Portada Wordpress File Manager – Plugin WordPress con Vulnerabilidad Día Cero
El problema de seguridad detectado en el plugin File Manager para WordPress está activo y muy activo desde hace unos días y aun hoy los sitios que tienen instalado el complemento sin actualizar, están siendo atacados.
Aunque los desarrolladores del plugin File Manager ya han lanzado un parche para solucionarlo, al ser una vulnerabilidad día de día cero, los ataques empezaron antes de que los desarrolladores tuvieran conocimiento del problema, por lo que muchos sitios pueden verse afectados.
Si trabajas con este plugin, File Manager en WordPress, deber revisar algunas cosas para comprobar que no eres uno de los afectados.
Si eres uno de los 700 mil usuarios que usan File Manager en WordPress, lo primero que debes hacer es actualizarlo.
La versión parcheada es la 6.9 o superiores, así que antes de seguir, tómate un momento para actualizar el plugin, ya que sólo con actualizarlo, puedes estar a salvo.
Como el problema de seguridad se ha detectado cuando los atacantes ya estaban infectando sitios, tendrás que comprobar que no eres uno de los afectados.
Una vez actualices el plugin ya no podrán acceder a la vulnerabilidad, pero debida a la propia naturaleza del plugin, los atacantes pueden haber subido algún archivo al sitio para explotarlo más tarde y si el archivo malicioso ya está en tu WordPress, con actualizar el plugin no será suficiente.
SI eres usuario de File Manager sabrás que se trata de un plugin que conecta WordPress con el sistema de archivos del Hosting.
De esta forma, si tiene que modificar, subir o eliminar algún archivos, no es necesario que se conecten por FTP o desde el panel de control, pueden hacer esto desde el propio escritorio de WordPress.
En este artículo hablamos sobre este plugin hace ya algún tiempo, por si quieres saber algo más de él.
El problema de seguridad, como ya podrás imaginar, es la subida de archivos con código malicioso a nuestro WordPress por parte de usuarios externos y sin credenciales de acceso.
Por suerte, el problema de seguridad en el plugin afecta sólo a un directorio, es decir que el atacante no puede navegar entre los destinitos directorios del sitio, pero si puede subir archivos PHP con código para infectar otras partes o intentar escalar privilegios hasta hacerse con el control administrativo de WordPress.
El directorio al que pueden subir archivos es el siguiente:
wp-content/plugins/wp-file-manager/lib/files/
Dentro de este directorio se han visto archivos del tipo:
Esto no significa que no hayan podido subir archivos con otro tipo de nombre, pero son los detectados hasta ahora, aunque parece que usan la palabra «hard…» al principio de los archivos.
Tienes que revisar este directorio y eliminar cualquier archivo que te resulte sospechoso de este directorio.
Si no estás seguro, puedes descargarlo a local, comprimirlo o sacarlo del la parte pública de la web.
Incluso puedes eliminar toda la carpeta del plugin si quieres y volver a instalarlo con la versión actualizada.
Se han detectado 6 direcciones IP en los principales ataques, aunque esto no quiere decir que no puedan usar otras, pero estos son las detectadas:
Pero antes de nada recuerda actualizar el plugin a la versión 6.9 como mínimo.
Plugins como File Manager pueden ser muy útiles en ciertos momentos, pero si no lo usamos muy a menudo habría que plantearse su uso.
Los usuarios de WordPress somos muy dados a tener plugins instalados que no utilizamos a diario y en los plugins como File Manager en los que se tiene acceso directo al hosting, puede ser peligroso.
Como siempre, la última palabra la tienes tú, como administrador de WordPress, pero en cualquier caso, siempre es bueno mantener todo lo más actualizado posible.
En Hostinet todos nuestros planes de hosting WordPress cuentan con un detector de malware que analiza todos los archivos en busca de cualquier problema.
Si se detecta algo, aislamos el archivo y te avisamos para que puedas tomar las medidas necesarias para resolver la situación lo antes posible.
No podemos detectar el fallo en la programación de un plugin, como en este caso, pero si te ves afectado y un atacante sube un archivo con malware, lo detectaremos y te avisaremos.