WordPress está recibiendo medio millón de intentos de ataque diarios

Comparta esta publicación

Investigadores de seguridad han logrado descubrir una vulnerabilidad en una de las plataformas para gestión de contenidos más populares del mundo. Gracias a sus indagaciones, se sabe ahora por qué tu sitio en WordPress podría estar en riesgo de un ciberataque. La falla de seguridad detectada estaría en un complemento que permite a un atacante cargar archivos sin necesidad de autenticarse. Es por ello que más de millón y medio de sitios web están siendo rastreados por la ciberdelincuencia en busca de ese plugin. Pero ¿cuál es ese backdoor?

El plugin que vulnera la seguridad informática de estas páginas es Kaswara Modern  – WPBakery Page Builder, un plugin que asiste en el diseño de las páginas web. Este complemento es la perla más buscada por los atacantes pues quedó olvidado por su creador antes de que se surgiera el parche que soluciona la falla identificada como CVE-2021-24284.

El riesgo se resume en que este plugin no impide al atacante insertar JavaScript malicioso no autenticado. No importa cuál sea la versión del plugin, cualquier hacker puede tomar el control de la página, introduciendo o eliminando archivos. Defiant, el autor del sistema de seguridad Wordfence para WordPress, estima casi medio millón de tentativas de ataque dirigidas a esta plataforma. Por otro lado, de acuerdo con datos obtenidos en sus averiguaciones, las agresiones iniciaron en julio y han mantenido ese promedio diario.

De qué modo se realiza el ataque en WordPress

El método de ataque se realiza a través de una solicitud POST a «wp-admin/admin-ajax/php«, apoyándose en la función AJAX «uploadFontIcon» del plugin para ingresar una carga maliciosa. 

Este archivo, también  contiene el troyano NDSW, que introduce código en archivos JavaScript de los sitios destino. De esta forma, redirigen a los visitantes a espacios maliciosos. king_zip.zip, null.zip, inject.zip, plugin.zip y ‘***_young.zip son los nombres de algunos de los archivos maliciosos. 

Tienes que eliminar este plugin cuanto antes, porque de lo contrario tu sitio en WordPress podría seguir en riesgo de un ciberataque. Si deseas más información sobre cómo protegerte ante riesgos de ciberseguridad en tu empresa, te invitamos a leer nuestro artículo, en el que además te ofrecemos consejos. 

Para más información, puedes leer el artículo en Bleeping Computer (inglés).

Contáctanos.

El personal de SymbioLAB cuenta con múltiples certificaciones internacionales en Seguridad de la Información. Esta capacitación constante y alineación a estándares internacionales nos permite entregar resultados óptimos de accuerdo a su necesidad. 

Más para explorar