El cliente InfiniteWP ha
sido el causante de estos problemas que ponen en peligro la seguridad del sitio WordPress, permitiendo que una tercera persona pueda tomar su control.
Para todos aquellos que no conozcan el complemento se
trata de una herramienta que permite la gestión de una gran cantidad de blogs
basados en esta plataforma utilizando un único administrador, es decir,
aglutinar todos ellos bajo una misma interfaz.
El problema se encuentra en todas las versiones de este
complemento que sean anteriores a las 1.3.8. Este radica en la ausencia de verificación
para un número concreto de operaciones, es decir, en WordPress se utiliza la
libería OpenSSL de PHP para verificar la validez de una petición y que esta no
ha sido modificado o se ha intentado dicha acción, bloqueando dicha petición
para evitar problemas.
El problema de InfiniteWP es que algunas operaciones no
requieren de autenticación, por lo tanto pueden realizarse sin que se aplique
ningún tipo de verificación sobre ellas antes de ser ejecutadas en el sitio
web.
Poner el sitio web en modo mantenimiento
e incrustar código malicioso
- Debido a la importancia del fallo, WordPress ha cargado como no podía ser de otra manera contra los responsables del complemento y se han negado a dar detalles debido a la importancia del problema, afirmando que tras 30 días darán más detalles sobre el problema, siempre y cuando este se haya resuelto en ese plazo de tiempo.
- El fallo de seguridad puede permitir a terceras personas poder el sitio web en modo mantenimiento y permitir el incrustado de marcos con código malicioso, permitiendo que el usuario acceda a páginas con contenido malware o bien proceder a la descarga de la variante de cualquier virus.