Portada Wordpress WP Database Reset – Problemas Serios de Seguridad en este Plugin de WordPress
WP Database Reset tiene un un problema muy serio de seguridad en versiones anteriores a la 3.15, por lo que te recomendamos que, de tener el plugin instalado en WordPress, actualices ya mismo.
No es un plugin que use la mayoría de usuarios de WordPress, pero según los datos de WordPress.org, existen más de 80 mil instalaciones del plugin activas.
Además, el problema de detectado es fácilmente explotable, por lo que cualquier atacante, aunque sea uno poco experimentado, puede causar daños irreparables en la base de datos de la instalación de WordPress o hacerse con el control del sitio.
Hemos comentado que el plugin WP Database Reset no es un plugin genérico que usen la mayoría de los usuarios de WordPress, dadas sus características.
Lo que hace el plugin WP Database Reset es muy sencillo, borra la base de datos de WordPress y la deja como si fuera una base de datos recién instalada.
En la base de datos de WordPress, se almacenan todas las artículos que hayas publicado, todas las páginas, los usuarios registrados, contraseñas, configuración, comentarios, etc…
Es decir, que es una pate imprescindible y muy importante de WordPress y si existe un problema en la base de datos, WordPress no funcionará.
Quizás te estarás preguntando para qué un plugin iba a borrar toda la base de datos o mejor aun, quién en su sano juicio haría tal cosa.
Como hemos comentado antes, no se trata de un plugin genérico, pero aun así lo usan 80 mil usuarios de WordPres.
Los usuarios de WP Database Reset suelen ser administradores que realizan pruebas en WordPress y prefieren «resetear» la base de datos cuando surge algún problema en lugar de borrar e instalar WordPress de nuevo.
Por ejemplo, en este blog de formación de Hostinet, realizamos muchas pruebas en instalaciones de WordPress.
Se instalan y se desinstalan plugins y themes de manera continua y a veces hay algo que no funciona correctamente.
Así que hacemos uso de un plugin parecido a WP Database Reset para borrar cualquier cosa que pueda causar una incompatibilidad con lo que estemos probando en ese momento.
Es la única función que tiene un plugin como este, resetear toda o partes de la base de datos de WordPress de una forma rápida y segura… a partir de la versión 3.15, visto lo visto.
En realidad se han detectado dos problemas muy graves en WP Database Reset.
El primero de ellos tiene consecuencias terribles para la base de datos, ya que un fallo en la programación, permitía ejecutar el «reset» de la base de datos a cualquier usuario.
El atacante no necesitaba ni tan siquiera estar registrado en el WordPress, podía eliminar cualquier tabla de la base de datos con una solicitud simple y borrar así, cualquier contenido de la base de datos.
El fallo es muy grave ya que de no disponer de una copia de seguridad de la base de datos, el contenido sería irrecuperable.
El segundo fallo detectado es también muy grabe y permite al atacante hacerse con el control completo de WordPress.
El atacante sólo necesita estar registrado en WordPress como suscriptor para conseguir hacerse con el control del sitio.
Para hacer esto, sólo tenía que hacer «reset» en la tabla wp_users, lo que eliminaría a cualquier usuario registrado en ese WordPress.
Esto no parece muy grave, el problema es que eliminaría también a los administradores, dejando sólo al usuario conectado, es decir al atacante.
Una vez realizada esta acción, los permisos del usuario atacante escalarían hasta el rango de administrador y sería el único administrador de WordPress, por lo que tendría el control total.
Como puedes ver, las dos vulnerabilidades detectadas en versiones anteriores a la 3.15 del plugin WP Database Reset, son tremendamente graves e irreversibles, de no contar con un backup, por lo que volvemos a insistir que revises la versión instalada en tu WordPress, si usas este plugin, claro.
Antes un peligro como estos problemas detectados en Wp Database Resert, sólo puedes defenderte con una copia de seguridad de WordPress.
En otros tipos de ataques, puedes «limpiar» el sitio y recuperarlo por completo, pero sin un backup no sería posible hacerlo, porque no existiría base de datos.
Puedes hacer copias de seguridad de WordPress de muchas formas, desde cPanel, desde Softaculous o desde cualquiera de los múltiples plugins que existen para WordPress.
También es muy recomendable almacenar las copias de seguridad en un servidor distinto o bajarlas a un ordenador, ya que en algunos casos, los atacantes modificaban los backups guardados en el hosting para que, aunque se restaurara la web, siguieran teniendo acceso a una «puerta trasera».
Si las bajas a local, no olvides que el disco duro de tu ordenador también se puede estropear, por lo que también es aconsejable hace copias de seguridad de tu ordenador, aunque esto es otra historia.
Lo que no parece un buena idea es no tener un plan de contingencia para casos de desastre total.
Con una copia de seguridad, cualquier problema se puede resolver en unos pocos minutos.
Si una copia de seguridad, es posible que no puedas recuperar tu sitio web.
En Hostinet realizamos copias de seguridad redundantes de todos los servidores a diario.
Estas copias de seguridad se almacenan durante una semana, por lo que si el problema es anterior a este tiempo, no dispondríamos de ningún backup de tus datos.
Pero si no es así, puede contratar nuestro servicio de restauración de backups por sólo 2 € al mes y solicitarnos una copia de seguridad a nivel de archivo, base de datos o todo el alojamiento.
Aquí tienes algunos planes de hosting WordPress que podemos ofrecerte: