EDICIóN GENERAL
230 meneos
1848 clics
Encontrada puerta trasera en un plugin de Wordpress que tiene más de 200.000 instalaciones [ENG]

Encontrada puerta trasera en un plugin de Wordpress que tiene más de 200.000 instalaciones [ENG]

Durante los últimos dos meses y medio, un plugin de WordPress llamado Display Widgets ha sido usado para instalar una puerta trasera en sitios de WordPress a través de Internet. El código de puerta trasera se encontró entre la versión 2.6.1 de Display Widgets (liberado el 30 de junio) y la versión 2.6.3 (liberado el 2 de septiembre). Stephanie Wells de Strategy11 desarrolló el plugin, pero después de cambiar su enfoque a una versión premium del plugin, decidió vender la versión de código abierto a un nuevo desarrollador.

| etiquetas: wordpress , plugin , puerta trasera , display widgets
  1. La historia que cuenta el artículo es tremenda, hasta cuatro veces intentaron volver a colar el plugin modificado para coger datos y tener acceso ilimitado para publicar en sitios que tengan el plugin.; pero lo más interesante viene en el último párrafo, más concretamente en el enlace en el que investigan a la persona que está detrás de esas manipulaciones, un estafador inglés llamado Mason Soiza: www.wordfence.com/blog/2017/09/man-behind-plugin-spam-mason-soiza/
    Por cierto, el tal Soiza parece que tiene otros intereses mundanos: Visitas al circuito de Mónaco, Ferraris :ferrari: , timbas, prostitutas, ...
  2. Wordpress es el mayor foco de infecciones a día de hoy en el mundo web. La gente instala wordpress por la facilidad, pero luego no se preocupa de actualizarlo, ni tampoco sus plugins. Solo hay que ver los logs del apache/nginx de cualquier wordpress para ver la cantidad de ataques buscando vulnerabilidades conocidas que recibe un wordpress a lo largo del día.
  3. #3 También es prácticamente el CMS más utilizado del mundo por lo que naturalmente es un centro de ataques constante. Lo que también es cierto es que se está trabajando activamente en su seguridad y, a mi humilde parecer, viene mejorando considerablemente.
  4. una puerta trasera enorme, imagino que habrán necesitado mucha cibervaselina para meterle 200.000 instalaciones por ahí
  5. dios los cria y ellos lo instalan
  6. Las apps y plugin deberian de dejar de upgradearse automaticamente cuando cambian de dueño y mostrar otro tipo de advertencia.
    En los markets y repositorios de apps y plugins deberian tener ese tipo de control adicional.

    Y aparte mostrar por ejemplo en los cambios incluidos en los permisos (cuando en las apps cambian los permisos), el cambio del dueño de la compañia.

    Con apps para moviles está ocurriendo con muchas apps algo similar a esto de wordpress.
  7. #17

    1. Una puerta trasera es una forma de entrar en tu sistema y/o ganar privilegios para poder hacer cosas, por lo visto en esta situación lo que querían era crear noticias o meter "cosas" en los widget de las páginas instaladas (Seguramente algo relacionado con pagos por publicidad o algo así, entonces como son 200.000 instalaciones pueden cobrar bien).

    A rasgos simples, imaginate que tu instalas una mosquitera, los agujeros tienen que ser pequeños para que pase el aire pero no el mosquito, ahora imaginate que si mojas la mosquitera, se dilatan los agujeros y cabe no una mosca, sino una abeja. En este caso el "agua" sería el codigo para abrir la puerta trasera y entrar a tu habitación.

    2. Afecta en según que medida, a ti como visitor no deberia afectarte tu seguridad pero claro, si consideramos que estarias viendo contenido que no deberias ver, te afecta indirectamente.

    3. No, tu cuenta de wordpress.com está gestionada por wordpress, otra cosa es que tu cuenta esté en una página web con la puerta trasera y puedan obtener tus credenciales.

    4. Mantener siempre actualizado todo, seguir foros de seguridad y poco más, no puedes saber si alguien vende su plugin y el nuevo te mete una puerta trasera, por eso siempre hay gente que analiza todos los plugin.
  8. #9 Normalmente el programador, cuando entrega el site, le ofrece al cliente la posibilidad de llevar el mantenimiento. Pero muchos por ahorrarse cuatro euros prefieren dejar la web sin mantener.
  9. El código de puerta trasera se encontró entre la versión 2.6.1 de Display Widgets y la versión 2.6.3

    2.6.2

    :-D
  10. A mi todo lo freemium me tira para atrás, intento usar cosas probadas de código abierto y que no tengan versión de pago.
  11. #5 difícil es que no se revise código utilizado tan masivamente. De todos modos yo siempre me fiaré mucho más de quien publica el código que de quien no.
  12. #3 No obstante, la mayoría explota plugins desarrollados como el culo.
  13. Tengo muchas dudas al respecto, si me pudieran ayudar a resolverlas por favor.

    1) Desde una perspectiva general qué implicaciones tiene el crear "puertas traseras" o para qué lo hacen quienes lo hacen.

    2) ¿Esto afecta a los usuarios que visitan una página de Wordpress con este problema? ¿Cómo?

    3) ¿Esto afecta a los que tienen cuentas en Wordpress? ¿Cómo?

    4) ¿Además de actualizar plugins y versiones de Wordpress cómo se puede mejorar en prevención de éste u otros problemas?

    Agradecería mucho si responden, aunque no sea a todas mis dudas.
  14. #19 ¡Muchas gracias! Voy a seguir tus consejos.

    Sólo una cosa más sólo porque me causó curiosidad lo que dices en la respuesta 3). ¿Hay precauciones especiales que deba considerar si también utilizo 000webhost para practicar lo que voy aprendiendo en cuestiones de diseño web?
    Lo utilizo para eso, pero siempre he tenido duda de qué tan seguro es. O cómo evitar que sea riesgoso.
  15. Pues pensaba que lo tenía instalado en mi blog... ¡Menudo susto! Tengo otro parecido que se llama Widget Logic. Lo voy a poner en cuarentena por si acaso.
  16. El codigo libre esta muy bien, mientras haya quien lo revise, porque sino puede ser tan o mas perjudicial que el propietario.
  17. #6 si, está claro que es el más usado y eso es por lo que se centran en el (igual que windows), pero tambien te digo que he visto cientos de wordpresses abandonados durante meses (el programador/maquetador entrega el wordpress al cliente y se olvida) y petados de virus/trollanos/backdoors/...

    Otra de las razones es que los "admins" de wordpress se dedican a instalar plugins que quedan luego sin mantenimiento, y de ahí también vienen cantidad de problemas
  18. El paquete que le tengo a WP por mierdas así es poco {0x1f602}
  19. #5 Es mejor el codigo de apple, que ya se encarga la CIA de revisarlo...{wall}
  20. #16 Freemium? A qué te refieres? WordPress es GPL. codex.wordpress.org/es:License
  21. #21 Freemium (en software) es un programa gratuito con funcionalidades limitadas y si quieres más (normalmente las funcionalidades interesantes) tienes que pasar por caja o ir a la farmacia. De por sí es un buen modelo de negocio, pero pienso que la gente lo está prostituyendo demasiado, llenando de basura los plugins de wordpress o la play store de android por poner un ejemplo. No me refiería a Wordpress, sino a los plugins.

    Desde hace tiempo intento usar solo software libre, en Android mediante F-droid y sino queda más remedio Yalp Store. Y en Windows con Portableapps y Liberkey. Son programas hechos por la comunidad para la comunidad, los freemium son hechos con la finalidad de la pasta y muchas veces aplicando el "fin justifica los medios", son como los clickbait del software.
    No se si era el caso del plugin de la noticia puesto que no lo conocía, pero cuando busco alguno y veo que tiene bastante instalaciones y es versión freemium intento buscar otro que no la tenga, ya que tengo más confianza en ese desarrollador que en el primero, no porque quiera ganarse un dinero lógicamente, pero son tantos programas freemium instalados y desinstalados inmediatamente que prefiero ir directamente a lo "seguro".
  22. Es imposible controlar todos los plugins de WordPress. Por eso es que estar muy pendiente. Gracias por compartir. Un saludo.
comentarios cerrados

menéame