Cuidado con estos plugins de Wordpress

Si tienes una página web diseñada con el gestor de contenidos Wordpress, este artículo te interesa. Wordpress es una gran herramienta para crear y diseñar pequeñas páginas web y blogs, ideal para personas que comienzan en el mundo online y no tienen conocimientos técnicos, pero cuando hablamos de páginas web grandes y personalizadas, sin duda es una opción que no aconsejo, puesto que la propia herramienta es la que nos limita para alcanzar cierto grado de control y puede ser incluso más costoso, tanto para su creación como para su mantenimiento.

Ten presente que esta herramienta como tal, se creó solamente para la creación de blogs, y gracias a los plugins de terceros, se han expandido sus posibilidades. El problema es que al final dependemos de terceros desarrolladores para el soporte de estas utilidades y en ocasiones surgen problemas como estos.

Se han dado casos donde los atacantes han podido atacar partes de los plugins que los propios desarrolladores desconocían. Esto significa que quizás no haya actualizaciones de seguridad disponibles para estos plugins.

En este artículo te mostramos la lista de los plugins que sean identificado hasta el momento que están recibiendo ataques. Si estás utilizando alguno de estos plugins en tu página web, te recomiendo que los actualices de inmediato o bien los dejes de usar. Si no hay actualizaciones disponibles, mantente alerta lo largo de este año y comprueba que estas utilizando la última versión de cada uno de ellos:

Según un informe de Wordfence, a lo lago de febrero de este año varios atacantes han conseguido aprovecharse de un bug de este plugin. Duplicator es un plugin muy popular y tiene más de 1 millón de instalaciones por todo el mundo. Este plugin permite que los propietarios de los sitios web pueden exportar el contenido de la web de forma fácil. Este plugin se actualizó a la versión 1.3.28 solventando este problema el cual permitía a los atacantes poder copiar todo el contenido, Incluida la base de datos y las credenciales de los usuarios de cualquier página web que utilizase WordPress con este plugin.

Este plugin viene incorporado cuando compras el tema themeGrill y tiene más de 200.000 instalaciones. La vulnerabilidad en este plugin permite que los atacantes borren por completo tu sitio web y tomen el control del panel de administración de WordPress. Esta vulnerabilidad ha sido resuelta con la versión 1.6.3 pero si aún no has actualizado este plugin tu sitio web podría sufrir un ataque de este tipo.

Este plugin no es tan popular como los anteriores pero más de 65.000 sitios son vulnerables tanto con la versión de pago como con la versión gratuita. Al menos dos grupos de atacantes pudieron registrar cuentas de administrador en la base de datos de páginas web que utilicen este plugin. Afortunadamente este bug ha sido corregido en febrero de 2020.

Si estás utilizando woocommerce para tiendas online con WordPress y estás utilizando este plugin para finalizar el proceso de compra de tus usuarios, ten en cuenta que los hackers pueden inyectar un ataque XSS que les permite crear cuentas de administrador desde el escritorio de un administrador que haya iniciado sesión en tu Wordpress. Este ataque empezó en febrero y desconocemos si tras la última actualización de este plugin se ha solventado el problema.

Este plugin con más de 100.000 descargas por todo el mundo También ha sido castigado por un problema de vulnerabilidad XSS.Por lo visto es última versiónLos desarrolladores han corregidoEsta vulnerabilidad.

Cuidado todos aquellos que hayáis adquirido una instalación de Wordpress con este tema preinstalado y los plugins de este desarrollador, ya que cualquiera de sus plugins contiene vulnerabilidades que permite a los hackers crear cuentas como administrador en tu base de datos. Esta vulnerabilidad fué detectada en febrero de 2020 por Wordfence y de momento no se ha publicado ningún parche que solucione este problema por parte de los desarrolladores.

Este plugin con más de 20k instalaciones y que me permite Crear Mapas de Google personalizados TambiénPresentaPoner habilidadesEn sitios web de huéspedes.DesconocemosSi los desarrolladoresHan dado solución con este bug Y te aconsejamos que visites su página oficial paraInformarteMejor.

Por último este plugin en su versión Lite también tenía una vulnerabilidad Contra ataques XSS. En este casoHay disponible una actualizaciónEn la que se solventa el problema. Hay que tener en cuenta los ataques empezaronAntes de que los parches estuvieran disponibles por lo tanto asegúrate de que si tu página web está creada con Wordpress, esté correctamente actualizada.

Si no sabes si estás utilizando alguno de estos plugins en tu Wordpress, contacta con el personal de mantenimiento de tu página web y pide que comprueben todos estos plugins que te hemos mostrado en este artículo.