Portada Wordpress WP Maintenance para WordPress – Vulnerabilidad Detectada
Se ha detectado una vulnerabilidad importante en el plugin Wp Maintenance, que debes atender si tienes este plugin instalado en cualquier instalación de WordPress.
Las versiones anteriores a la versión 5.0.6 son vulnerables, por lo que deberás comprobar que tienes la versión del plugin WP Maintenance correcta, para evitar tener problemas en tu web o incluso ocasionarlos a los usuarios que utilizan accedan a la web.
Si usas el plugin WP Maintenance en WordPress, asegúrate que está actualizado a la versión 5.0.6.
Seguramente te habrás encontrado alguna vez con alguna web que esta en el llamado «Modo de Mantenimiento». Algo parecido a esto:
El modo de mantenimiento se activa cuando se están realizando cambios en un sitio web en producción, una actualización, cambios en el diseño, cambiar el precio de los productos, etc…
En WordPress no existe una manera nativa de activar un modo de mantenimiento, así que esto se puede suplir con plugins y WP Maintenance es uno de ellos.
Este plugin en concreto es muy personalizable, puedes elegir el texto que quieres añadir, con el tipo de letra, colores, etc…
Puedes mostrar una imagen, tanto de logotipo como de fondo, añadir un slider, una cuenta atrás, enlaces hacia tus redes sociales, evitar e modo de mantenimiento a según que roles de usuario o direcciones IP o incluso añadir un formulario de contacto para avisar a los usuarios que añadan su email de cuándo ha terminado el modo de mantenimiento del sitio.
La verdad es que es de los plugins más personalizables para activar el modo de mantenimiento en WordPress, pero todas estas características de personalización y un fallo en la programación del plugin, han permitido que sea vulnerable en todos sus aspectos.
Pues prácticamente un atacante podía hacer de todo a través de la vulnerabilidad detectada en el plugin WP Maintenance.
Estas vulnerabilidades permitían al atacante realizar acciones CSRF, que viene del inglés, «Cross-site request forgery», que explicado de forma rápida, es una forma de engañar al visitante de una web para que su navegador ejecute peticiones no deseadas.
Por ejemplo, realizar un cambio de contraseña o solicitar información confidencial, pero si eres el administrador de la web, el atacante puede hacerse con el control de la misma.
El modo de mantenimiento no tenía que estar activo para que la vulnerabilidad fuera aprovechable por un atacante, pero una vez con el control del sitio, podía activarlo si quisiera.
Además, podía añadir código malicioso en la página de mantenimiento o en el newsletter para que se ejecutara por el navegador de cualquier visitante para infectarlo.
Y por supuesto, podía redirigir el tráfico hacia otra URL con contenido malicioso, así que se trata de una vulnerabilidad importante.
Si quieres ver toda la información técnica de la vulnerabilidad, puedes verla en el blog de Wordfence haciendo click aquí, aunque en idioma inglés.
Al contratar un servicio de hosting WordPress en Hostinet, tienes acceso a muchas características que todo buen hosting tiene que ofrecerte.
Por ejemplo, un servicio de soporte técnico especializado en WordPress que te ayudará a resolver los problemas que puedas tener.
Además contarás con discos SSD y podrás emitir certificados SSL gratuitos para todos los dominios y subdominios que tengas alojados en el alojamiento para WordPress.
Pero además, nuestro sistema de anti-malware, escaneará tu hosting en busca de cualquier tipo de código malicioso que se haya podido colar en tu WordPress.
En caso de encontrar algún archivo infectado con malware, nuestro sistema de protección lo aislará y te avisará para que puedas tomar las medidas necesarias para mantener seguro tu WordPress.
Aquí tienes algunos alojamientos web preparados para WordPress que podemos ofrecerte: