Plugin Simple 301 Redirects de WordPress con Problemas de Seguridad

Categorias: Wordpress

Plugin Simple 301 Redirects de WordPress con Problemas de Seguridad

Hace unas semanas se detectaron varios problemas de seguridad en el plugin Simple 301 Redirects by BetterLinks, un plugin muy utilizado entre los administradores de WordPress, con más de 300 mil instalaciones activas.

De los 3 problemas que se detectaron en el plugin, uno de ellos era realmente grave, por lo que se considera de vital importancia que uses una versión parcheada del plugin para evitar problemas.

La versión del plugin que soluciona todos los problemas es la 2.0.4, así que debes comprobar que todas las instalaciones de WordPress que tengan el plugin Simple 301 Redirects esté actualizado.


Hosting Genérico


Problemas de Seguridad en el Plugin Simple 301 Redirects

Se habían detectado varios problemas de seguridad, pero el más importante permite a un atacante redireccionar todo el sitio hacía una URL externa.

Como habrás podido imaginar, el plugin Simple 301 Redirects tiene una función muy clara, que es realizar redirecciones 301 de una forma sencilla y clara.

Las redirecciones 301 son muy comunes en cualquier sitio web y se pueden realizar editando el archivo .htaccess del hosting, aunque muchos usuarios prefieren una forma más cómoda de crear estas redirecciones.

Ahí es donde entra en juego el plugin Simple 301 Redirects, que proporciona una interfaz de usuario mucho más amigable que editar código directamente desde el archivo .htaccess.

imple 301 redirects interface - WordPress

Con la versión del plugin 2.0, se añadieron varias características nuevas para mejorar la experiencia de uso.

Una de estas nuevas características era la capacidad de importar y exportar redireccionamientos 301, algo muy útil si tienes que gestionar distintas redirecciones.

Por desgracia, esta característica tenía un problema en el código que la hacía altamente vulnerable.

Este problema permitía a un atacante añadir redireccionamientos en todo el sitio, bien para enviar a los visitantes a otros sitios web, generalmente llenos de malware o publicidad engañosa o impedir el acceso al sitio.

El problema podía explotarlo cualquier tipo de usuario, estuviera o no autentificado, por lo que se trata de un problema muy crítico.

Otro de los problemas localizados tenía que ver con otra nueva función añadida, que se utilizaba para añadir otros plugins del mismo desarrollador desde el mismo plugin.

Esta es cada vez más común entre los desarrolladores de los plugins de WordPress, pero en este caso no se implementó correctamente y se podía añadir cualquier plugin del repositorio de WordPress.

Al poder instalar cualquier plugin, aunque no tuviera nada que ver con los desarrolladores del plugin Simple 301 Redirects, un atacante podía instalar un plugin con alguna vulnerabilidad conocida y explotarla en el nuevo sitio.

 

Actualizar Simple 301 Redirects para Estar a Salvo

La solución para estar a salvo es muy sencilla, solo tienes que actualizar el plugin.

Es posible que si ya tienes configuradas las actualizaciones automáticas en los plugins de WordPress, ya se haya actualizado.

Pero visto el riesgo que corremos, parece una buena idea comprobar el estado del plugin y no dejarlo pasar.

Esto es muy sencillo, sólo tenemos que acceder al panel de control de nuestro WordPress y dirigirnos a Plugins > Plugins Instalados.

simple 301 redirects version plugin - WordPress

Aquí sólo tenemos que buscar el plugin entre el listado de plugins instalados que tienes y ver la versión que está instalada.

Si es la versión 2.0.4 o superior, todo está correcto. Si estás usando una versión anterior, deberás actualizarla cuanto antes.

 

Hosting WordPress con Detector de Malware

Si estás buscando un hosting para tu WordPress con un extra de seguridad, en Hostinet podemos ayudarte.

Todos los alojamientos web que ofrecemos para WordPress cuentan con un sistema de análisis de seguridad, que se encarga de revisar los archivos en busca de malware.

Si algún plugin desactualizado le abrió la puerta a algún atacante y este consiguió añadir algo de malware en tu WordPress, lo detectaremos y aislaremos.

Después de avisaremos para que puedas poner en marcha las acciones necesarias para volver a estar online lo antes posible.

Esto está incluido en todos los hosting WordPress que ofrecemos, incluidos los más económicos:

Hosting WordPress