Plugin wpCentral de WordPress – Problemas de Seguridad Importantes

Categorias: Wordpress

Plugin wpCentral de WordPress - Problemas de Seguridad Importantes

wpCentral es un plugin para WordPress en el que se ha descubierto una vulnerabilidad grave en versiones anteriores a la 1.5.1.

Cuando tenemos que administrar un WordPress sólo tenemos que acceder desde cualquier navegador con nuestras credenciales de administración.

Una vez dentro del dashboard de WordPress, podemos escribir artículos, subir imágenes, cambiar el diseño o actualizar plugins y thermes.

Cuando administramos varios WordPress tenemos que acceder a cada uno de ellos desde una URL distinta y con credenciales de acceso distintas y esto puede resultar muy tedioso.

Si gestionas 15 WordPress y un plugin que tienes instalado en los 15 WordPress se actualiza por motivos de seguridad, tendrás que acceder a cada uno de ellos para actualizar el plugin y eso significa mucho tiempo.

Para gestionar esta situación existen plugins como wpCentral, que permite centralizar todos los WordPress que gestiones desde un mismo lugar.

Instalar, desactivar o actualizar plugins o el propio WordPress, es algo que puedes hacer sin tener que acceder a cada una de las instalaciones, lo que puede ahorrarnos un tiempo importante.

Ahora se ha detectado un problema de seguridad en la versión 1.5.0 y anteriores. Debida a la naturaleza del plugin y de la vulnerabilidad, es muy importante que se actualiza lo antes posible a la versión 1.5.1 o superior.


Tenemos diferentes tipos de hosting, selecciona uno:


 

Cómo Afecta la Vulnerabilidad en el Plugin wpCentral

Cómo Afecta la Vulnerabilidad en el Plugin wpCentral

El problema de seguridad encontrado en el plugin wpCentral es grave y un atacante puede complicarnos mucho la vida si usamos una versión vulnerable del plugin.

Para conectar un WordPress con el plugin wpCentral se genera una clave de autorización aleatoria de 128 caracteres y durante todo el proceso de autenticación, se requieren protecciones estrictas para que nadie pueda meter la nariz ahí.

Un problema en este punto mostraba a cualquier usuario registrado, incluso suscriptores, la forma de conectar un sitio en wpCentral.

¿Qué significa esto? Muy sencillo, un atacante sólo tenía que añadir un sitio suyo, previamente infectado con su malware, en el sitio central de wpCentral.

Una vez dentro podía tomar el control del sitio y usar ese control para robar información, acceder a bases de datos o hacer copias de seguridad de los sitios conectados.

Además, debido a la naturaleza del plugin, podría ser capaz de acceder a todos los WordPress conectados a wpCentral, ya que el plugin permite el acceso directo al dashboard de los WordPress con un solo click.

Y una vez dentro de los sitios logueado como administrador, ya podría hacer lo que quisiera, instalar malware, puertas traseras, añadir redireciones, cambiar la publicidad, etc…

Como puedes ver, el destrozo que puede hacer un atacante si aprovecha la vulnerabilidad es muy serio, así que te recomendamos actualizar lo antes posible, si usas el plugin wpCentral.

 

Qué Tengo que Hacer si tengo Instalado wpCentral

actualiza los plugins

El plugin wpCentral es bastante popular y muchos usuarios lo tiene activado, incluso es uno de los plugins que puedes instalar cuando realizas una instalación de WordPress desde Softaculous.

Por ahora no se ha detectado ninguna incidencia al respecto, también es cierto que el problema se detecto el pasado día 13 y el día 14 ya se lanzó una actualización del plugin con el problema solucionado.

Hoy se ha hecho público el problema de seguridad, pero con la solución ya al alcance de todos con sólo actualizar el pugin.

Así que sólo tienes que hacer eso, comprobar que tiene el plugin wpCentral actualizado a la versión 1.5.1 o posteriores, ya que la última versión actual es la 1.5.2.

Con mantener el plugin actualizado, ningún atacante podrá aprovecharse de la vulnerabilidad detectada.

Más info aquí, (en ingles)

 

Cosas a Tener en Cuenta

Si sigues este blog de formación habitualmente, habrás visto que existen varios casos de plugins con problemas de seguridad para WordPress.

Es una constante más o menos lógica, ya que existen miles de plugins para WordPress y con millones de lineas de código escrito por los desarrolladores.

Todo código puede tener errores, de hecho, todos las actualizaciones de software que recibimos en nuestro día a día en nuestros móviles, ordenadores, etc… sirven para solucionar agujeros de seguridad, en gran medida.

Incluso las actualizaciones de WordPress que tan a menudo vemos, sirven para añadir parches de seguridad, además de añadir más funcionalidades, claro esta.

Por estos motivos siempre recomendamos mantener siempre todo actualizado, de esta manera evitaremos,en gran medida, problema de seguridad como los que hemos visto en el plugin wpCentral.

 

Hosting WordPress con disco SSD y Servidor Web LiteSpeed

  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!