El popular plugin de WordPress WP GDPR cuenta con un gran problema de seguridad que está siendo aprovechado hace varias semanas por hackers de todo el mundo, un problema que puede permitir que otras personas controlen nuestro sitio web.
Se trata de un plugin bastante famoso usado por mucha gente para ayudar a cumplir con la GDPR. Cuenta con más de 100.000 instalaciones, y muchas de ellas aún no han actualizado a la última versión, supuestamente segura, por lo que otras personas podrían instalar scripts de puerta trasera.
WP GDPR Compliance fue eliminado del directorio oficial de Plugins hace pocos días, y solo ha vuelto ahora, después de la versión 1.4.3, que contenía parches para los problemas informados, tal y como indican en zdnet.
Todos aquellos wordpress que tengan la versión 1.4.2 y anteriores pueden sufrir el siguiente escenario:
– Los hackers abren el sistema de registro de usuarios del sitio aprovechando error del plugin.
– Consiguen alterar la opción de nuevas cuentas por default como «administrador».
– Registran una nueva cuenta, que automáticamente se convierte en administrador. Esta nueva cuenta generalmente se llama «t2trollherten».
– Establecen la función de usuario predeterminada para las cuentas nuevas como «suscriptor».
– Deshabilitan el registro de usuarios públicos.
– Inician sesión en su nueva cuenta de administrador.
– Instalan una puerta trasera como un archivo llamado wp-cache.php.
– Este script de puerta trasera contiene un administrador de archivos, un emulador de terminal y otras funciones, lo que permite tener un control absoluto de la web.
En una segunda técnica más silenciosa, se agrega una nueva tarea a WP-Cron, el programador de tareas integrado de WordPress, tarea que descarga e instala el complemento Autocode de 2MB, que los atacantes luego usan para cargar otro script de puerta trasera en el sitio, también llamado wp-cache.php.
Si usáis este plugin, actualizadlo urgentemente.