Si se es propietario o administrador de un sitio creado con WordPress y utiliza el plugin All in One SEO Pack para gestionar el posicionamiento web, debería seguir leyendo. Una vulnerabilidad descubierta permite inyectar código malicioso en las páginas que lo usan y hundirlas en los resultados de búsqueda.
Este peligroso fallo de seguridad, que ya ha sido parchado, afecta a los sitios que ejecutan versiones anteriores a la 2.1.6 de All in One SEO Pack, un plugin que ha sido descargado cerca de 19 millones de veces. Según The Register, el agujero facilita a los hackers lanzar una escalada de ataques cross-site scripting en contra de los sitios y alterar los privilegios.
Así, un usuario conectado, sin poseer ningún tipo de privilegios administrativos, podría añadir o modificar algunos parámetros utilizados por el plugin, incluyendo el título SEO de la entrada, descripción, etiquetas meta y palabras clave. También podría modificar la contraseña de acceso del administrador y, desde esa posición privilegiada, abrir una puerta trasera de acceso al sitio web con el fin de llevar a cabo más actividades maliciosas posteriormente. En este sentido, hay que recordar que en marzo, la empresa de seguridad Netcraft detectó 12 mil ataques de phishing lanzados desde blogs creados con WordPress y hackeados para lanzar estos ataques.
No hay comentarios:
Publicar un comentario