WordPress: 8 plugins que están siendo explotados por hackers

WordPress: 8 plugins que están siendo explotados por hackers

Search Engine JournalMonday, March 2, 2020

Un nuevo informe revela un mayor número de ataques contra sitios de WordPress, todos los cuales explotan fallas de seguridad en complementos populares.

Muchos de los ataques contra sitios de WordPress el mes pasado involucraron a piratas informáticos que intentan secuestrar sitios atacando errores de complementos recientemente revisados.

En otros casos, los atacantes pudieron descubrir exploits de día cero en diferentes complementos. Eso se refiere a vulnerabilidades desconocidas para el desarrollador del complemento, lo que significa que puede no haber parches disponibles.

Aquí hay una lista de todos los complementos identificados como parte de esta reciente serie de ataques.

Si está utilizando alguno de estos complementos en su sitio, se recomienda que los actualice de inmediato y esté atento a la actualización durante todo el año.

Duplicador (1 millón + instalaciones)

Duplicator es un complemento que permite a los propietarios de sitios exportar el contenido de sus sitios. Se parchó un error en la versión 1.3.28 que permitía a los atacantes exportar el contenido del sitio, incluidas las credenciales de la base de datos.

Importador de demostración de ThemeGrill (200,000 instalaciones)

Un error en este complemento, que viene con temas vendidos por ThemeGrill, permitió a los atacantes borrar sitios y hacerse cargo de la cuenta de administrador. Este error fue parcheado en la versión 1.6.3.

Complemento Profile Builder (65,000 instalaciones)

Un error en las versiones gratuitas y de pago de este complemento permitió a los piratas informáticos registrar cuentas de administrador no autorizadas. Este error fue parcheado el 10 de febrero.

Campos de pago flexibles para WooCommerce (20,000 instalaciones)Un exploit de día cero en este complemento permitió a los atacantes inyectar cargas útiles XSS, que luego podrían activarse en el tablero de un administrador que inició sesión. Los atacantes usaron las cargas útiles de XSS para crear cuentas de administrador deshonestas.

Los ataques comenzaron el 26 de febrero. Desde entonces se ha emitido un parche.

…Para leer más, siga el link del idioma que prefiera

Tags: wordpress, wordpresplugins, plugins, pluginswordpress, hacker, webswordpress, contenido, woocommerce, seguridad,

Clickee para leer el artículo en InglésClickee para leer el artículo en Español