3 de junio de 2014

WORDPRESS. Fallo de seguridad compromete el posicionamiento de las webs

El agujero en el plugin All in One SEO Pack de WordPress permite añadir o cambiar parámetros de posicionamiento web y abrir una puerta trasera en el sitio.
El peligroso fallo de seguridad, que ya ha sido parcheado, afecta a los sitios que ejecutan versiones anteriores a la 2.1.6 de All in One SEO Pack, un plugin que ha sido descargado cerca de 19 millones de veces. Según The Register, el agujero facilita a los hackers lanzar una escalada de ataques cross-site scripting en contra de los sitios y alterar los privilegios.
Así, un usuario conectado, sin poseer ningún tipo de privilegios administrativos, podría añadir o modificar algunos parámetros utilizados por el plugin, incluyendo el título SEO de la entrada, descripción, etiquetas meta y palabras clave. También podría modificar la contraseña de acceso del administrador y, desde esa posición privilegiada, abrir una puerta trasera de acceso al sitio web con el fin de llevar a cabo más actividades maliciosas posteriormente.
En este sentido, hay que recordar que en marzo, la empresa de seguridad Netcraft detectó 12.000 ataques de phishing lanzados desde blogs creados con WordPress  y hackeados para lanzar estos ataques.
Recomendación
  • El desarrollador y analista de seguridad de Securi, Marc-Alexandre Montpas, que descubrió el fallo, instó a los usuarios a actualizar su versión del plugin. “Si su sitio tiene suscriptores, autores y usuarios que no sean administradores con acceso al wp -admin, o si usted tiene registro abierto, está en riesgo”, advirtió Montpas.
Fuente: ITespresso.es