Plugin InfiniteWP para WordPress con Problemas de Seguridad

Categorias: Wordpress

Plugin InfiniteWP para WordPress con Problemas de Seguridad

El plugin InfiniteWP tiene un problema bastante serio de seguridad en versiones anteriores a la 1.9.4.5.

Si eres uno de los muchos usuarios de este plugin, es importantes que actualices lo antes posible el plugin.

Por ahora no se han detectado ataques para aprovechar esta vulnerabilidad, pero es más que probable que, ahora que se conoce, los atacantes prueben esta vulnerabilidad.

Dada la naturaleza del plugin, esta vulnerabilidad puede causar estragos a sus usuarios, ya que un atacante puede acceder como administrador a todos los sitios añadiros a InfiniteWP.


Tenemos diferentes tipos de hosting, selecciona uno:


Cómo Funciona el Plugin InfiniteWP

Si tienes un sitio WordPress accedes como administrador con un nombre de usuario y una contraseña.

Cuando accedes como administrador a WordPress, puedes comprobar si tienes algún plugin o theme que necesite actualización, lo actualizas y ya está.

Pero si eres el administrador de varios WordPress y tienes que revisar todos y cada uno de ellos para mantenerlos actualizados, puede ser una tarea muy tediosa.

Además, los administradores de WordPress suelen usar los mismos plugins en todos sus sitios web, así que cuando se libera una actualización de un plugin hay que actualizarlo en todos los sitios, esto es entrar en un WordPress, actualizar el plugin, entrar en otro WordPress, actualizar el plugins, etc…

Cómo Funciona el Plugin InfiniteWP

Para aligerar esta carga de trabajo existen varias soluciones en forma de plugin y uno de ellos es InfiniteWP.

InfiniteWP es muy interesante para muchos usuarios que administran muchas cuentas de WordPress, ya que pueden configurarlo para acceder a todos los WordPress desde una sólo instalación.

Es decir, accedes a uno de tus WordPress que digamos sería el «master» y desde ahí puedes comprobar las actualizaciones pendientes en todos los demás WordPress que hayas asociado al «master».

Puedes actualizar todos los plugins desde ahí mismo o tener un acceso directo al administrador de cualquiera de los WordPress que se hayan asociado, sin necesidad de ingresar las credenciales de acceso.

Es decir, que si tienes 20 instalaciones de WordPress distintas, puedes acceder a todos ellas desde un mismo sitio.

No hace falta pensar mucho para darse cuenta del problema que plantea esto, si un atacante puede acceder al WordPress «master»

Por este motivo es muy importante actualizar el plugin InfiniteWP a la versión 1.9.4.5 o posterior cuanto antes.

Cómo Funciona la Vulnerabilidad en InfiniteWP

El problema con la vulnerabilidad en el plugin InfineteWP, tiene que ver con la omisión de autenticación a la hora de dar de alta un sitio nuevo en InfiniteWP.

El plugin utiliza un sistema de clave pública y privada para poder acceder a los WordPress asociados a la instalación «master», pero la primera conexión no utiliza este método, ya que el usuario aun no se dispone de un clave pública.

Sin entrar en detalles técnicos, el plugin estaba diseñado de forma que un atacante podía lanzar una solicitud de inicio de sesión automático sin conocer la contraseña, sólo necesitando el nombre de usuario, que muchos dejan por defecto como «admin» (mala práctica).

Hosting WordPress en Hostinet - La Seguridad es muy Importante

En realidad, la conexión inicial entre el servidor de InfiniteWp y un WordPress usaba esta vulnerabilidad, aunque esto lo hacían sin saberlo, así que una llamada legítima o maliciosa es prácticamente imposible de detectar.

Cuando el desarrollador del plugin fue avisado, lanzó un parche del plugin para solucionar el problema, pero es necesaria la actualización del plugin a la versión 1.9.4.5 para evitar el problema de seguridad.

Como hemos comentado antes, no se ha detectado ningún ataque que haya aprovechado esta vulnerabilidad, pero eso no significa que no vaya a ocurrir en los próximos días.

La noticia de la vulnerabilidad salió ayer (14/01/2020) a la luz, por lo que es previsible que los atacantes aprovechen los primeros días para lanzar sus ataque en busca precisamente, de los usuarios que no han actualizado el plugin aun.

Más info aquí (ingles)

Hosting WordPress en Hostinet – La Seguridad es muy Importante

En Hostinet ofrecemos a nuestros clientes un hosting WordPress con discos SSD y servidor LiteSpeed para ofrecer el máximo rendimiento posible en tu proyecto web.

Pero también sabemos que la seguridad es muy importante y nos lo tomamos muy en serio.

Así que todos nuestros alojamientos WordPress, desde el más barato al más caro, cuentan con todas las medidas de seguridad necesarias para garantizar la integridad y de tu hosting.

Además, también tenemos un sistema de detección de malware que busca archivos infectados para poder aislarlos y evitar un mal mayor.

Obviamente, una vulnerabilidad como la del plugin InfiniteWP no podemos detectarla, pero si un atacante la usa para inyectar malware en algún WordPress, nuestro sistema de seguridad si que lo detectará y avisará al cliente para que pueda solucionar el problema lo antes posible.

Si estás buscando un buen hosting WordPress, aquí tienes algunos de nuestros planes más populares:

  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!

Contactar