Problemas de Seguridad en el Plugin XCloner Backup de WordPress

Categorias: Wordpress

xcloner-backup-hacked WordPress

Se han detectado varios problemas de seguridad en el plugin de WordPress «XCloner Backup and Restore». Las vulnerabilidades son graves y si tienes instalado este plugin, debes actualizarlo lo antes posible para evitar posibles hackeos del sitio.

Si eres uno de los muchos usuarios de WordPress que tienen instalado el plugin XCloner Backup and Restore, debes revisar cuanto antes la versión del plugin que tienes instalada.

Los problemas de seguridad detectados en el plugin, son vulnerables en las versiones anteriores a la 4.2.153, por lo que si tienes alguna versión anterior del plugin, tu WordPress está en peligro.

Para comprobar si tienes que actualizarlo, es muy sencillo, sólo tienes qeu acceder al administrador de tu WordPress y dirigirte a Plugins > Plugins Instalados.

Si el plugin no está instalado, verás el aviso de actualización indicando que hay una nueva versión disponible, así que sólo tienes que hacer click en Actualízalo Ahora y esperar un momento a que termine.

xcloner actualizar ahora - WordPress

 


Tenemos diferentes tipos de hosting, selecciona uno:


Cómo Afecta el Problema de Seguridad a XCloner Backup

El problema de seguridad en xCloner Backup son 2 en realidad.

Uno muy grave, con el que un usuario registrado con credenciales de suscriptor, puede sobrescribir cualquier archivo de WordPress, pudiendo hacer prácticamente lo que quiera en el sistema.

Al poder rescribir todos los archivos, puede borrar la configuración del archivo wp-config.php, que se encarga de la configuración de WordPress.

Al borra los datos de configuración WordPress intenta volver a configurarse, pero en esta ocasión será el atacante el que realice la configuración, incluso conectado su propia base de datos de su servidor, siendo un WordPress perfectamente funcional pero gestionado por él.

Usando la misma vulnerabilidad, el atacante podía acceder a las credenciales de la base de datos y a partir de ese momento, robar información de los usuarios, agregar un nuevos administradores de WordPress, modificar o borrar posts o cambiar la URL para que apuntara a algún sitio malicioso.

XCloner Backup vulnerabilidad

La segunda vulnerabilidad detectada no es tan grave, pero por medio de un ataque CSRF, el atacante puede activar la realización de una o varias copia de seguridad y cambiar las opciones del plugins, como el sitio donde se guardarían las copias.

En cualquier caso, la solución para ambos problemas pasa por la actualización del plugin lo antes posible.

Para qué Sirve el Plugin XCloner Backup

El plugin XCloner Backup nos sirve, como su nombre bien indica, para hacer copias de seguridad del contenido y base de datos de nuestros WordPress.

Lo tienen instalado más de 30 mil WordPress y es tan popular por que es muy sencillo de utilizar, además, las copias se pueden enviar a servidores externos, como son Dropbox, Google Drive, etc…

Es posible realizar backups completos o parciales en cualquier momento, aunque también es posible dejarlos programados, aunque hay que tener cuidado con el espacio en el hosting si elegimos esta opción.

Si quieres saber más del plugin XCloner Backup, aquí tienes una pequeña guía que preparamos hace algún tiempo.

 

Hosting WordPress con Protección Antimalware

Si estás buscando un hosting WordPress que tenga un extra de seguridad, en Hostinet podemos ayudarte.

Todos nuestros alojamientos web para WordPress cuentan con un servicio antimalware, desde el cuál podemos escanear los archivos del alojamiento para comprobar que no exista malware en ninguno de ellos.

Y si por culpa de alguna vulnerabilidad como la que comentamos en este post, te encuentras con un problema y un atacante consigue añadir malware en tu sistema, lo localizaremos y lo aislaremos, como si fuéramos tu antivirus particular.

También protegernos tu sitio, para que el malware no afecte al resto de visitantes y te avisaremos para que puedas revisarlo y solucionar el problema en tiempo récord.

Además, todos los hosting WordPress que podemos ofrecerte, incluso los más económicos, cuentan con un montón de características incluidas, para que tengas un hosting de primera:

  • – Certificado SSL Gratuito
  • – Panel de Control cPanel
  • – Disco SSD
  • – Servidor web LiteSpeed
  • – Preinstalación de WordPress (si se quiere)
  • – Soporte Técnico Profesional y Especializado en WordPress

Aquí tienes algunas de nuestras ofertas más populares de alojamiento web para WordPress que podemos ofrecerte:

  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´43€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´60€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´52€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´43€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´60€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´52€/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!