WordPress es hoy en día uno de los gestores de páginas web más famosos y utilizados. Esto hace que cuente con un gran abanico de posibilidades y muchas herramientas que podemos usar. Sin embargo también puede ser objetivo de los piratas informáticos para llevar a cabo sus ataques. Esto especialmente puede ocurrir si se detectan vulnerabilidades. En este artículo nos hacemos eco de un importante fallo de seguridad que permite que cualquiera acceda a un sitio WordPress sin necesidad de tener la contraseña de administrador.
Una vulnerabilidad permite entrar en WordPress sin contraseña
En ocasiones surgen vulnerabilidades que pueden afectar a la seguridad de nuestras cuentas y servicios. Hoy parece que el afectado es WordPress. Un posible atacante podría entrar en una página que utilice este gestor sin la necesidad de conocer la contraseña de administrador. Un problema que poner en riesgo la seguridad de ese sitio.
Se trata de una vulnerabilidad crítica que afecta a los usuarios que ejecutan una versión de InfiniteWP Client que se ha visto afectada por este fallo. Esto permite la omisión de autenticación y la entrada de cualquier intruso debido a errores en el código.
Hay que tener en cuenta que InfiniteWP Client es un complemento muy utilizado. En la actualidad se calcula que está instalado en más de 300.000 sitios. Esto hace que sean muchas las páginas que pueden ser vulnerables a este problema.
Este complemento permite a los usuarios administrar una cantidad sin límites de sitios de WordPress desde un mismo lugar. Permite actualizar o instalar complementos fácilmente en todas partes.
Muchos sitios todavía sin parchear
Como suele ocurrir cuando aparecen vulnerabilidades de este tipo, los propios desarrolladores han lanzado parches para corregirlas. Este grave fallo de seguridad que permite a un intruso acceder a WordPress sin la contraseña del administrador afecta a la versión de InfiniteWP Client 1.9.4.5.
Poco después de conocer la presencia de esta vulnerabilidad lanzaron una actualización para corregirlo. El problema es que todavía hay muchos usuarios que utilizan este complemento que no han actualizado a la nueva versión. Al tiempo de escribir este artículo se calcula que hay más de 130.000 usuarios que mantienen la versión vulnerable.
Los investigadores de seguridad indican que un atacante únicamente necesitaría saber el nombre de usuario para entrar. Una vez se envíe la solicitud podría entrar de forma automática sin que le pidan la contraseña.
Este problema lo encontraron en la función iwp_mmb_set_request que se encuentra en el archivo init.php, una función diseñada para verificar si las acciones intentadas por un usuario están autenticadas.
Desde RedesZone recomendamos a los administradores que todavía usen la versión 1.9.4.4 o anterior d InfiniteWP que actualicen sus instalaciones lo antes posible para evitar que sus sitios web se vean comprometidos. Esto es algo que debemos aplicar siempre en todo tipo de software o complementos que tengamos instalados. En muchas ocasiones pueden surgir vulnerabilidades que son aprovechadas por los piratas informáticos para llevar a cabo sus ataques y es necesario tener las últimas versiones instaladas y evitar así problemas.