WP Database Reset – Problemas Serios de Seguridad en este Plugin de WordPress

Categorias: Wordpress

WP Database Reset - Problemas Serios de Seguridad en este Plugin de WordPress

WP Database Reset tiene un un problema muy serio de seguridad en versiones anteriores a la 3.15, por lo que te recomendamos que, de tener el plugin instalado en WordPress, actualices ya mismo.

No es un plugin que use la mayoría de usuarios de WordPress, pero según los datos de WordPress.org, existen más de 80 mil instalaciones del plugin activas.

Además, el problema de detectado es fácilmente explotable, por lo que cualquier atacante, aunque sea uno poco experimentado, puede causar daños irreparables en la base de datos de la instalación de WordPress o hacerse con el control del sitio.


Tenemos diferentes tipos de hosting, selecciona uno:


Para qué Sirve el Plugin WP Database Reset

Hemos comentado que el plugin WP Database Reset no es un plugin genérico que usen la mayoría de los usuarios de WordPress, dadas sus características.

Lo que hace el plugin WP Database Reset es muy sencillo, borra la base de datos de WordPress y la deja como si fuera una base de datos recién instalada.

En la base de datos de WordPress, se almacenan todas las artículos que hayas publicado, todas las páginas, los usuarios registrados, contraseñas, configuración, comentarios, etc…

Es decir, que es una pate imprescindible y muy importante de WordPress y si existe un problema en la base de datos, WordPress no funcionará.

Para qué Sirve el Plugin WP Database Reset

Quizás te estarás preguntando para qué un plugin iba a borrar toda la base de datos o mejor aun, quién en su sano juicio haría tal cosa.

Como hemos comentado antes, no se trata de un plugin genérico, pero aun así lo usan 80 mil usuarios de WordPres.

Los usuarios de WP Database Reset suelen ser administradores que realizan pruebas en WordPress y prefieren «resetear» la base de datos cuando surge algún problema en lugar de borrar e instalar WordPress de nuevo.

Por ejemplo, en este blog de formación de Hostinet, realizamos muchas pruebas en instalaciones de WordPress.

Se instalan y se desinstalan plugins y themes de manera continua y a veces hay algo que no funciona correctamente.

Así que hacemos uso de un plugin parecido a WP Database Reset para borrar cualquier cosa que pueda causar una incompatibilidad con lo que estemos probando en ese momento.

Es la única función que tiene un plugin como este, resetear toda o partes de la base de datos de WordPress de una forma rápida y segura… a partir de la versión 3.15, visto lo visto.

Cómo Funciona la Vulnerabilidad en WP Database Reset

En realidad se han detectado dos problemas muy graves en WP Database Reset.

El primero de ellos tiene consecuencias terribles para la base de datos, ya que un fallo en la programación, permitía ejecutar el «reset» de la base de datos a cualquier usuario.

El atacante no necesitaba ni tan siquiera estar registrado en el WordPress, podía eliminar cualquier tabla de la base de datos con una solicitud simple y borrar así, cualquier contenido de la base de datos.

El fallo es muy grave ya que de no disponer de una copia de seguridad de la base de datos, el contenido sería irrecuperable.

Cómo Funciona la Vulnerabilidad en WP Database reset plugi

El segundo fallo detectado es también muy grabe y permite al atacante hacerse con el control completo de WordPress.

El atacante sólo necesita estar registrado en WordPress como suscriptor para conseguir hacerse con el control del sitio.

Para hacer esto, sólo tenía que hacer «reset» en la tabla wp_users, lo que eliminaría a cualquier usuario registrado en ese WordPress.

Esto no parece muy grave, el problema es que eliminaría también a los administradores, dejando sólo al usuario conectado, es decir al atacante.

Una vez realizada esta acción, los permisos del usuario atacante escalarían hasta el rango de administrador y sería el único administrador de WordPress, por lo que tendría el control total.

Como puedes ver, las dos vulnerabilidades detectadas en versiones anteriores a la 3.15 del plugin WP Database Reset, son tremendamente graves e irreversibles, de no contar con un backup, por lo que volvemos a insistir que revises la versión instalada en tu WordPress, si usas este plugin, claro.

Copias de Seguridad como Medida de Precaución en WordPress

Antes un peligro como estos problemas detectados en Wp Database Resert, sólo puedes defenderte con una copia de seguridad de WordPress.

En otros tipos de ataques, puedes «limpiar» el sitio y recuperarlo por completo, pero sin un backup no sería posible hacerlo, porque no existiría base de datos.

Puedes hacer copias de seguridad de WordPress de muchas formas, desde cPanel, desde Softaculous o desde cualquiera de los múltiples plugins que existen para WordPress.

También es muy recomendable almacenar las copias de seguridad en un servidor distinto o bajarlas a un ordenador, ya que en algunos casos, los atacantes modificaban los backups guardados en el hosting para que, aunque se restaurara la web, siguieran teniendo acceso a una «puerta trasera».

Si las bajas a local, no olvides que el disco duro de tu ordenador también se puede estropear, por lo que también es aconsejable hace copias de seguridad de tu ordenador, aunque esto es otra historia.

Lo que no parece un buena idea es no tener un plan de contingencia para casos de desastre total.

Con una copia de seguridad, cualquier problema se puede resolver en unos pocos minutos.

Si una copia de seguridad, es posible que no puedas recuperar tu sitio web.

Servicio de Restauración de Copias de Seguridad en Hostinet

Servicio de Restauración de Copias de Seguridad en Hostinet

En Hostinet realizamos copias de seguridad redundantes de todos los servidores a diario.

Estas copias de seguridad se almacenan durante una semana, por lo que si el problema es anterior a este tiempo, no dispondríamos de ningún backup de tus datos.

Pero si no es así, puede contratar nuestro servicio de restauración de backups por sólo 2 € al mes y solicitarnos una copia de seguridad a nivel de archivo, base de datos o todo el alojamiento.

Aquí tienes algunos planes de hosting WordPress que podemos ofrecerte:

  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!