios de WordPress, lo que incrementa el potencial impacto de esta vulnerabilidad. Los expertos en seguridad han instado a los propietarios de sitios a desactivar el plugin hasta que se publique una actualización que solucione estos fallos. El no hacerlo podría dejar expuestas no solo las credenciales de administración, sino también datos sensibles de los visitantes.

Las alertas emitidas por organizaciones de ciberseguridad han resonado en la comunidad de desarrolladores de WordPress, quienes ahora están bajo presión para asegurar que sus herramientas sean robustas y seguras. Rumores indican que se está trabajando en una solución, pero la comunidad aún espera un pronunciamiento oficial sobre los pasos a seguir.

A medida que la situación evoluciona, es fundamental que los administradores de sitios web tomen medidas proactivas para salvaguardar su seguridad. Mantener una vigilancia constante sobre las actualizaciones de plugins y temas, así como realizar auditorías de seguridad, son prácticas que pueden ayudar a prevenir futuros incidentes.

Avast Free Antivirus DESCARGAR

Un nuevo malware amenaza la seguridad de WordPress

Investigadores en ciberseguridad han revelado una grave vulnerabilidad en los sitios de WordPress, relacionada con una puerta trasera oculta en el directorio ‘mu-plugins’. Este tipo de plugins, denominados must-use, se activan automáticamente en todas las instalaciones de WordPress y no aparecen en la lista habitual de plugins, lo que los convierte en un objetivo atractivo para los atacantes.

Qué hacer para evitarlo

El script PHP malicioso, descubierto por la empresa de seguridad web Sucuri, actúa como un cargador que obtiene un payload remoto y lo almacena en la base de datos de WordPress. Este payload permite la ejecución de código PHP a distancia, facilitando un acceso persistente para los atacantes, quienes pueden gestionar archivos y reinstalar la infección si es eliminada.

El malware inyecta un usuario administrador oculto llamado ‘officialwp’, permitiendo a los atacantes controlar el sitio y realizar acciones maliciosas sin que otros administradores tengan conocimiento. Además, el código malicioso tiene la capacidad de cambiar las contraseñas de las cuentas administrativas a un valor predeterminado, bloqueando el acceso a otros administradores y garantizando un control total del sitio.

La amenaza se ve amplificada por la capacidad del malware de robar datos y redirigir a los visitantes a sitios fraudulentos, lo que repercute de manera significativa en la seguridad de la web. Según los expertos, esta puerta trasera permite a los atacantes realizar una variedad de acciones, desde la instalación de más malware hasta la desfiguración del sitio.

Para mitigar estos riesgos, los propietarios de sitios deben actualizar periódicamente WordPress, temas y plugins, utilizar la autenticación de dos factores y auditar regularmente todas las secciones del sitio, incluidos los archivos de temas y plugins. Mantener la seguridad es crucial para prevenir ataques que podrían comprometer la integridad y la confianza del sitio web.