Un fallo en WordPress pone en riesgo el posicionamiento de las webs

Si usted es propietario o administrador de un sitio creado con WordPress y utiliza el plugin All in One SEO Pack para gestionar el posicionamiento web, debería seguir leyendo. Una vulnerabilidad descubierta ayer permite inyectar código malicioso en las páginas que lo usan y hundirlas en los resultados de búsqueda.

Este peligroso fallo de seguridad, que ya ha sido parcheado, afecta a los sitios que ejecutan versiones anteriores a la 2.1.6 de All in One SEO Pack, un plugin que ha sido descargado cerca de 19 millones de veces. Según The Register, el agujero facilita a los hackers lanzar una escalada de ataques cross-site scripting en contra de los sitios y alterar los privilegios.

Así, un usuario conectado, sin poseer ningún tipo de privilegios administrativos, podría añadir o modificar algunos parámetros utilizados por el plugin, incluyendo el título SEO de la entrada, descripción, etiquetas meta y palabras clave. También podría modificar la contraseña de acceso del administrador y, desde esa posición privilegiada, abrir una puerta trasera de acceso al sitio web con el fin de llevar a cabo más actividades maliciosas posteriormente.

En este sentido, hay que recordar que en marzo, la empresa de seguridad Netcraft detectó 12.000 ataques de phishing lanzados desde blogs creados con WordPress y hackeados para lanzar estos ataques.

El desarrollador y analista de seguridad de Securi, Marc-Alexandre Montpas, que descubrió el fallo, instó a los usuarios a actualizar su versión del plugin. “Si su sitio tiene suscriptores, autores y usuarios que no sean administradores con acceso al wp -admin, o si usted tiene registro abierto, está en riesgo”, advirtió Montpas.