" />
ZOOM
GALERÍA
0 COMENTARIOS

El plugin afectado es All in One SEO Pack, que acumula más de 18 millones de descargas

Un plugin SEO pone en riesgo a millones de webs en WordPress

All in One SEO Pack es uno de los plugins más populares para WordPress. Como su propio nombre indica, sirve para facilitar la optimización de WordPress en buscadores. Aunque hay numerosos plugins con la misma finalidad, con más de 18 millones y medio de descargas, supera a otros conocidos plugins con la misma finalidad, como el creado por Yoast. Una reciente auditoría de seguridad ha detectado una vulnerabilidad que permite a un atacante modificar el contenido de la web y ejecutar código Javascript en el área de administración.

Las versiones afectadas son todas las anteriores a la actual, All in One SEO Pack 2.6.1, por lo que una simple actualización resuelve el problema. El fallo no se ha conocido hasta la publicación de la actualización, por lo que es poco probable que haya webs afectadas, pero una vez conocido los creadores de malware estarán trabajando para crear exploits que les permitan sacar partido de las webs sin actualizar.

Modificar metaetiquetas e infiltrar Javascript

Para aprovechar esta vulnerabilidad, basada en ataques XSS (cross site scripting), el atacante debe disponer de una cuenta en el sitio WordPress, algo común en webs que permiten registrarse para dejar comentarios o interactuar con la web de alguna manera. El usuario no tiene que tener permisos de administración de ningún tipo para poder modificar parámetros SEO en los artículos, en particular las metaetiquetas title (título de la página), description (descripción del contenido) y keyword (lista de keywords). Esto puede penalizar a la web en los resultados de búsqueda e incluir mensajes indeseados en los resultados que aparecerán en el buscador.

En conjunto con otra vulnerabilidad, es posible además ejecutar código Javascript malicioso en el panel de control, lo que quiere decir que, aprovechando los permisos del usuario conectado, es posible llevar a cabo tareas de administración de forma silenciosa, instalando malware o incluso proporcionando acceso completo a un atacante.

Este tipo de vulnerabilidades suelen estar presentes en numerosos sitios basados en WordPress y otras aplicaciones web durante mucho tiempo. Muchos administradores no aplican los parches de seguridad cuando se publican o, incluso, no actualizan sus sitios en absoluto. Esto, unido a la popularidad de WordPress y otros CMS, con millones de webs desplegadas, hace de estas webs uno de los blancos preferidos para llevar a cabo ciberataques.

La seguridad de tu web no es sólo cosa tuya

Como en tantas ocasiones, la seguridad de un servidor no es sólo importante para su administrador. Igual que las campañas de vacunación masivas protegen al conjunto de la población y las excepciones por motivos “ideológicos” son un problema de salud pública, mantener los servidores en perfecto estado de revista evita que sirvan para perjudicar a otros.

Muchos fallos de seguridad son utilizados para extraer datos de los usuarios del sitio o, directamente, para aprovecharse de sus recursos con el fin de lanzar ciberataques. Sólo en febrero, 12.000 ataques de phising tuvieron su origen en sitios basados en WordPress “secuestrados” por ciberataques, según un estudio de Netcraft. En la mayoría de los casos, los administradores de las webs afectadas no son conscientes del problema, lo que retrasa su solución e incluso provoca que sus webs resulten bloqueadas para detener el malware instalado en ellas. Recientemente, una botnet de más de 160.000 sitios creados con WordPress se utilizó para lanzar un ataque de denegación de servicio (DDOS) contra varios objetivos.

De modo que, incluso si no dedicas mucha atención a tu blog en WordPress, es importante estar al día en materia de seguridad. Si no por la posibilidad de que alguien estropee tu web o tus contenidos, sí por el hecho de que una web poco o mal atendida puede dar lugar a que otras personas sufran estafas, a que sus sitios web sufran ataques y, en último término, a que tu operador bloquee tu sitio a petición de las empresas o personas afectadas por el ataque.

Foto: stockarch.com

No comments yet.

Deja un comentario