TECNOLOGíA, INTERNET, JUEGOS
230 meneos
1848 clics
Encontrada puerta trasera en un plugin de Wordpress que tiene más de 200.000 instalaciones [ENG]

Encontrada puerta trasera en un plugin de Wordpress que tiene más de 200.000 instalaciones [ENG]

Durante los últimos dos meses y medio, un plugin de WordPress llamado Display Widgets ha sido usado para instalar una puerta trasera en sitios de WordPress a través de Internet. El código de puerta trasera se encontró entre la versión 2.6.1 de Display Widgets (liberado el 30 de junio) y la versión 2.6.3 (liberado el 2 de septiembre). Stephanie Wells de Strategy11 desarrolló el plugin, pero después de cambiar su enfoque a una versión premium del plugin, decidió vender la versión de código abierto a un nuevo desarrollador.

| etiquetas: wordpress , plugin , puerta trasera , display widgets
99 131 1 K 270
99 131 1 K 270
La historia que cuenta el artículo es tremenda, hasta cuatro veces intentaron volver a colar el plugin modificado para coger datos y tener acceso ilimitado para publicar en sitios que tengan el plugin.; pero lo más interesante viene en el último párrafo, más concretamente en el enlace en el que investigan a la persona que está detrás de esas manipulaciones, un estafador inglés llamado Mason Soiza: www.wordfence.com/blog/2017/09/man-behind-plugin-spam-mason-soiza/
Por cierto, el tal Soiza parece que tiene otros intereses mundanos: Visitas al circuito de Mónaco, Ferraris :ferrari: , timbas, prostitutas, ...
una puerta trasera enorme, imagino que habrán necesitado mucha cibervaselina para meterle 200.000 instalaciones por ahí
Wordpress es el mayor foco de infecciones a día de hoy en el mundo web. La gente instala wordpress por la facilidad, pero luego no se preocupa de actualizarlo, ni tampoco sus plugins. Solo hay que ver los logs del apache/nginx de cualquier wordpress para ver la cantidad de ataques buscando vulnerabilidades conocidas que recibe un wordpress a lo largo del día.
#3 También es prácticamente el CMS más utilizado del mundo por lo que naturalmente es un centro de ataques constante. Lo que también es cierto es que se está trabajando activamente en su seguridad y, a mi humilde parecer, viene mejorando considerablemente.
#6 si, está claro que es el más usado y eso es por lo que se centran en el (igual que windows), pero tambien te digo que he visto cientos de wordpresses abandonados durante meses (el programador/maquetador entrega el wordpress al cliente y se olvida) y petados de virus/trollanos/backdoors/...

Otra de las razones es que los "admins" de wordpress se dedican a instalar plugins que quedan luego sin mantenimiento, y de ahí también vienen cantidad de problemas
#9 Normalmente el programador, cuando entrega el site, le ofrece al cliente la posibilidad de llevar el mantenimiento. Pero muchos por ahorrarse cuatro euros prefieren dejar la web sin mantener.
#3 No obstante, la mayoría explota plugins desarrollados como el culo.
dios los cria y ellos lo instalan
El codigo libre esta muy bien, mientras haya quien lo revise, porque sino puede ser tan o mas perjudicial que el propietario.
#5 difícil es que no se revise código utilizado tan masivamente. De todos modos yo siempre me fiaré mucho más de quien publica el código que de quien no.
#5 Es mejor el codigo de apple, que ya se encarga la CIA de revisarlo...{wall}
Pues pensaba que lo tenía instalado en mi blog... ¡Menudo susto! Tengo otro parecido que se llama Widget Logic. Lo voy a poner en cuarentena por si acaso.
El código de puerta trasera se encontró entre la versión 2.6.1 de Display Widgets y la versión 2.6.3

2.6.2

:-D
El paquete que le tengo a WP por mierdas así es poco {0x1f602}
Las apps y plugin deberian de dejar de upgradearse automaticamente cuando cambian de dueño y mostrar otro tipo de advertencia.
En los markets y repositorios de apps y plugins deberian tener ese tipo de control adicional.

Y aparte mostrar por ejemplo en los cambios incluidos en los permisos (cuando en las apps cambian los permisos), el cambio del dueño de la compañia.

Con apps para moviles está ocurriendo con muchas apps algo similar a esto de wordpress.
A mi todo lo freemium me tira para atrás, intento usar cosas probadas de código abierto y que no tengan versión de pago.
#16 Freemium? A qué te refieres? WordPress es GPL. codex.wordpress.org/es:License
#21 Freemium (en software) es un programa gratuito con funcionalidades limitadas y si quieres más (normalmente las funcionalidades interesantes) tienes que pasar por caja o ir a la farmacia. De por sí es un buen modelo de negocio, pero pienso que la gente lo está prostituyendo demasiado, llenando de basura los plugins de wordpress o la play store de android por poner un ejemplo. No me refiería a Wordpress, sino a los plugins.

Desde hace tiempo intento usar solo software libre, en Android…   » ver todo el comentario
Tengo muchas dudas al respecto, si me pudieran ayudar a resolverlas por favor.

1) Desde una perspectiva general qué implicaciones tiene el crear "puertas traseras" o para qué lo hacen quienes lo hacen.

2) ¿Esto afecta a los usuarios que visitan una página de Wordpress con este problema? ¿Cómo?

3) ¿Esto afecta a los que tienen cuentas en Wordpress? ¿Cómo?

4) ¿Además de actualizar plugins y versiones de Wordpress cómo se puede mejorar en prevención de éste u otros problemas?

Agradecería mucho si responden, aunque no sea a todas mis dudas.
#17

1. Una puerta trasera es una forma de entrar en tu sistema y/o ganar privilegios para poder hacer cosas, por lo visto en esta situación lo que querían era crear noticias o meter "cosas" en los widget de las páginas instaladas (Seguramente algo relacionado con pagos por publicidad o algo así, entonces como son 200.000 instalaciones pueden cobrar bien).

A rasgos simples, imaginate que tu instalas una mosquitera, los agujeros tienen que ser pequeños para que pase el aire pero no…   » ver todo el comentario
#19 ¡Muchas gracias! Voy a seguir tus consejos.

Sólo una cosa más sólo porque me causó curiosidad lo que dices en la respuesta 3). ¿Hay precauciones especiales que deba considerar si también utilizo 000webhost para practicar lo que voy aprendiendo en cuestiones de diseño web?
Lo utilizo para eso, pero siempre he tenido duda de qué tan seguro es. O cómo evitar que sea riesgoso.
Es imposible controlar todos los plugins de WordPress. Por eso es que estar muy pendiente. Gracias por compartir. Un saludo.
comentarios cerrados

menéame