Vulnerabilidad en plugin de WordPress permite tomar control de tu sitio

Atención administradores de WordPress, sobre todo si tienes instalado en tu sitio el plugin WP GDPR Compliance.

Últimos anuncios destacan que piratas informáticos han explotado de manera masiva una vulnerabilidad sobre este plugin, la cual les permite instalar lo que comúnmente se conoce como backdoors (o puertas traseras) en las páginas creadas con WordPress a fin de obtener control del sitio.

Es importante mencionar que el plugin cuenta con una tasa de instalaciones activas superior a 105.000.

La principal característica del plugin es la de llevar el control de los procesos que ejecutan otros plugins relacionados con la captura de datos pertenecientes al usuario como, por ejemplo, formularios de contacto.

La alerta se dio a conocer por los analistas de soporte de WordPress, donde manifestaban la aparición de un plugin extraño instalado, tipo Autocode 2 Mb, el cual se encontraba activado sin el permiso de los administradores y que a su vez instalaba otro plugin que hacía las funciones de método de pago (Payload), funcionando como proceso de segundo plano.

Esto apunta, según diseñadores de WordPress, a un solo culpable el cual sería el plugin en cuestión conocido como WP GDPR Compliance, puesto que era el único plugin presente que tenían en común los sitios que estaban siendo vulnerables a los ataques.

 

¿Cómo afecta la vulnerabilidad de sobre este plugin de WordPress?

La dificultad de este tipo de ataques, es que no te das cuenta de la ejecución del mismo, a menos que administres constantemente tu sitio o trabajes en él frecuentemente. Hasta ese momento, ya habrías sido invadido con una variedad de malwares e incluso perdiendo el login administrador de tu cuenta de WordPress (además de poder tener tu sitio minando criptomonedas, sin que seas percatado de ello).

Otro síntoma que se presenta, es la de que cuando intentas acceder al panel administrador se hace un redireccionamiento hacia otra página bajo el dominio de erealitatea.net o hacia hxxps://pastebin[.]com/raw/V8svyu2p?, negándote el acceso al administrador de manera indefinida.

¿Cómo solucionar la vulnerabilidad de WP GDPR Compliance?

Para mitigar la amenaza, deben dirigirse al panel de administración de WordPress o desde el gestor de base de datos de PhpMyAdmin, e ir a la tabla wp-users donde posiblemente se encontrará un usuario llamado Troll. También debe intentarse eliminar la carpeta del plugin desde cualquier gestor de archivos.

Existe otro método para eliminar la redirección mencionada en este artículo, es decir, cuando al intentar autenticarse como administrador se nos redirige a otra página. Consiste en ubicar la tabla Wp_option de la base de datos, (algunos administradores pueden tener renombrada esta tabla con otro nombre). Esta tabla contiene un campo llamado siteurl, la cual almacena una dirección extraña que debería ser la de nuestro sitio web (debe editarse el registro y sustituir la dirección por la de nuestro sitio web). Por último, hay que dirigirse al blog y vaciar la caché, y de esta manera se podrá entrar al administrador del WordPress.

En última instancia se recomienda estrictamente a los administradores y propietarios de sitios webs con WordPress que actualicen este plugin de WP GDPR de la versión 1.4.2, la cual es la que presenta la vulnerabilidad, a la versión 1.4.3, donde según asegurar los creadores ya estaría solucionada esta vulnerabilidad.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *