Portada Wordpress Problema de Seguridad en el Plugin de WordPress Duplicator
Duplicator es uno de los plugins más utilizados en WordPress, con más de 1 millón de instalaciones activas en el momento de escribir este artículo.
Es un plugin que puede utilizarse para realizar copias de seguridad, clonar y es una herramienta muy útil para realizar migraciones de WordPress de un servidor a otro.
Es realmente sencillo de usar y su versión gratuita es suficiente para la mayoría de los usuarios, aunque también disponen de una versión PRO para usuarios que necesiten de más características.
Se ha detectado una vulnerabilidad que que afecta a todas las versiones anteriores a 1.2.42 que hay que tener en cuenta, ya que un atacante puede aprovecharla para ejecutar código remoto y hacerse con el control de WordPress, instalar malware o simplemente dejarlo sin conexión.
El funcionamiento del plugin Duplicator es muy sencillo, las copias de seguridad que realiza se basan en un archivo .zip, que contiene todos los archivos, como todos los backups, y un archivo .php que sirve de instalador del backup.
Entonces, bien sea para restaurar un sitio web o para migrarlo a otro servidor, hay que subir los dos archivos al hosting y luego hacer una llamada al archivo PHP desde cualquier navegador:
http://www.MiDominio.info/installer.php
De esta forma, Duplicator es capaz de instalar nuestro WordPress directamente, aunque nos preguntará los datos de la base de datos, que no se nos olvide.
Al final resulta un método muy sencillo de usar, por eso este plugin es tan popular, pero existe un problema de seguridad si dejamos los archivos que hemos subido, el .zip y el .php, en nuestro alojamiento.
De hecho, al finalizar la migración, Duplicator no se cansa de advertirnos que eliminemos los archivos, pero muchos usuarios no hacen caso de estos avisos.
De hecho lo pone bastante fácil, añade un enlace en el aviso con el que no lleva directamente a la sección del plugin desde donde se pueden eliminar los archivos.
También avisa que es recomendable eliminar el archivo .zip con los datos, aunque en principio no supondría ningún riesgo…
Fichero de Archivos: el archivo de almacenamiento tiene un nombre hash único cuando se descarga. Dejar el archivo en su servidor no impone un riesgo de seguridad si el archivo no fue renombrado. Todavía se recomienda eliminar el archivo de almacenamiento después de la instalación, especialmente si se renombró.
El cual podemos eliminar desde el Administrador de Archivos de nuestro cPanel. Primero por seguridad y segundo para no ocupar espacio en disco.
Los chicos de Wordfence han estado detectando una serie de ataques maliciosos buscando los archivos generados por Duplicator, installer.php y installer-backup.php.
En las versiones anteriores 1.2.42, los atacantes podían evitar la seguridad del instalador utilizado por Duplicator, teniendo acceso al archivo wp-config.php y pudiendo inyectar el código malicioso que quiera.
En la nueva versión de Duplicator, se han añadido medidas de seguridad para evitar que un atacante use estos archivos de forma maliciosa y han añadido la posibilidad de proteger con contraseña los archivos de instalación.
Bueno, hay que tener en cuenta que el problema viene al restaurar o migrar una web con Duplicator.
Si se han efectuado copias de seguridad pero esas se han descargado y no se han usado nunca para restaurar o migrar una web, no debería ocurrir ningún problema.
Si se ha utilizado alguna vez duplicator para restaurar o migrar la web, hay que comprobar si los archivos installer.php y installer-backup.php siguen en nuestro alojamiento.
El propio plugin nos lo indicará como hemos visto, pero no está de más revisar la carpeta de public_html de nuestro hosting por si acaso no lo eliminados.
El parche de Duplicator ayuda a mitigar el problema, pero un atacante puede volver a lanzar el instalador con datos falsos y tumbar WordPress, aunque en este caso no sería capaz de inyectar código malicioso.
En cualquier caso, hay que eliminar los archivos que genera Duplicator al migrar o restaurar la web para evitar cualquier problema, hay que tenerlo en cuenta.
En Hostinet podemos ofrecerte un hosting WordPress SSD con todas las garantías, al mejor precio.