Plugin WP Database Backup Hackeado – WordPress

Categorias: Wordpress

Plugin WP Database Backup Hackeado - WordPress

Si eres usuario de WordPress y sigues este blog habitualmente, sabrás que, últimamente, han habido problemas de seguridad con algunos plugins.

Hoy tenemos que sumar uno más a la lista, el plugin WP Database Backup ha sido hackeado o más bien ha sido detectada una vulnerabilidad.

Esto quiere decir que no se ha detectado ningún caso en ningún usuadio, pero la vulnerabilidad existe y si eres uno de los usuarios del plugin WP Database Backup, tendrás que tomar cartas en el asunto para no verte afectado.

Tengo el Plugin WP Database Backup Instalado en WordPress ¿Qué Hago?

Si eres uno de los usuarios deñ plugin WP Database Backup, lo primero que tienes que hacer, incluso antes de seguir leyendo este articulo, es actualizarlo lo antes posible.

Las versiones anteriores a la 5.2 del plugin están en peligro, aunque actualmente ya está liberada la versión 5.3.

Para comprobar esto solo tienes que acceder a la sección de plugins de tu WordPress y si ves un mensaje para actualizar el plugin, simplemente actualízalo.

actualizar plugin wp database backup cuando antes

Una vez hayas actualizado el plugin, por seguridad, deberías cambiar las contraseñas de las bases de datos, de las que el plugin se encargara de hacer las copias de seguridad.

Como hemos comentado antes, no se ha detectado ningún caso, pero más vale prevenir que curar, ya sabes…

Cómo Actua la Vulnerabilidad en el Plugin WP Database Backup

Una de las características del plugin WP Database Backup, era enviar una copia del backup de la base de datos por correo electónico.

Esto es algo muy habitual en los plugins de este tipo. Se hace un backup y se sube a un servidor externo, tipo Dropbox, Google Drive, etc…, de esta manera, si el servidor sufre un problema serio, tenemos una copia en otro servidor para poder restaurar nuestra web.

Actualiza el plugin WP Database Backup cuanto antes.

Si la base de datos no es muy extensa, otra de las opciones es enviar la copia por correo electrónico, así tenemos localizadas las copias de seguridad por fechas en nuestra cuenta de correo, (Gmail, Outlook, etc…)

La vulnerabilidad del plugin WP Database Backup permitía a un atacante incluir una dirección de correo alternativa para recibir una copia del backup.

Es decir, que cada vez que el plugin realizara un backup, se la enviaría por correo electrónico al atacante.

En las bases de datos de WordPress podemos encontrar mucha información relevante y confidencial del sitio y podemos tener serios problemas.

Además de esto, el plugin WP Database Backup permitía excluir tablas de las copias de seguridad de la base de datos.

Si esta opción se ejecutaba, un atacante podría usar esto para aprovechar otra vulnerabilidad e incluir un PHP malicioso, que se ejecutaría cada vez que se realizara una copia de seguridad, ya fuera de forma automática o manual.

Esto incluiría un archivo PHP con condigo malicioso en nuestro hosting cada vez que se realizar un backup, es decir, que tendríamos el mismo problema de seguridad una otra vez…

Ningún Caso Detectado ¿Qué ha Pasado?

Existen investigadores de seguridad que se dedican a revisar plugins, themes, CMS, módulos o cualquier tipo de software en busca de errores, vulnerabilidades, etc…

No tienen porque trabajar para nadie, pueden ser consultores externos o simplemente entusiastas del código que buscan reconocimiento.

Existe una regla no escrita, si un investigador detecta una vulnerabilidad en cualquier código, avisa al desarrollador y le da un tiempo prudencial para que puede solucionarlo y «parchearlo».

En este caso, el investigador sin nombre publicó una prueba de concepto explicando cómo poder usar la vulnerabilidad del plugin WP Database Backup sin avisar antes al desarrollador.

Esto es muy peligroso, ya que en este caso le estás dando a los atacantes la hoja de ruta para poder hackear multitud de sitios, sin darle la posibilidad al desarrollador de solucionar el problema y pudiendo afectar así a miles de usuarios.

Por suerte el desarrollador fue avisado por el popular plugin de seguridad Wordfence «Instalar Wordfence en WordPress» para WordPress y solucionó el problema en un par de días.

Desde luego, no es la mejor forma de actuar por parte del investigador, ya que puso en peligro a los más de 70 mil WordPress que tienen este plugin instado y activo.

Hosting WordPress Seguro con Hostinet

En Hostinet disponemos de un sistema de seguridad que escanea todos los hosting en busca de algún malware instalado en ellos.

Por ejemplo, en el caso de Wp Database Backup, nuestro sistema de seguridad no puede detectar que se envíe una copia de seguridad a una cuenta de email, ya que forma parte intrínseca del plugin, pero si un atacante aprovecha la vulnerabilidad para incluir PHP malicioso, si que sería detectado y aislado.

Además, te avisaríamos en seguida para que pudieras resolver el problema lo antes posible y tu sitio web.

Así que si estás buscando un buen hosting WordPress SSD, estas son algunas de las opciones que podemos ofrecerte:

  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!