Spam Protection by CleanTalk – Problemas de Seguridad

Categorias: Wordpress

Spam Protection by CleanTalk - Problemas de Seguridad

El plugin Spam «Protection by CleanTalk» tiene un problema de seguridad que se ha solucionado con éxito en la última versión del plugin. Si eres uno de sus 100 mil usuarios, comprueba que está actualizado en todas las instalaciones de tus WordPress.

El plugin Protección contra correo no deseado, Antispam, FireWall de CleanTalk es el preferido por muchos administradores de WordPress para luchar contra el molesto spam.

Desde Wordfence informaron al equipo de desarrollo del plugin que tenían un problema de seguridad en el código del plugin.

Se realizó una prueba de concepto y comprobaron que, efectivamente, era posible inyectar código malicioso en la base de datos MySQL.

Los desarrolladores repararon este error en la versión 5.153.4 del plugin, por lo que sólo hay que comprobar que el plugin está actualizado en la versión indicada o superior, ya va por la 5.157.1.

Al tratarse de una prueba de concepto, no se ha detectado ningún problema de seguridad al respecto. Esto quiere decir que nadie se ha aprovechado de este problema de seguridad… ¡al menos hasta ahora!


Tenemos diferentes tipos de hosting, selecciona uno:


Spam Protection by CleanTalk para WordPress

Como hemos comentado, sólo hace falta comprobar que el plugin Spam Protection by CleanTalk está actualizado para «estar a salvo».

Si el problema lo hubiese detectado un atacante antes que el equipo de Wordfence, posiblemente se habría visto comprometida alguna web, pero no es el caso, así que con actualizar el plugin a la versión parcheada es suficiente.

Time-Based Blind SQL Injection Exploit

Time-Based Blind SQL Injection Exploit hack

Según cuentan en su artículo en el blog de Wordfence (en inglés), el plugin tenía muchas medidas de seguridad muy bien implementadas para evitar la inyección de código MySQL.

Pero utilizando una técnica llamada Time-Based Blind SQL Injection, algo que se podría traducir como «inyección SQL ciega de tiempo» , consiguieron explotar con éxito el problema de seguridad en el plugin Spam Protection.

La técnica no deja de ser curiosa, ya que se trata de enviar consultas la base de datos de forma aleatoria, pero de tal forma que, en el caso de que acertaran la consulta, la base de datos tardaría cierto tiempo en responder.

Es decir, se envía una solicitud y en ella se le pregunta a la base de datos si la primera letra es la «a» y en caso afirmativo, que responda pasados 3, 5 o 10 segundos, como se configure.

De esta forma el atacante podría resolver cuál es, por ejemplo, la cuenta de correo del administrador, o cualquier otro dato relevante.

Existen formas en WordPress para preparar las consultas antes de que sean enviadas y que no se pueda explotar esta vulnerabilidad, que es lo que se ha solucionado en las versiones de parcheadas del plugin Spam protection, AntiSpam, FireWall by CleanTalk.

 

Cosas a Tener en Cuenta

actualiza wordpress plugins y themes

Como hemos comentado, no se ha detectado ningún ataque real en el plugin Spam Protection, pero eso no quiere decir que no lo puedan intentar en cualquier momento.

Por suerte el problema lo detectaron los «buenos» antes que los«malos» y el equipo de desarrollo lo solucionó rápidamente.

En realidad es lo más importante, que los desarrolladores lancen parches de seguridad al poco tiempo de detectarse cualquier problema, ya que el software perfecto parece que no existe.

De todas formas, no sirve de nada si no actualizamos los plugins y tenemos versiones desactualizadas en nuestras instalaciones de WordPress.

El plugin Spam Protection by CleanTalk está usándose en más de 100 mil instalaciones de WordPress, así que aunque sólo sea un pequeño porcentaje el de los usuarios que no actualicen, cientos o miles de webs pueden verse afectadas.

Cómo siempre, mantener los plugins, themes y WordPress actualizados, suele ser la mejor defensa ante los ataques más comunes.

Hosting WordPress con Seguridad AntiMalware

En Hostinet disponemos de un sistema de seguridad antimalware en todos los alojamientos web que ofrecemos.

Si algún problema de seguridad afecta a tu WordPress y un atacante consigue añadir malware en cualquiera de los archivos, podemos detectarlo y aislarlo para que el problema no vaya a mayores.

Esta medida de seguridad está incluida en todos los hosting WordPress que ofrecemos:

  • Hosting especializado en WordPress con discos SSDWordPress 509´99 / mes
  • Hosting especializado en WordPress con discos SSDWordPress 257´99 / mes
  • Hosting especializado en WordPress con discos SSDWordPress 53´99 / mes
  • Hosting especializado en WordPress con discos SSDWordPress 509´99/mes
  • Hosting especializado en WordPress con discos SSDWordPress 257´99/mes
  • Hosting especializado en WordPress con discos SSDWordPress 53´99/mes
    • Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!
    • Copia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por Hostinet
    • Podrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento web
    • Precio para nuevas altas. Contratación anual.