{"id":31142,"date":"2019-09-27T14:01:49","date_gmt":"2019-09-27T12:01:49","guid":{"rendered":"https:\/\/www.hostinet.com\/formacion\/?p=31142"},"modified":"2019-09-27T14:26:05","modified_gmt":"2019-09-27T12:26:05","slug":"plugin-givewp-para-wordpress-vulnerabilidad-detectada","status":"publish","type":"post","link":"https:\/\/www.hostinet.com\/formacion\/wordpress\/plugin-givewp-para-wordpress-vulnerabilidad-detectada\/","title":{"rendered":"Plugin GiveWP para WordPress – Vulnerabilidad Detectada"},"content":{"rendered":"
<\/div>

\"Plugin<\/p>\n

El plugin GiveWP<\/strong> de WordPress ha sufrido una vulnerabilidad, la cual ya ha sido parcheada por el desarrollador<\/strong>.<\/p>\n

Seg\u00fan el repositorio de plugins de WordPress.org, el plugin est\u00e1 instalado y activo en m\u00e1s de 70 mil instalaciones, as\u00ed que si eres uno de ellos, \u00a1actualiza lo antes posible!<\/strong>.<\/p>\n

Si est\u00e1s utilizando la versi\u00f3n 2.5.4 de GiveWP, est\u00e1s en peligro<\/strong>.<\/p>\n

Tienes que actualizar a la versi\u00f3n 2.5.5 o superior<\/strong>, aunque el plugin ya va por la versi\u00f3n 2.5.8 en el momento de escribir este art\u00edculo.<\/p>\n

\n

\"Hosting<\/a><\/p>\n

\n

C\u00f3mo Afecta la Vulnerabilidad al Plugin GiveWP<\/h2>\n

La vulnerabilidad<\/strong> detectada en en GiveWP, no creaba redirecciones<\/strong> hacia otras p\u00e1ginas con malware o intentos de phishing.<\/p>\n

Tampoco inyectaba c\u00f3digo malicioso<\/strong> en el sitio, ni intentaba hacerse con el control de WordPress, como hemos visto en muchos otros casos anteriormente.<\/p>\n

En esta ocasi\u00f3n, un atacante pod\u00eda aprovechar la vulnerabilidad detectada para hacerse con informaci\u00f3n personal de los usuarios.<\/p>\n

Nombres, direcciones f\u00edsicas, IP’s y correos electr\u00f3nicos<\/strong> eran expuestos al atacante, informaci\u00f3n privada y confidencial que no debe ser revelada sin el consentimiento de los usuarios.<\/p>\n

La vulnerabilidad fue puesta en conocimiento del desarrollador del plugin por parte de los chicos de Wordfence de forma privada, seg\u00fan cuentan en su web<\/a>, la cual fue atendida r\u00e1pidamente y parcheada.<\/p>\n

Por desgracia, la naturaleza de la vulnerabilidad hace imposible saber si un atacante la aprovecho para recabar informaci\u00f3n confidencial<\/strong> de los usuarios del plugin GiveWP.<\/p>\n

Pasado un tiempo, la vulnerabilidad se ha hecho p\u00fablica pero ya existe una soluci\u00f3n en las versiones m\u00e1s recientes del plugin, as\u00ed que s\u00f3lo hay que actualizar el plugin para evitar males mayores<\/strong>.<\/p>\n

Si est\u00e1s usando GiveWP en tu WordPress, aseg\u00farate que lo tienes actualizado, ya que es f\u00e1cil de imaginar<\/strong> que, una vez divulgada la vulnerabilidad, los atacantes buscar\u00e1n versiones sin actualizar<\/strong> para aprovecharse.<\/p>\n

Como hemos dicho, s\u00f3lo hay que actualizar el plugin para evitar problemas.<\/p>\n

\u00bfPara que Sirve GiveWP?<\/h2>\n

El plugin GiveWP<\/strong> de WordPress es un plugin de donaciones online<\/strong>.<\/p>\n

Seg\u00fan cuentan en la web del plugin<\/a>, es gratuito y es el plugin m\u00e1s usado en WordPress para realizar donaciones de manera online.<\/p>\n

https:\/\/www.youtube.com\/watch?time_continue=114&v=gNdEelhjoKE<\/a><\/p>\n

WordPress es el gestor de contenidos m\u00e1s usado en el mundo, as\u00ed que no es de extra\u00f1ar que muchas organizaciones sin \u00e1nimo de lucro o reivindicativas, usen las donaciones como fuente de ingresos.<\/p>\n

Ya existen muchas soluciones para esto, pero la mayor\u00eda te llevan fuera de la p\u00e1gina, como el popular bot\u00f3n de donaciones de Paypal o parece que est\u00e9s comprando en una tienda, con su carrito y todo eso.<\/p>\n

El plugin GiveWP es capaz de configurar m\u00e9todos de pago directamente en el plugin<\/strong>, dejando de lado las redirecciones y manteniendo al usuario que va a realizar la donaci\u00f3n, siempre en la web.<\/p>\n

\"givewp<\/p>\n

Tambi\u00e9n te ofrecen la posibilidad de crear los formularios para crear las campa\u00f1as de donaci\u00f3n, establecer objetivos, controlar las donaciones, etc… y todo esto sin salir de WordPress.<\/p>\n

Ech\u00e1ndole un vistazo al plugin, parece que est\u00e1 muy trabajado y no es de extra\u00f1ar que sea el m\u00e1s usado en este sector en WordPress.<\/p>\n

\"salvar<\/p>\n

Hosting WordPress SSD en Hostinet<\/h2>\n

Este tipo de vulnerabilidades que hemos visto en el plugin GiveWP, no suelen ser las m\u00e1s habituales en WordPress<\/strong>.<\/p>\n

En este problema, quedaban al descubierto informaci\u00f3n confidencial de los usuarios, algo grave y que puede acarrear problemas, pero no son tan llamativos como otros plugins hackeados<\/strong> que nos hemos encontrado:<\/p>\n