El agujero en el plugin All in One SEO Pack de WordPress
permite añadir o cambiar parámetros de posicionamiento web y abrir una puerta
trasera en el sitio.
El peligroso fallo de seguridad, que ya ha sido
parcheado, afecta a los sitios que ejecutan versiones anteriores a la 2.1.6 de
All in One SEO Pack, un plugin que ha sido descargado cerca de 19 millones de
veces. Según The Register, el agujero facilita a los hackers lanzar una
escalada de ataques cross-site scripting en contra de los sitios y alterar los
privilegios.
Así, un usuario conectado, sin poseer ningún tipo de
privilegios administrativos, podría añadir o modificar algunos parámetros
utilizados por el plugin, incluyendo el título SEO de la entrada, descripción,
etiquetas meta y palabras clave. También podría modificar la contraseña de
acceso del administrador y, desde esa posición privilegiada, abrir una puerta
trasera de acceso al sitio web con el fin de llevar a cabo más actividades
maliciosas posteriormente.
En este sentido, hay que recordar que en marzo, la
empresa de seguridad Netcraft detectó 12.000 ataques de phishing lanzados desde
blogs creados con WordPress y hackeados
para lanzar estos ataques.
Recomendación
- El desarrollador y analista de seguridad de Securi, Marc-Alexandre Montpas, que descubrió el fallo, instó a los usuarios a actualizar su versión del plugin. “Si su sitio tiene suscriptores, autores y usuarios que no sean administradores con acceso al wp -admin, o si usted tiene registro abierto, está en riesgo”, advirtió Montpas.