Plugin WP GDPR Compliance Comprometido – Acción Necesaria

Categorias: Wordpress

Plugin WP GDPR Compliance Comprometido - Acción Necesaria

Desde el mes de mayo de 2018, todos los sitios web tuvieron que adaptarse a la nueva normativa Europea conocida como RGPD o GDPR por sus siglas en inglés.

Como era de esperar se armo un gran revuelo y muchos desarrolladores lanzarón módulos o plugins que facilitara el trabajo a los usuarios para adaptar sus sitios web a la nueva normativa.

En WordPress, el gestor de contenidos más usados y con más plugins disponibles en el mundo, no tardaron en aparecer varias opciones RGPD y una de ellas es WP GDPR Compliance.

Este plugin está activo en más de 100.000 WordPress, así que tuvo una gran aceptación, pero hace unos días tuvo un problema de seguridad de tal magnitud, que WordPress eliminó el plugin de su repositorio hasta que el desarrollador lo actualizara.

Ahora mismo ya está disponible otra vez con la versión 1.4.3 y es imperativo que actualices y revises tu WordPress si estabas usando el plugin WP GDPR Compliance, bajo el riesgo de que tu web acabe siendo hackeada si no tomas medidas.


Cómo Actua la Vulnerabilidad de WP GDPR Compliance

Cómo Actua la Vulnerabilidad de WP GDPR Compliance

Las versiones anteriores a la 1.4.3 del plugin WP GDPR Compliance, tenían un problema de seguridad por el cual, un atacante podía añadir nuevos valores en la base de datos del WordPress afectado.

Una vez conseguido esto, los atacantes pueden instalar nuevas cuentas de administrador de WordPress, haciéndose entonces con el control de la instalación de WordPress.

A partir de aquí el atacante puede instalar un plugin malicioso, subir un theme con un malware añadido que se encargue de infectar el resto del sitio.

También es muy probable que se hayan añadido puertas traseras difíciles de detectar, para poder acceder de nuevo a la instalación de WordPress aunque se haya solucionado el problema o se haya actualizado el plugin.

Por los casos que han encontrado los chicos de Wordfence referidos a este ataque, se crean cuantas de administrador con los nombres de :

  • – t2trollherten
  • – t3trollherten

También podemos encontrar una versión modificada del plugin 2MB Autocode, que es un plugin legítimo que se puede descargar e instalar desde WordPress, pero que si no has instalado tu mismo, es una prueba evidente de que algo no esta bien en tu WordPress.

Y en el archivo wp-cache.php han encontrado webshell para añadir puertas traseras y poder volver a acceder en el futuro.

Podemos comprobar si tenemos usuarios con los indicados entre los usuarios de WordPress o el plugin instalado, pero también pueden usar otro tipo de nombres o plugin, por lo que no se trata de una comprobación 100% segura de que WordPress no se haya visto afectado.

Es probable que, debido al grado de vulnerabilidad, los atacantes modifiquen su actuación par encontrar nuevos métodos de ataque más sofisticados conforme se vayan cerrando sus principales vías de actuación.
 

Qué Tengo que Hacer si tengo Instalado WP GDPR Compliance

Qué Tengo que Hacer si tengo Instalado  WP GDPR Compliance

Si eres un usuario de WP GDPR Compliance, lo primero que debes hacer es actualizar el plugin lo antes posible.

Para comprobar si ya es demasiado tarde, puedes comprobar los usuarios o el plugin antes comentados, también puedes comprobar si en la base de datos la opción default_rolese encuentra modificada y pone algo distinto a suscriptor,a no ser que hayamos sido nosotros mismos lo que hayan modificado esto.

También podemos comprobar si la opción users_can_register se encuentra habilitada de manera involuntaria, aunque si no se ha tocado mucho MySQL, esto puede ser algo complicado.

La verdad es que aunque se actualice el plugin y se compruebe que no existe ninguna de las características que hemos comentado, no significa que no podamos tener problema en el futuro.

Como hemos comentado, los atacantes han podido entrar, dejar puertas traseras instaladas y volver a dejar todo como estaba para realizar sus acciones más adelante.

La noticia de la vulnerabilidad del plugin WP GDPR Compliance fue detectada por WordPress el día 7 de noviembre de 2018, así que podemos pensar que subiendo un backup de un día anterior y actualizar el plugin inmediatamente estaríamos a salvo.

Pero nadie nos puede asegurar que algún atacante ya hay realizado alguna modificación en nuestro sitio antes de que fuera detectado por WordPress.

En cualquier caso, tener varios backups a mano siempre es bueno, así que conservar los que tengáis a buen recaudo siempre y si no haces backups, es hora de que empieces a hacerlo.

Existen varios plugins de WordPress que nos avisan cuando un archivo del sistema a sido modificado, com el propio Wordfence o All In One Wp Security, lo que puede ser muy útil, ya que si en el futuro algún atacante realiza alguna modificación de alguno de los archivos de WordPress, no podremos evitarlo, pero si localizarlo y mitigarlo lo antes posible.

Más info en el blog de Wordfence aquí y aquí (en inglés)
 

Hostinet y la Seguridad de sus Alojamientos Web WordPress

En Hostinet siempre tenemos en cuenta al seguridad de todos los alojamientos que ofrecemos a nuestros clientes.

Obviamente, no es posible controlar si un usuario mantiene actualizado todos los plugins de su WordPress, usa una contraseña segura que cambia habitualmente o simplemente instala un theme pirata modificado por un atacante.

Lo que si hacemos es escanear todos los alojamientos WordPress en busca de cualquier tipo de malware que se haya podido instalar en un WordPress.

Si encontramos algún problema o archivo infectado, lo aislamos y lo notificamos al usuario para que pueda tomar las acciones pertinentes y resolver el problema lo antes posible.

Además, nuestro servicio de soporte técnico te ayudará en todo lo que necesites en todo momento.

  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´43€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´60€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´52€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´43€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´60€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´52€/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!