93 318 54 36

Vulnerabilidades de WordPress = WordPress hackeado

22/02/2022
Jose Fco. Llerena

A menudo nos llegan clientes a Indianwebs con su WordPress hackeado y es que cada vez son más los ataques que está sufriendo este CMS.

El principal motivo por el que hackean una página web es la falta de mantenimiento del sitio web, pero también es cierto, que los hackers encuentran vulnerabilidades o fallos de seguridad en plugins y temas.

La importancia de actualizar los plugins y temas de tu WordPress

Recientemente se ha encontrado una vulnerabilidad en uno de los plugins más utilizados para realizar copias de seguridad llamado UpdraftPlus.

El pasado 15 de febrero por la noche, UpdraftPlus recibió un aviso de seguridad del analista de seguridad Marc -Alexandre Montpas de Automattic, que encontró un defecto en las versiones actuales de UpdraftPlus.

Updraftplus

Este error permitía a cada usuario que haya iniciado sesión en una instalación de WordPress con la versión actual del plugin, descargar una copia de seguridad de todo su sitio web, incluida su base de datos.

Esto significa que la contraseña de inicio de sesión de WordPress queda desprotegida. Por lo tanto, los sitios webs afectados corren el riesgo de pérdida o robo de datos.

Aunque UpdraftPlus lo ha corregido rápidamente con una nueva actualización forzosa y no hay prueba pública de cómo aprovechar este exploit, es muy fácil de explotar para un técnico cualificado.

Esta información se publicó aproximadamente un día después de que las versiones actualizadas y seguras de UpdraftPlus estuviesen disponibles.

Al menos 1,7 millones de usuarios recibieron la actualización ayer de 3 millones de usuarios que tiene este plugin.

En Indianwebs nos preocupamos por la seguridad de nuestros clientes y aunque recomendamos hacer backups con plugins similares a este también es necesaria la actualización de plugins y temas.

Si usas WordPress con el plugin UpdraftPlus, recomendamos encarecidamente que confirmes que el plugin se ha actualizado automáticamente a la versión 1.22.4 o posterior en la versión gratuita, o 2.22.4 y superior en la premium.

Otros hackeos de WordPress

GoDaddyA principios de año se detectó un ataque indirecto a través de GoDaddy que tuvo expuestas 1,2 millones de cuentas. Todas las contraseñas de administrador de sitios de WordPress alojados en la plataforma, además de contraseñas para sFTP, bases de datos y claves privadas SSL fueron vulneradas.

Pero no es el único ataque que recibe esa plataforma de alojamiento web, ya que en 2018 un error expuso datos de sus servidores y en 2020 un usuario desconocido accedió a más de 28.000 cuentas de usuario. También se ha involucrado a GoDaddy con piratas informáticos que engañaron a «ciertos empleados» para que entregaran la propiedad o el control de los dominios web de múltiples servicios de criptomonedas.

 

Artículos relacionados

¿Necesitas poner al día tu web?

¿Necesitas alguno de nuestros servicios de diseño web? En IndianWebs contamos con una larga experiencia, y un equipo de programadores y diseñadores web en diferentes espcialidades, somos capaces de ofrecer un gran abanico de servicios en la realización de páginas web a medida. Sea cual sea tu proyecto, lo afrontaremos.

Contactar