Noticias Seguridad en Redes Tecnología

ALERTA DE SEGURIDAD: PLUGIN DE WORDPRESS EXPONE INFORMACIÓN SENSIBLE EN MÁS DE 100,000 SITIOS

La seguridad de los sitios web basados en WordPress es una prioridad constante para administradores y desarrolladores. Sin embargo, a veces son las herramientas diseñadas para protegerlas las que, por un fallo, se convierten en la mayor vulnerabilidad. Una reciente investigación ha dejado al descubierto un grave fallo en un plugin de seguridad que ha puesto en riesgo datos sensibles de aproximadamente 100,000 páginas web. En TecnicosenLinea, te explicamos lo que sucedió y cómo puedes verificar si tu sitio está afectado.

El Problema: Un Plugin que Falló en su Propósito
Investigadores de ciberseguridad identificaron una vulnerabilidad crítica en «Security Alert – Keep your site safe», un plugin diseñado para monitorear la seguridad de los sitios WordPress. Irónicamente, el propio plugin era la puerta de entrada al riesgo.

El fallo, técnicamente una exposición de información sensible, residía en una función destinada a mostrar una lista de usuarios administrativos en el panel de control. Debido a una falta de restricciones de acceso y validación, esta información no se limitaba a los usuarios autorizados, sino que quedaba expuesta públicamente a cualquier persona que conociera la URL exacta donde se alojaba este endpoint.

¿Qué Información se vio Expuesta?
El acceso a esta URL vulnerable permitía a un atacante obtener datos críticos de los usuarios administrativos del sitio, incluyendo:

  • Nombres de usuario (usernames)

  • Direcciones de correo electrónico

  • Nombres de pantalla (Display names)

  • IDs de usuario de WordPress

¿Por qué es Peligrosa esta Exposición?
Aunque el plugin no exponía contraseñas directamente, la información revelada es un tesoro para los ciberdelincuentes. Con estos datos en mano, un atacante puede:

  1. Lanzar Ataques de Fuerza Bruta: Conociendo el nombre de usuario correcto, pueden dirigir ataques para adivinar la contraseña con mayor precisión.

  2. Realizar Phishing Dirigido: Al tener acceso a los correos electrónicos reales de los administradores, pueden crear campañas de phishing altamente personalizadas y creíbles para robar credenciales.

  3. Escalada de Privilegios: Esta información es el primer paso para comprometer una cuenta administrativa y tomar el control total del sitio web.

La Solución y Cómo Proteger Tu Sitio
Afortunadamente, los desarrolladores del plugin actuaron con rapidez. La vulnerabilidad fue parcheada en la versión 2.1.4 de «Security Alert».

Si tienes o has tenido este plugin instalado, sigue estos pasos de inmediato:

  1. Actualiza Immediately: Accede a tu panel de administración de WordPress (/wp-admin), ve a la sección «Plugins» y verifica si «Security Alert» está actualizado a la versión 2.1.4 o superior. Si hay una actualización disponible, instálala sin demora.

  2. Evalúa su Necesidad: Plantea si realmente necesitas este plugin. Si su función puede ser cubierta por otra suite de seguridad más robusta y con un historial de actualizaciones constante, considera desinstalarlo.

  3. Desinstalación como Prevención: Si decides no usarlo, la medida más segura es eliminar el plugin por completo de tu sitio. Esto asegura que ninguna línea de código vulnerable permanezca en tu instalación.

  4. Revisa tus Usuarios: Como medida adicional, considera revisar la lista de usuarios administrativos en tu sitio. Si es posible y no afecta la operatividad, valora cambiar los nombres de usuario o implementar autenticación de dos factores (2FA) para una protección extra.

Rodrigo Oyarzún

See author's posts