Skip to main content

Esta vulnerabilidad puede dejar tu WordPress sin contenido

Una peligrosa vulnerabilidad quedó al descubierto en WordPress, ya que el equipo de WebARX informó que un plugin estaba accediendo a cuentas con permisos de administrador y borraba el contenido de un sitio bajo este CMS.

El plugin en cuestión es ThemeGrill Demo Importer, que tiene miles de plantillas de diseño personalizado y que cuenta con aproximadamente un millón y medio de descargas.

Recommended Videos

Si bien se informa que el bug fue resuelto y parchado, se recomienda a los usuarios de WordPress que tengan instalado este plugin instalar la versión 1.6.3 del CMS.

¿Cómo se activa este malware? Se da en las versiones que van desde la 1.3.4 a la 1.6.1 de este plugin, y principalmente el fallo permite a un atacante remoto y sin necesidad de autenticarse, borrar una base de datos completa (publicaciones, páginas, comentarios, nombres de usuarios, contraseñas, etc.) y llevarla a la configuración por defecto.

Luego de eso el atacante quedará registrado con permisos de administrador, ya que al llevar la cuenta de WordPress a la configuración por defecto se habrá creado un usuario con el nombre “admin”.

Para lograr el ataque, el único requisito adicional es que el sitio tenga instalado una plantilla de ThemeGrill y tener también instalado el plugin vulnerable.

La gente de WebARX publicó un cronograma de cómo se dieron los ataques:

  • 06-02-2020 – Descubrimiento del problema y lanzamiento de un parche para todos los clientes de WebARX.
  • 06-02-2020 : informó el problema al desarrollador del complemento.
  • 11-02-2020 – Segundo intento de contactar al desarrollador.
  • 14-02-2020 : correo electrónico recibido del desarrollador, reenviado el problema.
  • 16-02-2020 – El desarrollador publicó una nueva versión que soluciona el problema.

Por otro lado, el mismo sitio de seguridad apuntó que no hay que confiarse de que con el parche está todo resuelto, ya que «los atacantes a menudo supervisan los registros de cambios de complementos para detectar correcciones de errores de seguridad y comparar diferentes versiones para ver qué se corrigió. Esto permite que los atacantes actúen antes de que los usuarios hayan actualizado el complemento. Por eso es muy importante actualizar los complementos lo más rápido posible»

WebARX además apuntó que, «hemos estado monitoreando de cerca la vulnerabilidad de ThemeGrill Demo Importer y hemos visto esta vulnerabilidad explotada desde el lanzamiento del parche. WebARX ha bloqueado más de 16,000 ataques contra esta vulnerabilidad desde el 16 de febrero».

Topics
Diego Bastarrica
Diego Bastarrica es periodista y docente de la Universidad Diego Portales de Chile. Especialista en redes sociales…
Ninja Gaiden 4 está llegando, pero puedes jugar un nuevo remake de Ninja Gaiden 2 ahora mismo
Ninja Gaiden

Después de más de una década de espera, Ninja Gaiden 4 está en camino, junto con una nueva versión moderna de Ninja Gaiden 2. Ninja Gaiden 4 saldrá en otoño de 2025, pero si no puedes esperar tanto tiempo para un combate ninja ultrarrápido, puedes saltar al remake de Gaiden 2 ahora mismo. Está disponible para comprar y jugar hoy (¡y está en Game Pass!) Team Ninja lanzó el anuncio al comienzo del Xbox Developer Direct de hoy, marcando la pauta para el resto del programa.

Ninja Gaiden 4 es un proyecto colaborativo detrás de Team Ninja y Platinum Games, el estudio detrás de series queridas como Bayonetta y Nier: Automata. El juego tiene lugar en un nuevo escenario con un nuevo personaje, lo que lo convierte en un excelente punto de entrada para los jugadores primerizos. Mantendrá la dificultad y el combate sangriento del trío original mientras crea una historia completamente nueva para que Yakumo la siga. Fans mayores, no se preocupen: Ryu Hayabusa también seguirá apareciendo en el juego. Estará disponible a finales de este año en Xbox, PlayStation 5, Steam y llegará a Game Pass.

Leer más
Primer vistazo de Milly Alcock como Kara Zor-El de Supergirl
Milly Alcock

El codirector de DC Studios, James Gunn, está celebrando el comienzo de la filmación de Supergirl, y para eso compartió las primeras imágenes en el set de grabación de la estrella de House of The Dragon, Milly Alcock, en el papel de Kara-Zor-El.

El cineasta acudió a las redes sociales para compartir una foto teaser:

Leer más
Dicen las malas lenguas que MrBeast comprará TikTok
Mr. Beast

Un vuelco gigantesco y sorpresivo podría tener el futuro de TikTok en Estados Unidos, ya que el popular streamer y ahora productor de programas de concurso en Amazon Prime Video, MrBeast, estaría interesado en adquirir la controvertida red social a ByteDance.

Pero, ¿cómo se comenzó a alimentar este rumor?:

Leer más