Plugin WP Statistics para WordPress Vulnerable en Versiones sin Parchear

Categorias: Wordpress

Pluigin WP Statistics para WordPress Vulnerable en Versiones sin Parchear

El plugin WP Statistics para WordPress se ha visto afectado por un problema de seguridad que afecta a todas las versiones no parcheadas.

El plugin WP Statistics es muy popular en WordPress, lo tienen instalado más de 600 mil usuarios en sus WordPress, así que una alerta de seguridad como la detectada puede afectar a miles de sitios.

El plugin WP Statistics es un plugin que consigue añadir un sistema de estadísticas dentro del escritorio de WordPress, así evitamos tener que acceder a otro panel para verlas.

Como hemos comentado, se trata de un plugin muy popular y hablamos de él en este artículo hace algún tiempo.

El problema se detectó hace unas semanas y se avisó al equipo de desarrolladores. Investigaron el problema y encontraron la solución, la cual aplicaron en la versión 13.0.8 del plugin.

Lo único que tienes que hacer es comprobar que WordPress ha actualizado el plugin a la versión 13.0.8 de manera automática, si tienes activadas las actualizaciones automáticas o actualizarlo de forma manual.

Las versiones anteriores a 13.0.8 son susceptibles de ser atacadas, por lo que hay que andar con ojo.


Tenemos diferentes tipos de hosting, selecciona uno:


Cómo Afecta el Problema de Seguridad al Plugin WP Statistics

Como hemos comentado antes, el plugin WP Statistics añade estadísticas de visitas y usuarios en el escritorio de WordPress.

En las estadísticas también es posible ver las páginas que se visitan dentro del propio sitio, para ver cómo un usuario interactúa con la web.

Para ver estas estadísticas el administrador del sitio entra en el panel de que proporciona WP Statistics y al hacerlo se genera una consulta SQL, hasta aquí todo OK.

Un fallo en la programación permitía que usuarios que no fueran administradores pudieran lanzar sus propias consultas SQL realizando algunas modificaciones.

Cómo Afecta el Problema de Seguridad al Plugin WP Statistics

No es necesario que se el usuario estuviera registrado en el sitio para poder realizar estas consultas SQL, por lo que cualquier atacante podrías hacerlo.

Como es normal, el código estaba protegido para que no se permitiera inyectar código SQL no permitido, pero usando la técnica «inyección SQL ciega de tiempo» el atacante podía llegar a obtener datos importantes.

Esta técnica, en inglés llamada Time-Based Blind SQL Injection y que ya vimos en este otro problema de seguridad con otro plugin, no es muy efectiva y sobre todo no es nada rápida.

Pero con ayuda de las herramientas adecuadas y atacando a los datos más valiosos, como son contraseñas, correos electrónicos o datos de clientes, el daño que puede hacer un atacante es algo muy serio.

Si bien hacerse con el control del sitio no es algo que se pudiera conseguir de una manera muy sencilla, toda la información recabada podía ayudar al atacante a realizar intentos de phishing y otros atacas de ingeniería social.

Recordemos que el ataque «inyección SQL ciega de tiempo» se basa en hacer consultas a la base de datos y en caso de acierto la respuesta se demoraría un tiempo estipulado en llegar, lo que confirmaría al atacante que la consulta es correcta.

Estas consultas son aleatorias y se realizan de una en una, por lo que no es muy eficiente, pero los resultados se pueden producir con paciencia y las herramientas adecuadas.

Así que lo mejor que puedes hacer es actualizar el plugin cuanto antes y evitar este tipo de problemas.

 

Hosting WordPress SSD con LiteSpeed y Protección de Malware

En Hostinet podemos ofrecerte distintos planes de hosting WordPress para que puedas elegir el que mejor se adapte a tu proyecto web.

Aunque cada hosting tiene distintas características, como el espacio en disco o la cantidad de transferencia de datos que tiene disponible cada mes, tienen cualidades comunes.

Algunas de ellas son los discos SSD, que proporcionan una mayor velocidad de acceso a los datos, por lo que los sitios web cargan más rápido.

También cuentan con el servidor web LiteSpeed, que mejora el rendimiento web considerablemente respecto al tradicional Apache.

Y por último, un sistema de detección de malware que escanea los archivos en busca de contenido malicioso que un atacante haya podido añadir.

Estas son algunas de las opciones de hosting WordPress que podemos ofrecerte:

  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´43€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´60€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´52€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´43€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´60€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´52€/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!