Vulnerabilidad Crítica en el Plugin Limit Login Attempts de WordPress

Categorias: Wordpress

Vulnerabilidad Crítica en el Plugin Limit Login Attempts de WordPress

Limit Login Attempts es un plugin de WordPress muy utilizado para evitar los ataques de fuerza bruta.

Se ha descubierto una vulnerabilidad que puede provocar graves consecuencias para todos los sitios WordPress que tengan instalada una versión del plugin no parcheada.

Si tienes instalado Limit Login Attempts en tu WordPress, debes revisar qué versión tienes instalada para comprobar que no es una de las vulnerables, lo antes posible.

 

Para qué Sirve el Plugin Limit Login Attempts

WordPress es el sistema de gestión de contenidos (CMS) más popular del mundo, con más de 40% de los sitios web que lo utilizan en todo Internet.

Sin embargo, esto también lo convierte en un objetivo frecuente de ataques de hackers que buscan explotar sus vulnerabilidades o la de cualquiera de los plugins que se suelen instalar.

Una de las formas más comunes de proteger un sitio web de WordPress es limitar el número de intentos de inicio de sesión fallidos que puede realizar un usuario o una dirección IP.

Esto ayuda a prevenir los ataques de fuerza bruta, que consisten en probar múltiples combinaciones de nombres de usuario y contraseñas hasta encontrar la correcta.

Para ello, muchos usuarios de WordPress recurren al plugin Limit Login Attempts, que permite configurar el número máximo de intentos de inicio de sesión permitidos, el tiempo de bloqueo entre intentos y el mensaje de error que se muestra al superar el límite.

Sin embargo, recientemente se ha descubierto una vulnerabilidad crítica en este plugin que podría poner en riesgo la seguridad de más de 600.000 sitios web que lo utilizan.

Vamos a ver en qué consiste esta vulnerabilidad, cómo afecta a tu sitio web y qué debes hacer para solucionarla.

 

Cómo Afecta la Vulnerabilidad al Plugin Limit Login Attempts

La vulnerabilidad del plugin Limit Login Attempts fue descubierta por los investigadores de seguridad de empresas especializadas en la protección de sitios web de WordPress.

Según sus informes, la vulnerabilidad se debe a un error en la forma en que el plugin gestiona las cookies que utiliza para identificar a los usuarios y las direcciones IP que han superado el límite de intentos de inicio de sesión.

El plugin utiliza una función llamada setcookie para crear una cookie con el nombre limit_login_lockout y un valor que contiene la dirección IP del usuario y el tiempo de bloqueo.

Sin embargo, esta función no valida ni escapa adecuadamente el valor de la cookie, lo que permite a un atacante inyectar código malicioso en ella.

De esta forma, un atacante podría enviar una solicitud HTTP con una cookie manipulada al sitio web vulnerable y ejecutar código malicioso en el servidor.

Esto podría permitirle, por ejemplo, crear un usuario administrador, modificar archivos o bases de datos, instalar malware o redirigir el tráfico a otros sitios maliciosos.

La vulnerabilidad afecta a todas las versiones del plugin Limit Login Attempts anteriores a la 1.7.1 (incluida) y aunque se requiere cierta configuración especial para que un atacante pueda explotarla, es importante asegurarse de que estamos utilizando una versión parcheada

 

Cómo Saber si Tengo una Versión Vulnerable de Limit Login Attempts

Para saber si tu sitio web está afectado por la vulnerabilidad del plugin Limit Login Attempts, debes comprobar qué versión del plugin tienes instalada.

Sólo tienes que acceder a tu WordPress y en la sección de plugins buscar el plugin en la sección Plugins Instalados.

En seguida verás la versión que tienes y un aviso de que existe una nueva versión disponible.

Vulnerabilidad Crítica en el Plugin Limit Login Attempts de WordPress

Si la versión que tienes es la 1.7.1 o anterior, es una versión del plugin vulnerable.

 

Cómo Solucionar la Vulnerabilidad del Plugin Limit Login Attempts

La forma más sencilla y efectiva de solucionar la vulnerabilidad del plugin Limit Login Attempts es actualizarlo a la última versión disponible, que en el momento de escribir este artículo, es la 1.7.2.

La versión 1.7.2 del plugin Limit Login Attempts es segura. Ya está corregido el problema y puedes usarlo sin problemas.

Cualquier versión superior a la 1.7.2, también será segura y puedes usarla sin problemas, al menos, para la vulnerabilidad de la que estamos hablando.

Tan sólo tienes que hacer click en el botón Actualízalo ahora desde el propio panel de plugins y el plugin se actualizará en un instante.

plugin limit loguin attempts actualizado

Como siempre, te recomendamos tener una copia de seguridad actualizada a mano para antes de actualizar nada.

 

Programar la Actualizaciones Automáticas del Plugin Limit Login Attempts

Si quieres, puedes activar las actualizaciones automáticas en este plugin o en cualquier otro.

Esto tiene una ventaja y una desventaja.

La ventaja es que soluciona el problema que hemos visto en este artículo, en cuanto sale una versión del plugin nueva, esta se actualiza sin que tengas que hacer nada más.

Es una buena solución para tener siempre los plugins actualizados con los nuevos parches de seguridad que el desarrollador libere.

La desventaja es que, si la actualización del plugin es incompatible con algún otro elemento instalado en WordPress, puede causar problemas en la web.

Actualizándolo de forma manual no solucionaría el error, pero sí serías consciente de cuál es el plugin que ha provocado el problema.

En cualquier caso, si quieres activar las actualizaciones automáticas del plugin es muy sencillos, sólo tienes que hacer click en el enlace que encontrarás a la derecha del plugin.

actualizaciones automáticas plugin

Con esta acción se activan las actualizaciones automáticas de ese plugins en particular, pero puedes hacer lo mismo con cualquiera de los plugins que tienes instalados en tu WordPress.

 

Cosas a Tener en Cuenta

Es importante tener en cuenta que las vulnerabilidades en los plugins de WordPress no son infrecuentes y que los propietarios de sitios web deben tomar medidas preventivas para garantizar la seguridad de su sitio web.

Esto incluye mantener todos los plugins y temas actualizados a las últimas versiones, también del propio WordPress.

Muchos administradores son reacios a actualizar WordPress o los plugins para evitar posibles problemas, pero eso es un problema de seguridad que debes evitar.

 

Hosting WordPress con Detector de Malware

En Hostinet no tenemos la posibilidad de evitar la vulnerabilidad de un plugin, pero si un hacker consigue añadir malware en tu hosting, lo detectamos y lo ponemos en cuarentena.

De esta forma te dará tiempo a tomar las medidas necesarias, sin que el atacante pueda sacar partido de su acción maliciosos.

Esta medida de seguridad está incluida en todos los hosting con WordPress que ofrecemos en Hostinet

  • Hosting especializado en WordPress con discos nvmeWordPress 12´00 / mes
  • Hosting especializado en WordPress con discos nvmeWordPress 107´99 / mes
  • Hosting especializado en WordPress con discos nvmeWordPress 5011´99 / mes
  • Hosting especializado en WordPress con discos nvmeWordPress 7513´99 / mes
  • Hosting especializado en WordPress con discos nvmeWordPress 12´00/mes
  • Hosting especializado en WordPress con discos nvmeWordPress 107´99/mes
  • Hosting especializado en WordPress con discos nvmeWordPress 5011´99/mes
  • Hosting especializado en WordPress con discos nvmeWordPress 7513´99/mes
    • Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • Supeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamiento
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el Plesk de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control Plesk.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!
    • Copia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por Hostinet
    • Podrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento web
    • Precio para nuevas altas. Contratación anual.