Vulnerabilidad Detectada en el Plugin Ad Inserter – WordPress

Categorias: Wordpress

Vulnerabilidad Detectada en el Plugin Ad Inserter- WordPress

Una vez más, a un plugin de WordPress se le ha detectado una vulnerabilidad y si eres uno de los usan este plugin, deberás actualizarlo lo antes posible.

El plugin es Ad Inserter y está siendo usado en más de 200 mil instalaciones de WordPress, por lo que se trata de un plugin muy activo.

En el momento de escribir este artículo, el desarrollador ya ha lanzado un parche, por lo que si lo tienes instalado, debes comprobar que la versión sea la 2.4.22 o superior.

Cualquier otra versión anterior, puede poner en alto riesgo tu WordPress, por lo que no dejes de revisarlo lo antes posible.

IMPORTANTE: Si usas el plugin «Ad Inserter» comprueba que tienes instalada la versión 2.4.22 o superior. Las versiones anteriores son vulnerables.


Contamos con diferentes tipos de hosting. Elige el que mejor te venga para alojar tu web


Cómo Afecta la Vulnerabilidad en Ad Inserter

Cómo Afecta la Vulnerabilidad en Ad Inserter

El problema detectado en el plugin Ad Inserter, permitia a usuario con el roll de suscriptor, que es el que menos privilegios tiene en WordPress, ejecutar código PHP en el WordPress que haga uso del plugin Ad Inserter.

Además de los suscriptores, otros usuarios con más permisos, como autores y editores, también podían aprovechar esta vulnerabilidad.

El plugin Ad Inserter ayuda a los usuarios a gestionar los anuncios en su sitio web.

Cuando trabajas con Google AdSense, Ad Manager, Amazon, etc… sabrás que poner sus anuncios en tu web no es tan fácil como puede parecer en un principio.

Solo te dan códigos que debes añadir en las partes de tu web en las que quieras que se muestren los anuncios y si no tienen mucha experiencia, puede ser algo intimidante.

Plugins como Ad Inserter, ayudan al usuario a gestionar los anuncios y también ofrece una «vista previa» para que el administrador del sitio pueda verificar que todos los bloques de anuncios se ven correctamente antes de publicarlos.

Por lo visto, un error en el código hacía que un atacante pudiera explotar la función de vista previa de los anuncios y aprovechar para enviar contenido malicioso al sitio web, como hemos dicho, con un nivel de suscriptor sería suficiente para realizar esta acción.

Por este motivo, es muy importante actualizar el plugin lo antes posible a la versión 2.4.22 o superior.

Si quieres obtener más información técnica de cómo actúa la vulnerabilidad, puedes verlo en el blog de Wordfence haciendo click aquí, aunque está en inglés.

Qué Tengo que Hacer si Tengo Instalado el Plugin Ad Inserter

actualiza

En esta ocasión, el equipo que descubrió la vulnerabilidad (Threat Intelligence en el plugin Ad Inserter ), avisó al desarrollador antes de hacerlo público.

El desarrollador tuvo tiempo de solucionarlo y lanzar un parche (versión 2.4.22) antes de que el problema saliera a la luz,el pasado día 13 de julio.

Esta es una actuación correcta, nada que ver con las última vulnerabilidades que hemos visto en :

En estos otros casos, el investigador que descubrió las vulnerabilidades, no actuó de buena fe y las expuso sin avisar antes al desarrollador del plugin.

Esto provocó una avalancha de sitios hackeados y los administradores tuvieron que esforzarse para que sus sitios volvieran a la normalidad.

Como este no ha sido el caso y la vulnerabilidad no se ha hecho pública hasta que el parche ha sido lanzado, así que no debería de haber ningún problema… a nos ser que no se actualice el plugin.

Es decir, todo esto no sirve de nada si no actualizas el plugin. Ahora la vulnerabilidad ya ha salido a la luz y los atacantes pueden aprovecharla, pero si actualizas el plugin serás vulnerable.

Por si no ha quedado lo suficientemente claro…. ¡¡ACTUALIZA!!

Hostinet y la Seguridad de tu Hosting

En Hostinet la seguridad es algo prioritario y nos la tomamos muy en serio.

A veces obligamos a los clientes a cambiar sus contraseña de email o de acceso a cPanel y no es algo que les guste mucho, pero en el fondo saben que lo hacemos por su bien 🙂

Por nuestra parte, escanemos todos los servidores en busca de malware. Si tiene un WordPress y alguien consigue inyectar código malicioso en tu web, lo detectaremos.

Al detectarlo, nuestro sistema se encarga de aislar los archivos infectados, para que no te causen más problemas y después te avisaremos para que puedas recuperar el sitio web lo antes posible.

Además, con nuestra gama de hosting WordPress, disfrutarás de ventajas como disponer un soporte técnico especializado en WordPress, hosting SSD, para que tu WordPress sea super rápido, certificados SSL de Let’s Encrypt gratuitos y un montón de cosas más:

  • Hosting especializado en WordPress con discos SSDWordPress 55´99 / mes
  • Hosting especializado en WordPress con discos SSDWordPress 107´99 / mes
  • Hosting especializado en WordPress con discos SSDWordPress 5011´99 / mes
  • Hosting especializado en WordPress con discos SSDWordPress 7513´99 / mes
  • Hosting especializado en WordPress con discos SSDWordPress 55´99/mes
  • Hosting especializado en WordPress con discos SSDWordPress 107´99/mes
  • Hosting especializado en WordPress con discos SSDWordPress 5011´99/mes
  • Hosting especializado en WordPress con discos SSDWordPress 7513´99/mes
    • Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • Supeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamiento
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!
    • Copia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por Hostinet
    • Podrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento web
    • Precio para nuevas altas. Contratación anual.