Una brecha de seguridad en WordPress, el CMS más utilizado del mundo, provocó un hackeo que afectó a los más de 3 millones de sitios webs basados en este tipo de construcción, luego de una actualización de un plugin ajeno a la plataforma.
La agencia Automattic, una auditora de seguridad informática, encontró esta brecha de seguridad, que fue descubierta por Marc-Alexandre Montpas. Dentro del reporte, se indicó claramente como UpdraftPlus, un servicio de copias de seguridad para WordPress, estaba alojando datos de los sitios expuestos a ataques.
Sin embargo, esto no fue previsto por la desarrolladora de esta app. Quien lanzó una actualización de emergencia con la que buscó resolver la vulnerabilidad de inmediato. A la par, WordPress realizó otra actualización para detener la vulnerabilidad.
Asimismo, el parche no se trató de una solución al plugin en sí, sino una versión simultánea que atacaba a la versión con el error de seguridad, tal como lo anunció la misma UpdraftPlus.
A pesar de que este es un plugin de terceros y una app opcional para cada uno de los sitios, esta vulneraba la seguridad de cualquier sitio basado en WordPress, por lo que los más de 3 millones de sitios que utilizan este CMS estaban en posibilidad de ser atacados.
Asimismo, al ser este un plugin de terceros, la actualización del servicio es manual. Por ello, a pesar de que UpdraftPlus actualizó su servicio, es responsabilidad de los dueños de cada entidad digital el resolver esta vulnerabilidad en sus sitios.
Te recomendamos: Padre deja sin Internet a toda una ciudad por castigar a sus hijos
El error de este plugin se encontró en la cadena de autenticación, en la que se asignaban permisos a s no autorizados, a pesar de que el protocolo de seguridad se encontraba activo. La falla no era evidente, pues para los s de UpdraftPlus el proceso seguía siendo el mismo.
No olvides comentarnos en las redes sociales de TierraGamer o unirte a nuestro servidor de Discord para seguir la conversación.