Portada Wordpress Plugin InfiniteWP para WordPress con Problemas de Seguridad
El plugin InfiniteWP tiene un problema bastante serio de seguridad en versiones anteriores a la 1.9.4.5.
Si eres uno de los muchos usuarios de este plugin, es importantes que actualices lo antes posible el plugin.
Por ahora no se han detectado ataques para aprovechar esta vulnerabilidad, pero es más que probable que, ahora que se conoce, los atacantes prueben esta vulnerabilidad.
Dada la naturaleza del plugin, esta vulnerabilidad puede causar estragos a sus usuarios, ya que un atacante puede acceder como administrador a todos los sitios añadiros a InfiniteWP.
Si tienes un sitio WordPress accedes como administrador con un nombre de usuario y una contraseña.
Cuando accedes como administrador a WordPress, puedes comprobar si tienes algún plugin o theme que necesite actualización, lo actualizas y ya está.
Pero si eres el administrador de varios WordPress y tienes que revisar todos y cada uno de ellos para mantenerlos actualizados, puede ser una tarea muy tediosa.
Además, los administradores de WordPress suelen usar los mismos plugins en todos sus sitios web, así que cuando se libera una actualización de un plugin hay que actualizarlo en todos los sitios, esto es entrar en un WordPress, actualizar el plugin, entrar en otro WordPress, actualizar el plugins, etc…
Para aligerar esta carga de trabajo existen varias soluciones en forma de plugin y uno de ellos es InfiniteWP.
InfiniteWP es muy interesante para muchos usuarios que administran muchas cuentas de WordPress, ya que pueden configurarlo para acceder a todos los WordPress desde una sólo instalación.
Es decir, accedes a uno de tus WordPress que digamos sería el «master» y desde ahí puedes comprobar las actualizaciones pendientes en todos los demás WordPress que hayas asociado al «master».
Puedes actualizar todos los plugins desde ahí mismo o tener un acceso directo al administrador de cualquiera de los WordPress que se hayan asociado, sin necesidad de ingresar las credenciales de acceso.
Es decir, que si tienes 20 instalaciones de WordPress distintas, puedes acceder a todos ellas desde un mismo sitio.
No hace falta pensar mucho para darse cuenta del problema que plantea esto, si un atacante puede acceder al WordPress «master»…
Por este motivo es muy importante actualizar el plugin InfiniteWP a la versión 1.9.4.5 o posterior cuanto antes.
El problema con la vulnerabilidad en el plugin InfineteWP, tiene que ver con la omisión de autenticación a la hora de dar de alta un sitio nuevo en InfiniteWP.
El plugin utiliza un sistema de clave pública y privada para poder acceder a los WordPress asociados a la instalación «master», pero la primera conexión no utiliza este método, ya que el usuario aun no se dispone de un clave pública.
Sin entrar en detalles técnicos, el plugin estaba diseñado de forma que un atacante podía lanzar una solicitud de inicio de sesión automático sin conocer la contraseña, sólo necesitando el nombre de usuario, que muchos dejan por defecto como «admin» (mala práctica).
En realidad, la conexión inicial entre el servidor de InfiniteWp y un WordPress usaba esta vulnerabilidad, aunque esto lo hacían sin saberlo, así que una llamada legítima o maliciosa es prácticamente imposible de detectar.
Cuando el desarrollador del plugin fue avisado, lanzó un parche del plugin para solucionar el problema, pero es necesaria la actualización del plugin a la versión 1.9.4.5 para evitar el problema de seguridad.
Como hemos comentado antes, no se ha detectado ningún ataque que haya aprovechado esta vulnerabilidad, pero eso no significa que no vaya a ocurrir en los próximos días.
La noticia de la vulnerabilidad salió ayer (14/01/2020) a la luz, por lo que es previsible que los atacantes aprovechen los primeros días para lanzar sus ataque en busca precisamente, de los usuarios que no han actualizado el plugin aun.
Más info aquí (ingles)
En Hostinet ofrecemos a nuestros clientes un hosting WordPress con discos SSD y servidor LiteSpeed para ofrecer el máximo rendimiento posible en tu proyecto web.
Pero también sabemos que la seguridad es muy importante y nos lo tomamos muy en serio.
Así que todos nuestros alojamientos WordPress, desde el más barato al más caro, cuentan con todas las medidas de seguridad necesarias para garantizar la integridad y de tu hosting.
Además, también tenemos un sistema de detección de malware que busca archivos infectados para poder aislarlos y evitar un mal mayor.
Obviamente, una vulnerabilidad como la del plugin InfiniteWP no podemos detectarla, pero si un atacante la usa para inyectar malware en algún WordPress, nuestro sistema de seguridad si que lo detectará y avisará al cliente para que pueda solucionar el problema lo antes posible.
Si estás buscando un buen hosting WordPress, aquí tienes algunos de nuestros planes más populares: