RevSlider Sigue Siendo MUY PROBLEMÁTICO en 2021, pero SE SIGUE USANDO (Mantenerlo Actualizado es la Clave para Evitar Problemas)

Categorias: General, Plugins, Wordpress

Hay cosas que con el paso de tiempo se espera que cambien, pero nada más lejos de la realidad… WordPress sigue siendo el CMS más Hackeado (algo normal si tenemos en cuenta que es gestor de contenido que más cuota de mercado tiene hoy en día como podemos comprobar AQUÍ). Sin embargo, hoy no venimos a hablar de WordPress, sino del plugin RevSlider que como indicamos en el titular de esta misma entrada RevSlider sigue siendo muy problemático en 2021, pero se sigue utilizando. ¿La razón? Sinceramente es difícil de saber, aunque tenemos que reconocer que su publicidad es muy buena: “More than just a WordPress Slider – Mucho más que un Slider de WordPress”.

RevSlider - More Than Just a WP Slider

El caso es que hace más de 5 años (en 2016) ya recogíamos que WordPress y el Plugin RevSlider eran lo más hackeado. Ahora años después seguimos igual, nada ha cambiado… los usuarios siguen usándolo y es muy problemático porque en la mayoría de casos no está actualizado.

Ya de por sí, los plugins se tienen que actualizar con frecuencia, pero si además se trata de un plugin muy problemático tendríamos que estar pendiente a su desarrollador para cada vez que saque un parche aplicarlo. A priori parece un mantenimiento sencillo, ¿no? Pero claro, luego resulta que el plugin no es 100% legal o no está integrado correctamente el Theme, y lo de poder mantenerlo actualizado como que no es posible sin pasar por caja.

Llegamos a este punto es mejor intentar encontrar algún plugin gratuito que ofrezca funcionalidades similares y nos evite tener que jugárnosla en un futuro de errores inciertos.

Sucuri Informa que un 10% Ataques provocados a WordPress este 2021 fueron provocados por RevSlider

Según la reconocida empresa consultora de Internet Sucuri, en lo que llevamos de 2021, cerca del 10% de los ataques exitosos a nivel mundial contra aplicaciones web basadas en WordPress fueron provocados por la presencia en ellos del plugin RevSlider. Esta es una cifra importante para un plugin, sobre todo, si tenemos en cuenta que cada año copa los listados de las vulnerabilidades explotadas por la misma Sucuri.

Sucuri RevSlider

Más de 5 años después se siguen comprometiendo aplicaciones a causa de este plugin. Por eso, mantenerlo actualizado es la clave para evitar problemas. Sin embargo, no siempre es posible actualizarlo sino se dispone de la versión oficial del propio plugin, que por cierto es de pago.

¿Cómo Actúa un Hacker?

Para un Haker, explotar las vulnerabilidades de RevSlider es una tarea muy sencilla, comentamos el proceso brevemente:

Fase Inicial

Primeramente tiene que iniciar un fase inicial de reconocimiento, donde producirá peticiones tratando de buscar la existencia del plugin RevSlider en nuestra aplicación basada en WordPress.

RevSlider puede encontrarse en diferentes rutas y por ello los atacantes exploran la mayoría de las posibilidades lógicas, las rutas pueden ser:

• //wp-content/plugins/ revslider /
• /wp-content/themes/ [ … ] /revslider/temp/update_extract/ revslider /
• /wp-content/plugins/ [ … ] / revslider /temp/update_extract/
• /wp-content/plugins/ [ … ] / revslider /temp/update_extract/revslider /
• /wp-content/plugins/meteor-extras/includes/bundles/revslider /temp/update_extract/
• /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
• /revslider.php

Los corchetes significan que en esas posiciones existen variaciones, por ejemplo, el nombre de los Themes solicitados. Al final de cada ruta van los recursos solicitados, solamente en el caso de las dos últimas rutas no se adicionan recursos porque ya están especificados. Los recursos solicitados bajos estas rutas son muy diversos y pueden sobrepasar ampliamente el centenar de nombres.

RevSlider Hacker

Fase de explotación

En este punto, el Hacker pasará a explotar las vulnerabilidades presentes en RevSlider.

Un primer mecanismo de explotación consiste en la posibilidad de descargar archivos arbitrariamente del servidor web, por ejemplo, el archivo wp-config.php con datos sensibles de administración:

• https://dominio.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

Esta información la utilizaría, por ejemplo, para comprometer la base de datos de la aplicación web o incluso cambiarle los datos por otros. Esto dejaría fuera de servicio a la web.

Otro vector de ataque consistiría en la inclusión de código malicioso en otros ficheros y la modificación de archivos en el servidor a través de rutas como

• https://dominio.com/wp-admin/admin-ajax.php?action=revslider_ajax_action&client_action=get_captions_css

Esto se realizaría mediante una petición HTTP POST y en el cuerpo viajarían las instrucciones correspondientes.

Como se puede apreciar, es bastante simple para un Hacker explotar estas vulnerabilidades, pero podemos poner nuestro granito de arena manteniendo actualizado el Plugin RevSlider. Si lo tenemos actualizado al día podremos vivir sin problemas, y no solo alejarnos de Hackeos, sino también de que se provoque alguna incompatibilidad del slider con el Theme de la web.

¿Cómo Saber si Tenemos RevSlider?

Para saber si en nuestra instalación de WordPress tenemos el plugin RevSlider podemos usar la herramienta WPScan y ejecutar un escaneo con la opción:

wpscan –enumerate ap

Por otro lado, también podemos visitar directamente la sección de plugins de nuestro WordPress en la ruta: wp-content/plugins. Si no tenemos muchos plugins, tal vez podemos mirar de forma rápida si tenemos alguna carpeta con el nombre de ese plugin. En caso de que este integrado en el propio Theme también deberíamos revisar las carpetas y archivos que hubieran dentro wp-content/themes para ver si hay algo de “revslider”.

Conclusión

Sin duda, para evitar problemas hay que mantener siempre actualizado el Plugin RevSlider. No obstante, la mayor dificultad se encuentra cuando este plugin está incluido dentro del Theme que se esté utilizando. En este caso es necesario actualizar el Theme y de este modo se actualizaría también RevSlider.

En caso de no poder actualizar RevSlider, indiferentemente de cual se al motivo, lo mejor es cambiar el Plugin por otro que ofrezca funcionalidades similares a RevSlider.

-25% DESCUENTO
¿Todavía no tienes un Hosting WordPress SSD?

En Hostinet te lo ponemos muy fácil para que puedas contratar el Hosting WordPress que necesitas para tu proyecto web, ¡SIEMPRE al mejor precio!

Introduce el cupón HostingSSD para obtener un descuentazo del 25% en la contratación o renovación de tu plan WordPress con discos sólidos (SSD). Sí, has leído bien ¡descuentazo del 25%!

  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´43€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´60€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´52€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´43€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´60€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´52€/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!