Problema Seguridad de Día Cero en «The Plus Addons for Elementor» y Otra Vulnerabilidad en «WooCommerce Upload Files» – Plugins de Pago

Categorias: Wordpress

Problema Seguridad de Día Cero en "The Plus Addons for Elementor" y Otra Vulnerabilidad en "WooCommerce Upload Files" - Plugins de Pago

Los plugins en WordPress suelen tener una versión gratuita, pero también hay de pago y en ocasiones también tiene problemas de seguridad, como el plugin «The Plus Addons for Elementor» con un ataque día cero y «WooCommerce Upload Files» con un problema de seguridad importante. Ambos plugins de pago.

Desde el día 8 de marzo se ha detectado un ataque de «día cero» en el plugin «The Plus Addons for Elementor», un plugin para WordPress PRO por el que tienes que pagar una cantidad de dinero para poder utilizarlo.

El plugin añade widgets adicionales al popular plugin Elementor para WordPress y lo peor de todo es que se trata de un ataque de día cero, lo que significa que, hasta la fecha, no existe una versión parcheada.

La versión afectada es la 4.1.5 y anteriores, así que si eres un de los que tienen instalado el plugin The Plus Addons for Elementor, debes de comprobar si el desarrollador ya ha lanzado una versión superior y en ese caso actualizar cuanto antes.

En le caso de que el desarrollador del plugin no haya lanzado ninguna versión parcheada aun, la única forma que tienes de mantener a salvo tu WordPress es desinstalando el plugin, aunque sea de manera temporal.

El ataque detectado es muy grave, ya que los atacantes están creando nuevas cuentas de usuario con permisos de administrador.

Una vez se hacen con una cuenta de administrador, pueden hacer con tu WordPress lo que quieran, pero no será nada bueno.

Si tu sitio tiene que funcionar si o si con el plugin The Plus Addons for Elementor, puedes probar a eliminar los widgets de registro y login de usuarios que tiene o desactivar el registro o inicio de sesión por completo en WordPress.

Aunque esta opción no es muy segura y no se sabe por completo si será suficiente para evitar el ataque. Lo mejor es que te pongas en contacto con el desarrollador del plugin si tienes dudas.

¡Ojo!, porque existe una versión gratuita del plugin llamada The Plus Addons for Elementor Page Builder Lite , que puedes descargar desde aquí y no parece tenga el mismo problema que la versión PRO de pago.

addons-elementor-lite para WordPress

Parece ser que el ataque día cero sólo afecta al widget Login/Singup que no está disponible en el versión gratuita.

En cualquier caso es recomendable que estés atento a las distintas actualizaciones que los desarrolladores vayan lanzado en los próximos días.


Contamos con diferentes tipos de hosting. Elige el que mejor te venga para alojar tu web


WooCommerce Upload Files – Problema de Seguridad en Versiones no Parcheadas

Otro plugin PRO de pago con problemas de seguridad recientes es «WooCommerce Upload Files».

En esta ocasión no se trata de un ataque de día cero, por lo que los desarrolladores ya han lanzado una versión parcheada.

Las versiones vulnerables son las anteriores a la 59.4, así que para protegerte sólo tienes que comprobar la versión del plugin que tienes instalada.

Si se trata de una versión anterior, tendrás que descargar e instalar la versión parqueada, ya que el problema de seguridad es bastante grave.

woocommerce-upload-file problema seguridad version no parcheada

El plugin WooCommerce Upload Files es un «plugin para un plugin», algo común en los plugins más populares de WordPress.

Se trata de un plugin que sólo puedes utilizarlo si ya tienes instalado el plugin WooCommerce en tu WordPress y con el cual se permite al usuario subir archivos en el momento de realizar una compra.

Obviamente, permitir subir un archivo en tu hosting es algo que se puede interpretar como peligroso y las medidas de seguridad del plugin son bastante férreas.

Aun así se detectó un problema o fallo en la programación que podía permitir a un atacante subir un archivo PHP con código malicioso y hacerse con el control total del sitio.

Como hemos comentado, en este caso el problema se detectó con anterioridad a detectar ningún caso real, así que sólo tienes que actualizar el plugin para mantener tu WordPress a salvo.

 

Cosas a Tener en Cuenta

Los problemas de seguridad en los plugins de WordPress son una constante, hay muchos, muchísimos plugins activos, así que es fácil encontrar problemas de seguridad, fallos de programación, etc…

La mayoría de estos plugins son gratuitos y otros de pago, en algunos tienes la doble opción, una versión gratuita y otra de pago con más funcionalidades añadidas.

Se puede tener las falsa sensación de seguridad de que, al usar una versión de pago, esta es más segura, aunque en realidad no tiene nada que ver.

El ejemplo más claro es el que hemos visto hoy con el plugin The Plus Addons for Elementor, que el ataque día cero sólo afecta a la versión PRO de pago, mientras que la versión gratuita del plugin no se ha visto afectada.

Como siempre recomendamos, mantener el sitio lo más actualizado posible y hacer copias de seguridad periódicas, son las mejores prácticas para mantener tu WordPress Seguro.

 

Hosting WordPress con SSD y LiteSpeed

Si necesitas un hosting para tu WordPress, en Hostinet podemos ofrecerte distintos planes de hosting WordPress.

Todos ellos cuentas con discos SSD y servidor web LiteSpeed para que funcionen todo lo rápido que puede funcionar un WordPress.

Además cuentas con más ventajas, como una dirección IP española, ideal para el SEO, un control de panel cPanel para gestionar tu hosting, SSL gratis, para todos los dominios y subdominios y un soporte técnico especializado en WordPress.

Estas son algunas de las opciones que podemos ofrecerte en Hostinet:

  • Hosting especializado en WordPress con discos nvmeWordPress 12´00 / mes
  • Hosting especializado en WordPress con discos nvmeWordPress 107´99 / mes
  • Hosting especializado en WordPress con discos nvmeWordPress 5011´99 / mes
  • Hosting especializado en WordPress con discos nvmeWordPress 7513´99 / mes
  • Hosting especializado en WordPress con discos nvmeWordPress 12´00/mes
  • Hosting especializado en WordPress con discos nvmeWordPress 107´99/mes
  • Hosting especializado en WordPress con discos nvmeWordPress 5011´99/mes
  • Hosting especializado en WordPress con discos nvmeWordPress 7513´99/mes
    • Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • Supeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamiento
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el Plesk de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control Plesk.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!
    • Copia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por Hostinet
    • Podrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento web
    • Precio para nuevas altas. Contratación anual.