Vulnerabilidad grave en el plugin Better WP Security

Better-WP-Security inseguro
Si utilizas el plugin Better WP Security debes saber que se ha detectado una vulnerabilidad grave que, a día de hoy, está aún sin solucionar.

Según informaban el día 15 de este mes en Packet Storm el plugin Beter WP Security no está haciendo honor a su nombre pues en su versión actual, la 3.6.3, tiene una grave vulnerabilidad que podría permitir la revelación no consentida de información del sitio y ataques de scripts cruzados XSS.

Lo más grave de todo es que han pasado ya unos cuantos días y el plugin no se ha actualizado para solucionar el problema, algo inaceptable en un plugin de seguridad.

Mi consejo, lógicamente, es que lo desinstales ya mismo y utilices otro que no tenga vulnerabilidades, hay unos cuantos plugins para asegurar WordPress.

VALORA Y COMPARTE ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
(2 votos, promedio: 4.5)

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

38 comentarios en “Vulnerabilidad grave en el plugin Better WP Security”

  1. Hola Fernando! Me sorprende esta noticia. Para ser un plugin tan importante no veo que se haya armado mucho revuelo. De hecho, sólo encontré esta información en tu blog y en un foro en inglés. Qué raro. ¿Es tan preocupante como para cambiarme ya a otro plugin de seguridad? Este iba tan bien que da pereza 😛

  2. Jon Ander Pérez Medina

    ¿Sigue sin solucionarse? He leido tu articulo sobre plugins de seguridad,¿Cual recomiendas en estos momentos?

      1. La única buena función que le falta a WordFence es el Hide para cambiar la ruta a las paginas de login y register… es la única razón por la que sigo usando Better WP Security 🙁

          1. jeje es verdad, pero cuando hay plugins que hasta te hacen el café supongo que nos empieza a dominar la pereza. Pero tienes razón, es cuestión de copiar y pegar el código, desactivar el plugin y reeditar el htaccess.

  3. Bueno, eso dice el autor del plugin, otros dicen que es válida en ciertas configuraciones y con eso es suficiente como para una revisión del plugin, que proponen

  4. Hola, yo acabo de eliminar el plugin por si acaso. He tenido muchos problemas de seguridad, he sufrido un par de hackeos y es un tema que me preocupa mucho. El último lo sufrí hace un par de semanas y no entendía por dónde podía venir el problema. Con la ayuda del servicio técnico de mi hosting y después de darle muchísimas vueltas se encontró una puerta en el theme. Al final decidí cortar por lo sano.

    Ahora el tema me preocupa mucho porque no quiero tener que volver a pasar por lo mismo. Veo que recomiendas Wordfence. Yo aún no lo había visto y anoche instalé 6Scan Security que recomiendas en el otro post. ¿Crees que debo instalar algo más? ¿Conviene tener más de un plugin para estos temas de seguridad? A ver si me puedes echar una mano porque estoy muy pez en estos temas y ya no sé muy bien qué hacer.

    Muchas gracias y un saludo ; )
    Y enhorabuena por tu trabajo, por supuesto.

    1. Hola Juan, ¿crees que conviene esperar antes de volver a instalarlo? Estaba probando con Wordfence, pero la verdad es que no sé si prefiero Better WP Security. Será la costumbre. Son las dos mejores opciones o hay algo mejor?

      Editado: Por cierto, en la descripción de la actualización no parece que hablen de la solución de ningún tipo de problema.

      1. Yo flipo igual máster O_o

        Respecto a la actualizacion yo pensaba que el parche era sobre esto —–> Removed InfiniteWP Compatibility

        Bueno pues veremos a ver que pasa y espero lo solucionen puesto que es un buen plugin.

        Siento mi confusión compañeros.

        Saludos.

      2. otra cosita mas, al margen de lo que he comentado en el comentario anterior (que aún espera moderacion porque tiene un enlace)

        «Removed FooPlugins support box as iThemes begins integration of all support»

        el codigo afectado por el XSS es el cuadro «PREMIUM», que pertenece precisamente al sistema de licencias de FooPlugins, por lo tanto, Chris no acepta publicamente el hecho de que lo retira por un bug, y aprovecha el hecho de que, de todos modos, tenia que retirar ese cuadro de ahi como parte del proceso de integración con iThemes.

        Bueno… es como si el plugin tuviera un bug pero oficialmente no lo tuvo nunca.

  5. Tengo el better WP Security instalado junto con el WordFence, sin embargo en algunos días encuentro código inyectado en el archivo header.php de mi theme y el día de ayer encontré un archivo dcsdcsdh.php en el root. No se supone que estos plugins deberían evitar que esto suceda?.

    1. Si están bien configurados ambos, sí,… pero quizás el hosting esté comprometido y por eso pasan por encima de los plugins. Se está viendo bastante estos dias en varios foros de WP, en grupos de Linkedin y en blogs como el de Sucuri que hay hostings shared vulnerados y desperdigando malware… cuiiiidaaadiiitoooo…

      1. Cómo podría hacer una protección de archivos para mi theme y los que normalmente son afectados, como los archivos index.php, header.php, footer.php, login.php y page.php he probado algúnos códigos en htaccess pero ninguno me ha funcionado o me arroja un error 500.

    2. No se si lo hiciste ya, pero chequeaste tus contraseñas? la del FTP/Panel de control y la de WordPress, cambialas por si acaso. Si son fáciles de adivinar suelen introducirse al escritorio y usar el editor de themes para inyectar en alguno de sus archivos el código que cargue el malware..

          1. Eso parece, lo que pienso es que debe haber algún registro en la DB por que limpié el sitio de archivos y todo eso, pero la cosa sigue igual. Lo que no revisé fue la DB.

          2. Probaste a ponerle chmod 600 a los archivos del theme que solian infectarse? de ese modo vas a poder descartar si quien escribe en los archivos tiene TUS permisos o los del servidor. Si no se vuelve a infectar es porque el servidor está comprometido.

          3. Lo de ponerle el chmod 600? es para hacer una vez desinfectados los archivos, para ver si se vuelven a infectar. Muchas veces los procesos que infectan archivos están monitoreando constantemente sus contenidos, así que ya verás si apenas guardas el archivo limpio, si se vuelve a infectar incluso en el interín entre que lo limpiaste y le quitaste los permisos… tienes que estar atento a su tamaño en bytes para poder comparar…
            Estás en un hosting shared no? fijate si debajo de la carpeta public_html hay una carpeta «logs» o con nombre similar, y fijate dentro si hay un archivo de logs (a veces puede estar zipeado y tendrias que bajartelo para examinarlo) y en ese log de acceso busca si aparece el nombre del archivo php que se infecta, te dirá desde que IP se conectaron para abrirlo, y tambien busca accesos al «wp-admin/theme-editor.php» para ver si alguien estuvo tocándolo. Si aparecieron en el FTP archivos nuevos con malware, tambien podrias buscar en esos logs sus nombres para ver la IP que accedió y a qué páginas accedió antes para saber por donde ingresaron.
            Espero te sirva amigo.

          4. Mi estimado desde hace 13 días que cambie el CHMOD al archivo header.php todo iba bien, el día de hoy acabo de verificar que nuevamente hay código insertado, además hubo modificaciones en algunos archivos core de wordpress, además de otros archivos extras como lib.php, commons.php y home.php; al parecer el ataque se realizó en la madrugada ya que el plugin me envió la advertencia de modificación por la mañana. Creo que este es un ataque diferente ya que el código inyectado en el header.php del theme es diferente al usual y el código inyectado en index.php del root, es un iframe. Creo que están cambiando los tipo de hackeo para evitar el control. Espero tus sugerencias, muchas gracias.

          5. Hola Fiberty, cambiaste las contraseñas desde entonces? porque parecería que se están infiltrando con una contraseña debil de algun usuario y asi modifican el theme desde el editor. Es el método más común. Eres sólo tú o hay más usuarios en ese WordPress?
            Algo que también podrías hacer es, luego de limpiar la infección, deshabilitar la edición de themes, sólo por si acaso…
            Saludos

          6. Que tal Marcelo, en la web soy el único con acceso de administrador, los demás está unicamente como colaboradores, mi contraseña la cambio cada cierto tiempo y tiene más de 20 dígitos entre caracteres especiales, numeros, mayúsculas y minúsculas. Como deshabilito la edición de themes?

          7. Para deshabilitar la edicion de themes y plugins, en el wp-config.php añade esto:
            define( ‘DISALLOW_FILE_EDIT’, true );

            Si tienes varios usuarios imagino que les cambiaste sus contraseñas. Nunca se sabe que exploits podrían estar aprovechándose.

            Algo que podrías intentar es instalar estos plugins, si es que no lo hiciste ya:
            – Wordfence, para bloquear intentos de login, y enterarte cuando sucedan.
            – Stream: para llevar una auditoría de todo lo que modifiquen tus usuarios (o un atacante).

            Saludos!

          8. Muchas gracias por el consejo, me falta el plugin stream, tengo el wordfence y el better wp security, muchas gracias Marcelo, ya te estaré comentando.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Ir arriba Ir al contenido