Portada Wordpress NextGen Gallery para WordPress – Problema de Seguridad Solucionado hace 2 Meses ¿Lo Tienes Actualizado?
Si usas WordPress y en tu sitio web usas las galerías de fotos es muy probable que alguna vez hayas probado el plugin NextGen Gallery.
No se si se trata del plugin más utilizado para mejorar las galerías de imágenes en WordPress, pero si es uno de los más utilizados con más de 8000 mil instalaciones activas en estos momentos.
NextGen Gallery se trata de un plugin muy interesante que dispone de varios tipos de galerías de imágenes para WordPress, incluso en su versión gratuita, puedes echarle un vistazo desde aquí, así que no es de extrañar que sea tan popular entre los usuarios.
Hasta ahora nunca había presentado problemas de seguridad, pero en los últimos meses se descubrieron dos vulnerabilidades bastante serías, de una puntuación de 9.6 y 8.8 sobre 10.
El desarrollador del plugin ya lanzó una versión revisada con un parche para evitar este problema y está activa ya bastante tiempo casi dos meses, es la versión 3.5.0, pero de nada sirve si tú no la actualizas en tu WordPress.
El problema de seguridad del plugin NextGen Gallery no es de ahora y la actualización por parte del desarrollador, en la cual solucionaba el problema, se publicó el día 17 de diciembre de 2020.
Hasta ahora no se había hecho público el problema para evitar que los problemas detectados los pudiera aprovechar un atacante, pero esa no es la cuestión, ya que no se ha detectado ningún caso que haya explotado las vulnerabilidades.
El problema es que muchos usuarios de NextGen Gallery, no tendrán actualizado el plugin a última versión, cuando han pasado cerca de 2 meses desde su publicación.
Si usas el plugin en alguna instalación de WordPress, échale un vistazo, aunque sea por curiosidad y comprueba que versión tienes instalada.
Es posible que la tengas actualizada, muy bien, pero también es posible que pertenezcas al amplio grupo de usuarios que no han actualizado a la última versión del plugin, aunque estando disponible desde hace tanto tiempo.
Si estas leyendo esto y no tienes la versión actualizada, lo más seguro es que la actualices lo antes posible para estar a salvo, pero piensa que has estado casi 2 meses con tu sitio expuesto a un ataque crítico que te habría generado un gran dolor de cabeza.
Hace poco hablamos de las opciones de actualización automáticas que podemos activar en las últimas versiones de WordPress.
Si tenías activada la actualización automática de los plugins y usas NextGen Gallery, ya estará actualizado a la versión 3.5.0 y no habrás estado en peligro.
Si no tenías la actualización automática y no lo actualizaste de manera manual, podrían haberte hackeado tu WordPress, has estado en riesgo y aunque no te haya pasado nada en esta ocasión, nunca se sabe.
De nada sirve el esfuerzo de los chicos de Wordfence y del desarrollador para solucionar el problema, si no actualizas el plugin, este y cualquier otro.
En un caso como el de hoy con le plugin NextGen Gallery, un atacante podía hacerse con el control total de WordPress y hacer lo que le viniera en gana con él.
Redireccionamientos a sitios de dudosa reputación o con contenidos para adultos, intentos de phishing, instalar virus para infectar ordenadores de forma local o inyectar cualquier otro tipo de malware que se le ocurriera.
En estos casos, desde Hostinet no podemos evitar que un atacante aproveche una vulnerabilidad de un plugin que tengas instalado den tu WordPress, eso es cosa del desarrollador, que tiene que lanzar el parche de seguridad y tuya, que tienes que actualizarlo.
Aun así, existen ataques de día cero, en los que los atacantes aprovechan una vulnerabilidad antes de que el desarrollador sea consciente del problema y pueda solucionarlo.
En cualquier caso, si algún atacante consigue infectar tu WordPress con malware, en Hostinet tenemos un sistema de detección y aislamiento de archivos infectados con contenido malicioso.
Si detectamos cualquier archivo infectado lo pasamos a una zona de cuarentena y protegemos tu sitio web con un usuario y contraseña para que nadie más resulte infectado y el atacante no pueda volver a entrar.
Te enviamos un email con un listado de los archivos infectados, así como del nombre de usuario y contraseña para que puedas acceder y solucionarlo lo antes posible.
Todo esto está incluido en todos los planes de alojamiento web que tenemos para WordPress, incluso en los planes más económicos.
Aquí tienes algunos de los planes de hosting web WordPress que podemos ofrecerte: