Plugin GiveWP para WordPress – Vulnerabilidad Detectada

Categorias: Wordpress

Plugin GiveWP para WordPress - Vulnerabilidad Detectada

El plugin GiveWP de WordPress ha sufrido una vulnerabilidad, la cual ya ha sido parcheada por el desarrollador.

Según el repositorio de plugins de WordPress.org, el plugin está instalado y activo en más de 70 mil instalaciones, así que si eres uno de ellos, ¡actualiza lo antes posible!.

Si estás utilizando la versión 2.5.4 de GiveWP, estás en peligro.

Tienes que actualizar a la versión 2.5.5 o superior, aunque el plugin ya va por la versión 2.5.8 en el momento de escribir este artículo.


Tenemos diferentes tipos de hosting, selecciona uno:


Cómo Afecta la Vulnerabilidad al Plugin GiveWP

La vulnerabilidad detectada en en GiveWP, no creaba redirecciones hacia otras páginas con malware o intentos de phishing.

Tampoco inyectaba código malicioso en el sitio, ni intentaba hacerse con el control de WordPress, como hemos visto en muchos otros casos anteriormente.

En esta ocasión, un atacante podía aprovechar la vulnerabilidad detectada para hacerse con información personal de los usuarios.

Nombres, direcciones físicas, IP’s y correos electrónicos eran expuestos al atacante, información privada y confidencial que no debe ser revelada sin el consentimiento de los usuarios.

La vulnerabilidad fue puesta en conocimiento del desarrollador del plugin por parte de los chicos de Wordfence de forma privada, según cuentan en su web, la cual fue atendida rápidamente y parcheada.

Por desgracia, la naturaleza de la vulnerabilidad hace imposible saber si un atacante la aprovecho para recabar información confidencial de los usuarios del plugin GiveWP.

Pasado un tiempo, la vulnerabilidad se ha hecho pública pero ya existe una solución en las versiones más recientes del plugin, así que sólo hay que actualizar el plugin para evitar males mayores.

Si estás usando GiveWP en tu WordPress, asegúrate que lo tienes actualizado, ya que es fácil de imaginar que, una vez divulgada la vulnerabilidad, los atacantes buscarán versiones sin actualizar para aprovecharse.

Como hemos dicho, sólo hay que actualizar el plugin para evitar problemas.

¿Para que Sirve GiveWP?

El plugin GiveWP de WordPress es un plugin de donaciones online.

Según cuentan en la web del plugin, es gratuito y es el plugin más usado en WordPress para realizar donaciones de manera online.

https://www.youtube.com/watch?time_continue=114&v=gNdEelhjoKE

WordPress es el gestor de contenidos más usado en el mundo, así que no es de extrañar que muchas organizaciones sin ánimo de lucro o reivindicativas, usen las donaciones como fuente de ingresos.

Ya existen muchas soluciones para esto, pero la mayoría te llevan fuera de la página, como el popular botón de donaciones de Paypal o parece que estés comprando en una tienda, con su carrito y todo eso.

El plugin GiveWP es capaz de configurar métodos de pago directamente en el plugin, dejando de lado las redirecciones y manteniendo al usuario que va a realizar la donación, siempre en la web.

givewp metodos pag

También te ofrecen la posibilidad de crear los formularios para crear las campañas de donación, establecer objetivos, controlar las donaciones, etc… y todo esto sin salir de WordPress.

Echándole un vistazo al plugin, parece que está muy trabajado y no es de extrañar que sea el más usado en este sector en WordPress.

salvar pandas givewp

Hosting WordPress SSD en Hostinet

Este tipo de vulnerabilidades que hemos visto en el plugin GiveWP, no suelen ser las más habituales en WordPress.

En este problema, quedaban al descubierto información confidencial de los usuarios, algo grave y que puede acarrear problemas, pero no son tan llamativos como otros plugins hackeados que nos hemos encontrado:

En algunos de estos casos, al entrar en el dominio, se redirigía automáticamente a otra URL con contenido malicioso.

Esto, claro, llamaba la atención de los responsables del sitio en seguida y podían tomar cartas en el asunto.

La vulnerabilidad detectada en el plugin GiveWP es más difícil de detectar, pero gracias a los investigadores y la comunidad de WordPress, este tipo de problemas se pueden solucionar.

Por lo general, cuando un WordPress es hackeado, el atacante inyecta código malicioso en el sitio.

El código inyectado será capaz de hacer más o menos cosas, pero nada bueno seguro.

Llegado el caso, es donde el sistema anti malware de Hostinet entra en acción.

Nuestro sistema anti malware es capaz de detectar código malicioso añadido en tu WordPress, podemos aislarlo para que no cause más problemas y avisarte para que puedas solucionarlo lo antes posible.

Todo esto viene en todos los hosting WordPress que ofrecemos en Hostinet, además de muchas más características:

  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!
VN:F [1.9.22_1171]
Rating: 0.0/5 (Votos: 0)

¿NECESITAS AYUDA? Llama a nuestro soporte técnico 946 545 762

De Lunes a Viernes de 08:00 a 20:00 horas.


Contactar