Portada Wordpress Plugin Yuzo Related Post para WordPress Hackeado ¡Bórralo!
Si tienes instalado el plugin para WordPress Yuzo Related Post, tienes que eliminarlo inmediatamente de tu instalación, de otra forma ¡¡podrían hackear tu WordPress hoy mismo!!
Hace pocos días, vimos como los plugins Easy Wp SMTP y Social Warfare tenían problemas de seguridad y era necesario actualizarlos a su última versión para solucionar los problemas de seguridad y no terminar con nuestro WordPress infectado con Malware.
En esta ocasión, no existe actualización para el plugin Yuzo Related Post que pueda solucionar el problema, al menos en el momento de escribir este artículo, por lo que la única solución es eliminar inmediatamente el plugin, esté activo o no en nuestro WordPress.
De hecho, si vamos a la página del plugin en WordPress.org, veremos que está desactivado desde el 30 de marzo de 2019 y no es posible su descarga.
Así que, como por ahora no hay parche disponible, la única solución es borrarlo. Si lo tienes instado, deja de leer esto y elimínalo.
Desde que el plugin Yuzo Related Post dejó de estar activo en el repositorio de plugins de WordPress, han pasado 12 días, pero no ha sido hasta ahora cuando se han detectado los primeros ataques.
El caso del plugin Yuzo Related Post difiere un poco con lo “habitual” en las vulnerabilidades que encontramos en los plugins de WordPress.
Por lo general, si un investigador detecta una vulnerabilidad en un plugin, avisa al desarrollador para darle tiempo a realizar las modificaciones y sacar una nueva versión del plugin parcheada.
Esto se hace así porque es posible que ni siquiera los atacantes hayan localizado esta vulnerabilidad, y si se publica antes de que exista un parche, se pone en riesgo a todos los usuarios que tenga el plugin instalado y sin posibilidad de instalar una versión estable para protegerse.
Esto es, precisamente, lo que ha pasado con la vulnerabilidad del plugin Yuzo Related Post, un investigador hizo pública la vulnerabilidad del plugin sin avisar y aunque WordPress.org retiró el plugin de su repositorio, ahora se están hackeando sitios WordPress por este motivo.
Al igual que en los dos últimas problemas con plugin WordPress, Easy Wp SMTP y Social Warfare, un atacante puede usar la vulnerabilidad para inyectar JavaScript malicioso en el plugin.
Este contenido malicioso se inserta en el código HTML y cualquier visitante al sitio web se vería afectado.
El resultado puede variar desde una simple redirección a sitios fraudulentos, a comprometer las credenciales de un administrador de WordPress logueado.
Los chicos de Wordfence han estado revisando la vulnerabilidad y hasta ahora, han detectado redirecciones hacia sitios web que ofrecen soporte técnico falso para solucionar el “problema”, que en realidad no existe, a no ser que sigas las instrucciones que indican en el sitio fraudulento.
Lo que es muy llamativo, es que estas últimas tres vulnerabilidades tiene muchos puntos en común.
La dirección IP de las páginas fraudulentas redirecionadas en los tres plugins es la misma.
Y las tácticas, técnicas y procedimientos en los tres casos, hacen pensar que se trata del mismo atacante o al menos del mismo grupo de hackers.
Si tienes instado el plugin Yuzo Related Post, lo primero que tienes que hacer es ¡BORRARLO!.
No existe parche ni actualización que solucione el problema, al menos por ahora, así que la única opción que tienes es eliminar el plugin de tu instalación de WordPress cuanto antes.
Después de esto, no existe mucha más información al respecto, ya que todo es muy reciente, pero podemos revisar algunas cosas que hemos aprendido en las otras dos vulnerabilidades que hemos mencionado.
El autor del plugin también ha indicado que se debe de eliminar el registro ”yuzo_related_post_options” de la tabla “wp_options” de la base de datos de WordPress, tal y como muestra la imagen:
Otro punto importante es la caché de WordPress. Es habitual tener instalado algún plugin de caché, si es así debes borrar la caché desde el plugin que estés utilizando, ya que de otra forma seguirá apuntando a URL maliciosa.
Podemos revisar los usuarios en busca de algún administrador que no seamos nosotros y en caso de encontrarlo, eliminarlo y cambiar las contraseñas de acceso a WordPress.
Si vemos que nuestro sitio redirecciona a otras URL, es que el sitio ha sido hackeado y deberás tomar las medidas necesarias para limpiar WordPress.
Si tienes un backup reciente, puede ser la opción más rápida, si no es así, puedes seguir nuestra guía para eliminar el código maliciso en WordPress.
Más info aquí (en inglés)
En Hostinet ofrecemos una protección extra en todos los alojamientos web WordPress que ofrecemos.
Como es lógico, no podemos controlar que un plugin sufra una vulnerabilidad o que un atacante encuentre alguna agujero de seguridad en el theme que estás utilizando.
Pero tenemos un sistema de escaneo Anti-Malware que se encarga de revisar todas los alojamientos en busca de cualquier amenaza que se haya podido “colar” en tu WordPress.
Si detectamos algún problema, lo aislaremos y te informaremos de inmediato para que puedas tomar las medidas necesarias.
Aquí tienes algunos de los hosting WordPress SSD que podemos ofrecerte: