Vulnerabilidad en plugins de WordPress pone en riesgo millones de blogs

escudowp

La facilidad con la que se pueden crear blogs personales o corporativos con los gestores de contenidos de los que disponemos hoy en día ha hecho que millones de usuarios en todo el mundo se animen a publicar contenidos de todo tipo en Internet. De entre todos estos gestores de contenidos destaca WordPress por la su gran capacidad de personalización a base de complementos, lo que lo hace el favorito de los usuarios.

Complementos vulnerables

Precisamente debido a su popularidad, WordPress es también el gestor de contenidos más atacado por los delincuentes y no son pocos los caso que hemos analizado en los últimos años que tenían a WordPress como protagonista a la hora de propagar malware desde blogs aparentemente inofensivos y legítimos.

En esta ocasión, agujeros de seguridad en dos de los complementos más utilizados por usuarios de WordPress son los responsables de que millones de usuarios corran el riesgo de ver sus blogs vulnerados. Estos dos complementos son JetPack y Twenty Fifteen, siendo el primero una herramienta de personalización y el segundo un diseñador de temas. El riesgo es mayor cuando observamos que Twenty Fifteen se instala en los sitios WordPress que se crean como un complemento por defecto.

Analizando la vulnerabilidad

La raiz del problema se encuentra en que ambos complementos utilizan un paquete conocido como genericons, lo que les pemite introducir iconos vectorizados en una fuente, pero también incluye un fichero vunerable de nombre “example.html”. Es este fichero del que un atacante puede aprovecharse para, aprovechando una vulnerabilidad en el mismo, ejecutar código Javascript malicioso y secuestrar un sitio WordPress desde el navegador si el propietario está autenticado como administrador.

Por suerte, esta vulnerabilidad es fácil de solucionar por parte de los usuarios ya que, en el caso de querer seguir utilizando estas extensiones, tan solo se deberá eliminar el fichero genericons/example.html para solucionar este problema. Es muy probable que la mayoría de administradores de sitios WordPress que pertenezcan a empresas de cierta importancia ya hayan realizado esta operación pero aun quedan muchos usuarios que no son conscientes del riesgo que corren.

Conclusión

Es sabido que, cuando más usada es una aplicación o sistema, más atrae la atención de los delincuentes. WordPress lleva tiempo siendo un objetivo prioritario y, por desgracia, no es dificil encontrar sitios con este gestor de contenido propagando algunos de los malware más difundidos durante los últimos meses.

Para evitar esto, desde ESET España hemos preparado una útil guía para aumentar la seguridad de nuestro WordPress de forma que dispongamos de una mayor seguridad y sea más díficil vulnerar la seguridad de nuestro blog o sitio web.

Josep Albors

Roban credenciales de sitios WordPress vulnerados