Portada Wordpress Plugin External Media para WordPress con Problemas de Seguridad
En los últimos días se detectó un problema de seguridad en el plugin External Media para WordPress bastante serio, ya que un atacante podía hacer mucho daño si explotara esta vulnerabilidad.
Por suerte se detecto antes de ningún atacante encontrara la falla de seguridad y no se conoce ningún caso en el que se haya aprovechado, ni explotado.
El problema fue detectado en la versión 1.0.33 del plugin y tras comunicar al desarrollador el problema, este corrigió el error en la versión 10.0.34.
Por lo tanto, sólo tienes que acceder tu WordPress y comprobar que tienes las versión 10.0.34 o superior instalada, en el caso que uses el plugin External Media.
Aunque no se haya declarado ningún ataque al respecto de este problema, el equipo de Wordfence lo puntúa con un 9.9 sobre 10, así que se trata de un problema muy crítico.
Debido al hecho de que la vulnerabilidad ya se ha hecho pública, es importante actualizar el plugin cuanto antes, para evitar así cualquier problema en el futuro.
External Media es un plugin muy interesante para algunos usuarios, ya que permite importar archivos desde fuentes externas a nuestro WordPress.
Esto quiere decir que si tenemos imágenes guardadas en servicios como Dropbox, Box, OneDrive o Google Drive, puedes pasarlas directamente a la biblioteca de medios de tu WordPress.
De esta forma te evitas tener que descargar y cargar las imágenes que ya tengas en otro servicio.
La idea es buena y puede ser muy útil en algunas ocasiones, pero un fallo en la programación permitía a un usuario con nivel de suscriptor, el más bajo que hay, subir archivos PHP desde fuentes externas.
No se realizaban comprobaciones de seguridad, así que cualquiera registrado en esa instalación de WordPress podía manipular el plugin External Media para subir el archivo con código malicioso.
Este código podía realizar una ejecución remota de código y las consecuencias podían ser realmente malas, dándole acceso total sobre nuestro WordPress al atacante.
Como hemos comentado, no se ha detectado ningún problema… aun, pero con una vulnerabilidad tan grave es mejor no tomar riesgos y actualizar a una versión parqueada lo antes posible.
En Hostinet, con cualquier alojamiento web para WordPress que adquieras, tienes un detector de malware automático, que escanea los archivos de tu WordPress en busca de cualquier código malicioso.
En el caso de que un hacker consiga explotar una vulnerabilidad como la que hemos visto hoy con el plugin External Media, nuestro sistema detectaría el malware inyectado y lo aislaría.
De esta forma, aunque tengas que recuperar archivos y realizar tareas de limpieza, el daño no irá a mayores y podrás recuperar tu sitio en un tiempo récord.
Aquí tienes algunas de las opciones de hosting WordPress SSD que podemos ofrecerte: