Portada Wordpress Plugin WP GDPR Compliance Comprometido – Acción Necesaria
Desde el mes de mayo de 2018, todos los sitios web tuvieron que adaptarse a la nueva normativa Europea conocida como RGPD o GDPR por sus siglas en inglés.
Como era de esperar se armo un gran revuelo y muchos desarrolladores lanzarón módulos o plugins que facilitara el trabajo a los usuarios para adaptar sus sitios web a la nueva normativa.
En WordPress, el gestor de contenidos más usados y con más plugins disponibles en el mundo, no tardaron en aparecer varias opciones RGPD y una de ellas es WP GDPR Compliance.
Este plugin está activo en más de 100.000 WordPress, así que tuvo una gran aceptación, pero hace unos días tuvo un problema de seguridad de tal magnitud, que WordPress eliminó el plugin de su repositorio hasta que el desarrollador lo actualizara.
Ahora mismo ya está disponible otra vez con la versión 1.4.3 y es imperativo que actualices y revises tu WordPress si estabas usando el plugin WP GDPR Compliance, bajo el riesgo de que tu web acabe siendo hackeada si no tomas medidas.
Las versiones anteriores a la 1.4.3 del plugin WP GDPR Compliance, tenían un problema de seguridad por el cual, un atacante podía añadir nuevos valores en la base de datos del WordPress afectado.
Una vez conseguido esto, los atacantes pueden instalar nuevas cuentas de administrador de WordPress, haciéndose entonces con el control de la instalación de WordPress.
A partir de aquí el atacante puede instalar un plugin malicioso, subir un theme con un malware añadido que se encargue de infectar el resto del sitio.
También es muy probable que se hayan añadido puertas traseras difíciles de detectar, para poder acceder de nuevo a la instalación de WordPress aunque se haya solucionado el problema o se haya actualizado el plugin.
Por los casos que han encontrado los chicos de Wordfence referidos a este ataque, se crean cuantas de administrador con los nombres de :
También podemos encontrar una versión modificada del plugin 2MB Autocode, que es un plugin legítimo que se puede descargar e instalar desde WordPress, pero que si no has instalado tu mismo, es una prueba evidente de que algo no esta bien en tu WordPress.
Y en el archivo wp-cache.php han encontrado webshell para añadir puertas traseras y poder volver a acceder en el futuro.
Podemos comprobar si tenemos usuarios con los indicados entre los usuarios de WordPress o el plugin instalado, pero también pueden usar otro tipo de nombres o plugin, por lo que no se trata de una comprobación 100% segura de que WordPress no se haya visto afectado.
Es probable que, debido al grado de vulnerabilidad, los atacantes modifiquen su actuación par encontrar nuevos métodos de ataque más sofisticados conforme se vayan cerrando sus principales vías de actuación.
Si eres un usuario de WP GDPR Compliance, lo primero que debes hacer es actualizar el plugin lo antes posible.
Para comprobar si ya es demasiado tarde, puedes comprobar los usuarios o el plugin antes comentados, también puedes comprobar si en la base de datos la opción default_rolese encuentra modificada y pone algo distinto a suscriptor,a no ser que hayamos sido nosotros mismos lo que hayan modificado esto.
También podemos comprobar si la opción users_can_register se encuentra habilitada de manera involuntaria, aunque si no se ha tocado mucho MySQL, esto puede ser algo complicado.
La verdad es que aunque se actualice el plugin y se compruebe que no existe ninguna de las características que hemos comentado, no significa que no podamos tener problema en el futuro.
Como hemos comentado, los atacantes han podido entrar, dejar puertas traseras instaladas y volver a dejar todo como estaba para realizar sus acciones más adelante.
La noticia de la vulnerabilidad del plugin WP GDPR Compliance fue detectada por WordPress el día 7 de noviembre de 2018, así que podemos pensar que subiendo un backup de un día anterior y actualizar el plugin inmediatamente estaríamos a salvo.
Pero nadie nos puede asegurar que algún atacante ya hay realizado alguna modificación en nuestro sitio antes de que fuera detectado por WordPress.
En cualquier caso, tener varios backups a mano siempre es bueno, así que conservar los que tengáis a buen recaudo siempre y si no haces backups, es hora de que empieces a hacerlo.
Existen varios plugins de WordPress que nos avisan cuando un archivo del sistema a sido modificado, com el propio Wordfence o All In One Wp Security, lo que puede ser muy útil, ya que si en el futuro algún atacante realiza alguna modificación de alguno de los archivos de WordPress, no podremos evitarlo, pero si localizarlo y mitigarlo lo antes posible.
Más info en el blog de Wordfence aquí y aquí (en inglés)
En Hostinet siempre tenemos en cuenta al seguridad de todos los alojamientos que ofrecemos a nuestros clientes.
Obviamente, no es posible controlar si un usuario mantiene actualizado todos los plugins de su WordPress, usa una contraseña segura que cambia habitualmente o simplemente instala un theme pirata modificado por un atacante.
Lo que si hacemos es escanear todos los alojamientos WordPress en busca de cualquier tipo de malware que se haya podido instalar en un WordPress.
Si encontramos algún problema o archivo infectado, lo aislamos y lo notificamos al usuario para que pueda tomar las acciones pertinentes y resolver el problema lo antes posible.
Además, nuestro servicio de soporte técnico te ayudará en todo lo que necesites en todo momento.