Portada Wordpress Vulnerabilidad Detectada en el Plugin Ad Inserter – WordPress
Una vez más, a un plugin de WordPress se le ha detectado una vulnerabilidad y si eres uno de los usan este plugin, deberás actualizarlo lo antes posible.
El plugin es Ad Inserter y está siendo usado en más de 200 mil instalaciones de WordPress, por lo que se trata de un plugin muy activo.
En el momento de escribir este artículo, el desarrollador ya ha lanzado un parche, por lo que si lo tienes instalado, debes comprobar que la versión sea la 2.4.22 o superior.
Cualquier otra versión anterior, puede poner en alto riesgo tu WordPress, por lo que no dejes de revisarlo lo antes posible.
IMPORTANTE: Si usas el plugin «Ad Inserter» comprueba que tienes instalada la versión 2.4.22 o superior. Las versiones anteriores son vulnerables.
El problema detectado en el plugin Ad Inserter, permitia a usuario con el roll de suscriptor, que es el que menos privilegios tiene en WordPress, ejecutar código PHP en el WordPress que haga uso del plugin Ad Inserter.
Además de los suscriptores, otros usuarios con más permisos, como autores y editores, también podían aprovechar esta vulnerabilidad.
El plugin Ad Inserter ayuda a los usuarios a gestionar los anuncios en su sitio web.
Cuando trabajas con Google AdSense, Ad Manager, Amazon, etc… sabrás que poner sus anuncios en tu web no es tan fácil como puede parecer en un principio.
Solo te dan códigos que debes añadir en las partes de tu web en las que quieras que se muestren los anuncios y si no tienen mucha experiencia, puede ser algo intimidante.
Plugins como Ad Inserter, ayudan al usuario a gestionar los anuncios y también ofrece una «vista previa» para que el administrador del sitio pueda verificar que todos los bloques de anuncios se ven correctamente antes de publicarlos.
Por lo visto, un error en el código hacía que un atacante pudiera explotar la función de vista previa de los anuncios y aprovechar para enviar contenido malicioso al sitio web, como hemos dicho, con un nivel de suscriptor sería suficiente para realizar esta acción.
Por este motivo, es muy importante actualizar el plugin lo antes posible a la versión 2.4.22 o superior.
Si quieres obtener más información técnica de cómo actúa la vulnerabilidad, puedes verlo en el blog de Wordfence haciendo click aquí, aunque está en inglés.
En esta ocasión, el equipo que descubrió la vulnerabilidad (Threat Intelligence en el plugin Ad Inserter ), avisó al desarrollador antes de hacerlo público.
El desarrollador tuvo tiempo de solucionarlo y lanzar un parche (versión 2.4.22) antes de que el problema saliera a la luz,el pasado día 13 de julio.
Esta es una actuación correcta, nada que ver con las última vulnerabilidades que hemos visto en :
En estos otros casos, el investigador que descubrió las vulnerabilidades, no actuó de buena fe y las expuso sin avisar antes al desarrollador del plugin.
Esto provocó una avalancha de sitios hackeados y los administradores tuvieron que esforzarse para que sus sitios volvieran a la normalidad.
Como este no ha sido el caso y la vulnerabilidad no se ha hecho pública hasta que el parche ha sido lanzado, así que no debería de haber ningún problema… a nos ser que no se actualice el plugin.
Es decir, todo esto no sirve de nada si no actualizas el plugin. Ahora la vulnerabilidad ya ha salido a la luz y los atacantes pueden aprovecharla, pero si actualizas el plugin serás vulnerable.
Por si no ha quedado lo suficientemente claro…. ¡¡ACTUALIZA!!
En Hostinet la seguridad es algo prioritario y nos la tomamos muy en serio.
A veces obligamos a los clientes a cambiar sus contraseña de email o de acceso a cPanel y no es algo que les guste mucho, pero en el fondo saben que lo hacemos por su bien 🙂
Por nuestra parte, escanemos todos los servidores en busca de malware. Si tiene un WordPress y alguien consigue inyectar código malicioso en tu web, lo detectaremos.
Al detectarlo, nuestro sistema se encarga de aislar los archivos infectados, para que no te causen más problemas y después te avisaremos para que puedas recuperar el sitio web lo antes posible.
Además, con nuestra gama de hosting WordPress, disfrutarás de ventajas como disponer un soporte técnico especializado en WordPress, hosting SSD, para que tu WordPress sea super rápido, certificados SSL de Let’s Encrypt gratuitos y un montón de cosas más: