Una vulnerabilidad presente en un ‘plugin’ de WordPress ha puesto en riesgo millones de sitios web creados con esta plataforma, según ha informado la empresa de ciberseguridad Wordfence. Esta vulnerabilidad permite a un actor malicioso acceder como administrador y tomar el control del sitio con todos los privilegios.
¿Qué es WordPress y los plugins?
WordPress es un sistema de gestión de contenidos (CMS) utilizado para la creación de páginas web. Es el CMS más utilizado en todo el mundo y se estima que el 40% de todos los sitios web de Internet están construidos con WordPress. Los plugins son programas que se pueden instalar en WordPress para añadir nuevas funcionalidades al sitio web.
¿Cuál es el ‘plugin’ vulnerable?
El ‘plugin’ vulnerable es llamado «File Manager» y es utilizado por más de 700.000 sitios web en todo el mundo. Este plugin permite a los usuarios subir y gestionar archivos en el sitio web.
¿Cómo funciona la vulnerabilidad?
La vulnerabilidad en el ‘plugin’ permite a un atacante enviar una solicitud maliciosa al servidor web, permitiendo la ejecución remota de código. Esto significa que un atacante puede tomar el control del sitio web y hacer cualquier cosa que desee, incluyendo la instalación de malware, la eliminación de archivos importantes, la modificación del contenido del sitio web, entre otras cosas.
¿Qué deben hacer los usuarios de WordPress?
A causa de esto, los usuarios de WordPress deben actualizar inmediatamente el ‘plugin’ File Manager a la última versión disponible (versión 6.9). Además, se recomienda a los usuarios revisar los registros de actividad en su sitio web para detectar cualquier actividad sospechosa. Si se encuentra algún indicio de un ataque, se debe contactar con un experto en ciberseguridad para obtener ayuda.
¿Qué acciones ha tomado WordPress?
Los desarrolladores de WordPress han eliminado el ‘plugin’ vulnerable de su repositorio oficial. Además, han enviado una notificación a todos los usuarios que tienen el ‘plugin’ instalado en sus sitios web, instándoles a actualizar inmediatamente a la última versión disponible.