Un fallo de WordPress permitía restablecer/borrar sitios web vulnerables por medio de un plugin al que solo pueden acceder administradores
Una de las herramientas más útiles para la publicación en redes es, sin duda, WordPress. Gracias a ella, millones de medios pueden mantener informados a los usuarios con toda clase de noticias; entre ellas las de ciberseguridad. Al ser una herramienta que usan millones de usuarios en todo el mundo, WordPress necesita contar con todas las medidas de seguridad necesarias para evitar problemas. Problemas como, por ejemplo, los que acaban de descubrir y que están relacionados con el plugin Hashthemes Demo Importer. Al parecer, este plugin cuenta con una vulnerabilidad que permite a ciberatacantes autentificados restablecer y borrar sitios web vulnerables. Se trata de un fallo bastante grave, pues causaría que páginas peligrosas regresaran o, peor aún, que se borraran webs a las que se le han dedicado años de trabajo. Solo pensarlo hace temblar. Un fallo de WordPress permitía restablecer/borrar sitios web vulnerables.
Este plugin, por si alguno desconoce de su existencia, fue diseñado para facilitar la tarea a los administradores a la hora de importar demos de temas de WordPress. Todo ello sin necesidad de otros plugin, evitando así tener que instalar software adicional. La vulnerabilidad permitiría reiniciar los sitios de WordPress y borrar casi todo el contenido de la base de datos y los medios subidos. El encargado de descubrir este exploit ha sido, Ram Gall, ingeniero de control de calidad de Wordfence y analista de amenazas. Según ha explicado, el plugin Hashthemes Demo Importer no ejecutaba de forma correcta las comprobaciones nonce. Esto provocaba que el se filtrara el nonce de AJAX en el panel de administración de los sitios con potencial vulnerabilidad a todos los usuarios. Además, se filtraba a todos los usuarios, entre ellos los que tenían pocos privilegios como los suscriptores.
Una fallo encontrado hace más de dos meses
A pesar de la gravedad que presenta esta vulnerabilidad del plugin, los creadores de WordPress no dieron señales de vida tras el aviso de Wordfence durante un mes, Dicho fallo fue descubierto el pasado 25 de agosto y, tras un mes de silencio, el ingeniero de control se puso en contacto con el equipo de plugins el 20 de septiembre. Tras esta segunda intentona, el plugin fue eliminado por el equipo ese mismo día; cuatro días después regreso completamente parcheado. Si bien el fallo ha sido arreglado, parece que el desarrollador de Hashthemes Demo Importer no informó de la actualización en ningún sitio. Parece que el fallo, debido a su gravedad, ha sido tratado de puertas para dentro y no divulgado. Es posible que lo hayan hecho para no generar pánico entre los usuarios de la popular herramienta, ya que hablamos de millones a nivel mundial.