• compartir

Hackeo a WordPress expone más de 3 millones de sitios web

wordpress hackeado

Una brecha de seguridad en WordPress, el CMS más utilizado del mundo, provocó un hackeo que afectó a los más de 3 millones de sitios webs basados en este tipo de construcción, luego de una actualización de un plugin ajeno a la plataforma.

La agencia Automattic, una auditora de seguridad informática, encontró esta brecha de seguridad, que fue descubierta por Marc-Alexandre Montpas. Dentro del reporte, se indicó claramente como UpdraftPlus, un servicio de copias de seguridad para WordPress, estaba alojando datos de los sitios expuestos a ataques.

updraftplus wordpress
UpdraftPlus vulneró la seguridad de todos los sitios de WordPress | Fuente: UpdraftPlus

Sin embargo, esto no fue previsto por la desarrolladora de esta app. Quien lanzó una actualización de emergencia con la que buscó resolver la vulnerabilidad de inmediato. A la par, WordPress realizó otra actualización para detener la vulnerabilidad.

Asimismo, el parche no se trató de una solución al plugin en sí, sino una versión simultánea que atacaba a la versión con el error de seguridad, tal como lo anunció la misma UpdraftPlus.

A pesar de que este es un plugin de terceros y una app opcional para cada uno de los sitios, esta vulneraba la seguridad de cualquier sitio basado en WordPress, por lo que los más de 3 millones de sitios que utilizan este CMS estaban en posibilidad de ser atacados.

wordpress seguridad
WordPress tuvo que forzar la actualización del plugin | Fuente: WordPRess

Asimismo, al ser este un plugin de terceros, la actualización del servicio es manual. Por ello, a pesar de que UpdraftPlus actualizó su servicio, es responsabilidad de los dueños de cada entidad digital el resolver esta vulnerabilidad en sus sitios.

Te recomendamos: Padre deja sin Internet a toda una ciudad por castigar a sus hijos

El error de este plugin se encontró en la cadena de autenticación, en la que se asignaban permisos a usuarios no autorizados, a pesar de que el protocolo de seguridad se encontraba activo. La falla no era evidente, pues para los usuarios de UpdraftPlus el proceso seguía siendo el mismo.

No olvides comentarnos en las redes sociales de TierraGamer o unirte a nuestro servidor de Discord para seguir la conversación.