Una vulnerabilidad en el plugin InfiniteWP Client permite entrar a WordPress sin contraseña

Sí, como lo estás leyendo. No es la primera vez (ni será la última) que se detecta una vulnerabilidad que puede poner en riesgo la seguridad de tu web o de tu negocio. En este caso, el afectado es el plugin InfiniteWP Client de WordPress, así que si lo estás utilizando en tu web, deberías ponerle remedio desde ya.

Como sabes, WordPress es el CMS más utilizado en la creación de páginas web. Concretamente, el 60,6% de webs que utilizan algún CMS están hechas en WordPress. Esto lo convierte en un objetivo muy apetitoso para los hackers, especialmente si se detecta una vulnerabilidad como la de InfiniteWP Client, ya que no tardan en aprovecharla y colarse en cualquier web para hacer de las suyas.

Se trata de un plugin muy popular y utilizado del repositorio de WordPress y se estima que esta vulnerabilidad afecta a más de 300.000 sitios web.

Pero, ¿en qué consiste la vulnerabilidad de InfiniteWP Client?

En informática, hablamos de vulnerabilidad para referirnos a puntos débiles o errores que comprometen la seguridad, privacidad o confidencialidad de un sistema. Estos agujeros de seguridad se deben principalmente a errores de diseño o desarrollo y suelen ser aprovechadas por los hackers para explotarlas con intenciones cuestionables.

No existe un software perfecto, todos son susceptibles de presentar vulnerabilidades. De hecho, hay algunas que fueron muy sonadas por el riesgo que suponían:

• Vulnerabilidad en Contact Form Style, que incluso llegaron a retirar temporalmente el plugin del repositorio.
• Vulnerabilidad en Contact Form 7, permitiendo la subida de archivos a cualquier página.
• Vulnerabilidad en Easy SMTP de WordPress, donde cualquier usuario podía tomar el control de la web.
• Vulnerabilidad en ThemeGrill Demo Importer, que permitía entrar al backend como administrador.
• Vulnerabilidad en wpDiscuz, que dejaba ejecutar código de forma remota.

En esta ocasión le ha tocado al plugin InfiniteWP Client. Se trata de una vulnerabilidad crítica que permite que cualquier usuario acceda al panel de administración de WordPress sin necesidad de autenticación. Tan solo con el nombre de usuario es necesario para tomar el control de la aplicación.

¿Cuándo se detectó esta vulnerabilidad?

Esta vulnerabilidad fue detectada y reportada al desarrollador del plugin el pasado día 7 de enero. Al día siguiente, el desarrollador liberó una nueva versión, InfiniteWP Client 1.9.4.5 corrigiendo el agujero de seguridad. Y, durante el día de ayer, se hizo público oficialmente.

Importante: Además de la vulnerabilidad de InfiniteWP Client, al mismo tiempo también se detectó y se reportó un agujero de seguridad en el plugin WP Time Capsule que ha sido parcheado rápidamente con la liberación de la versión 1.21.16.

¿Y qué tengo que hacer si mi web está afectada?

Lo primero de todo, asegúrate de que tienes instalado el plugin InfiniteWP Client y revisa la versión que estás utilizando. Recuerda que esta vulnerabilidad afecta a cualquier web que utilice una versión igual o anterior a 1.9.4.4.

Si es tu caso y tienes instalado en tu web este complemento, no pierdas más el tiempo y actualiza a la versión de seguridad 1.9.4.5 lo antes posible. Recuerda que puedes actualizar tus plugins fácilmente desde el panel de administración de WordPress.

Además, si utilizas Wordfence, es importante que sepas que también han lanzado una actualización de seguridad que incluye protección contra la vulnerabilidad de Infinite WP Client. Así que, si lo tienes en tu web, actualiza también a la última versión.

No expongas tu web

Como acabas de ver, el uso de un plugin puede echar por la borda el trabajo de muchos años, pero… ¿Y qué hago entonces? ¿No utilizo plugins?

Para nada. Los plugins son básicos para el funcionamiento de muchas webs y no tienen nada de malo si sigues algunas recomendaciones básicas de seguridad.

• Backups siempre. Las copias de seguridad de tu página web son tu seguro de vida (o casi 😛 ). En LucusHost utilizamos Premium Backup para que puedas tenerlas siempre a mano o realizar cualquier restauración  en caso de que lo necesites en solo un par de clics. Así, ante cualquier imprevisto, estás cubierto.
• Utilizar un buen software de seguridad. Todos nuestros planes incluyen Imunify360, una suite de seguridad completa que realiza escaneos diarios, desinfecta malware, incluye sistemas de CAPTCHA, KernelCare, gestión de reputación y sistemas de detección de intrusiones (IDS/IPS), protegiendo tu web ante cualquier posible amenaza.
• Mantener todo actualizado. Las nuevas versiones del core de WordPress, plugins y plantillas no solo traen mejoras, sino que corrigen brechas de seguridad que podrían poner tu web en peligro.

Siguiendo estas tres pautas, podrás minimizar riesgos y asegurarte de que tu web esté protegida frente a vulnerabilidades críticas como la detectada en InfiniteWP Client, o cualquier otra que pueda surgir en el futuro.

Y recuerda: si tienes tu Hosting WordPress con LucusHost y quieres que revisemos tu web o asegurarte de que todo está en orden,no dudes en contactar con nosotros. Estaremos encantados de echarte una mano 🙂