Portada Wordpress Detectada Vulnerabilidad Incorregible en Plugin Testimonial Rotator ¡BÓRRALO YA!
Hace tan solo unos días, el pasado 25 de febrero de 2021, se cerró el acceso al plugin Testimonial Rotator en el repositorio de Plugins de WordPress, tal y como podemos comprobar si accedemos al mismo pinchando en el link anterior.
This plugin has been closed as of February 25, 2021 and is not available for download. This closure is temporary, pending a full review.
Bien, en principio hasta aquí nada raro ¿no? Hay plugins que no se actualizan en mucho tiempo y son “retirados” del repositorio de Plugins de WordPress temporalmente para que quienes lo gestionan contacten con su desarrollador y les diga si piensa actualizar el plugin o lo piensa dejar abandonado, y así darlo de baja.
Ahora, pocos días después de la clausura del plugin, ha salido a la luz la auténtica verdad…
La realidad del asunto es que se había descubierto una grave vulnerabilidad de seguridad en el plugin Testimonial Rotator. Y lo peor de todo es que dicha vulnerabilidad es incorregible, algo normal si tenemos en cuenta que el plugin no había sido actualizado desde hace 9 meses, por lo que el mantenimiento ofrecido por parte de sus desarrolladores había sido nulo y ahora les resulta muy costoso tener que actualizar el plugin para solucionar el problema y adaptarlo a los estándares de php 8.0
Por lo tanto, sus desarrolladores no tiene pinta de que vayan a solucionar el problema y la grave vulnerabilidad de seguridad no será corregida probablemente NUNCA, así que… ¡BÓRRALO YA!
Testimonial Rotator era un Plugin muy sencillito para WordPress capaz de mostrar testimonios en un slider de uso gratuito.
En la actualidad, WordPress acapara la mayor parte de cuota del mercado con un 40%, pero gracias a dios este plugin en concreto según hemos podido saber solo está activo en poco más de 500.000 WordPress.
Si tu eres uno de los agraciados con este plugin… ¡YA estás tardando en borrarlo cuanto antes! Mas que nada porque no tiene solución y si lo mantienes activado o desactivado no importa la vulnerabilidad sigue estando accesible igualmente para los piratas informáticos, la única forma de solucionarlo es borrando completamente el Plugin Testimonial Rotator.
La vulnerabilidad detectada, permite inyectar código JavaScript o HTML a usuarios con pocos privilegios, por ejemplo, con un perfil tipo Colaborador. Esto podría ser incluso aprovechado para conseguir una escalada de privilegios.
Información extraída de WPScan.com
Stored Cross-Site Scripting vulnerabilities in Testimonial Rotator 3.0.3 allow low privileged users (Contributor) to inject arbitrary JavaScript code or HTML without approval. This could lead to privilege escalation
Si lo deseas, puedes buscar una alternativa a Testimonial Rotator, por ejemplo, Easy Testimonials está muy bien y es muy sencillo. Este plugin usa los mismos datos que Testimonial Rotator, por lo que viene muy bien para conservar todos los testimonios que ya tenías y usarlos en Easy Testimonials. Al menos así no pierdes todo el trabajo.
Ahora, en Hostinet puedes contratar un Hosting WordPress SSD con LiteSpeed para incrementar el rendimiento de tu web hasta en un 300%. ¡Te garantizamos una IP española, así como el mejor soporte en tu idioma!
En Hostinet trabajamos desde hace más de 15 años con servidores ubicados en España (Madrid y Bilbao) para ofrecer a nuestros clientes las mejores prestaciones posibles.