Portada Wordpress Problema Seguridad de Día Cero en «The Plus Addons for Elementor» y Otra Vulnerabilidad en «WooCommerce Upload Files» – Plugins de Pago
Desde el día 8 de marzo se ha detectado un ataque de «día cero» en el plugin «The Plus Addons for Elementor», un plugin para WordPress PRO por el que tienes que pagar una cantidad de dinero para poder utilizarlo.
El plugin añade widgets adicionales al popular plugin Elementor para WordPress y lo peor de todo es que se trata de un ataque de día cero, lo que significa que, hasta la fecha, no existe una versión parcheada.
La versión afectada es la 4.1.5 y anteriores, así que si eres un de los que tienen instalado el plugin The Plus Addons for Elementor, debes de comprobar si el desarrollador ya ha lanzado una versión superior y en ese caso actualizar cuanto antes.
En le caso de que el desarrollador del plugin no haya lanzado ninguna versión parcheada aun, la única forma que tienes de mantener a salvo tu WordPress es desinstalando el plugin, aunque sea de manera temporal.
El ataque detectado es muy grave, ya que los atacantes están creando nuevas cuentas de usuario con permisos de administrador.
Una vez se hacen con una cuenta de administrador, pueden hacer con tu WordPress lo que quieran, pero no será nada bueno.
Si tu sitio tiene que funcionar si o si con el plugin The Plus Addons for Elementor, puedes probar a eliminar los widgets de registro y login de usuarios que tiene o desactivar el registro o inicio de sesión por completo en WordPress.
Aunque esta opción no es muy segura y no se sabe por completo si será suficiente para evitar el ataque. Lo mejor es que te pongas en contacto con el desarrollador del plugin si tienes dudas.
¡Ojo!, porque existe una versión gratuita del plugin llamada The Plus Addons for Elementor Page Builder Lite , que puedes descargar desde aquí y no parece tenga el mismo problema que la versión PRO de pago.
Parece ser que el ataque día cero sólo afecta al widget Login/Singup que no está disponible en el versión gratuita.
En cualquier caso es recomendable que estés atento a las distintas actualizaciones que los desarrolladores vayan lanzado en los próximos días.
Otro plugin PRO de pago con problemas de seguridad recientes es «WooCommerce Upload Files».
En esta ocasión no se trata de un ataque de día cero, por lo que los desarrolladores ya han lanzado una versión parcheada.
Las versiones vulnerables son las anteriores a la 59.4, así que para protegerte sólo tienes que comprobar la versión del plugin que tienes instalada.
Si se trata de una versión anterior, tendrás que descargar e instalar la versión parqueada, ya que el problema de seguridad es bastante grave.
El plugin WooCommerce Upload Files es un «plugin para un plugin», algo común en los plugins más populares de WordPress.
Se trata de un plugin que sólo puedes utilizarlo si ya tienes instalado el plugin WooCommerce en tu WordPress y con el cual se permite al usuario subir archivos en el momento de realizar una compra.
Obviamente, permitir subir un archivo en tu hosting es algo que se puede interpretar como peligroso y las medidas de seguridad del plugin son bastante férreas.
Aun así se detectó un problema o fallo en la programación que podía permitir a un atacante subir un archivo PHP con código malicioso y hacerse con el control total del sitio.
Como hemos comentado, en este caso el problema se detectó con anterioridad a detectar ningún caso real, así que sólo tienes que actualizar el plugin para mantener tu WordPress a salvo.
Los problemas de seguridad en los plugins de WordPress son una constante, hay muchos, muchísimos plugins activos, así que es fácil encontrar problemas de seguridad, fallos de programación, etc…
La mayoría de estos plugins son gratuitos y otros de pago, en algunos tienes la doble opción, una versión gratuita y otra de pago con más funcionalidades añadidas.
Se puede tener las falsa sensación de seguridad de que, al usar una versión de pago, esta es más segura, aunque en realidad no tiene nada que ver.
El ejemplo más claro es el que hemos visto hoy con el plugin The Plus Addons for Elementor, que el ataque día cero sólo afecta a la versión PRO de pago, mientras que la versión gratuita del plugin no se ha visto afectada.
Como siempre recomendamos, mantener el sitio lo más actualizado posible y hacer copias de seguridad periódicas, son las mejores prácticas para mantener tu WordPress Seguro.
Si necesitas un hosting para tu WordPress, en Hostinet podemos ofrecerte distintos planes de hosting WordPress.
Todos ellos cuentas con discos SSD y servidor web LiteSpeed para que funcionen todo lo rápido que puede funcionar un WordPress.
Además cuentas con más ventajas, como una dirección IP española, ideal para el SEO, un control de panel cPanel para gestionar tu hosting, SSL gratis, para todos los dominios y subdominios y un soporte técnico especializado en WordPress.
Estas son algunas de las opciones que podemos ofrecerte en Hostinet: