Una vulnerabilidad en el plugin InfiniteWP Client permite entrar a WordPress sin contraseña

Sí, como lo estás leyendo. No es la primera vez (ni será la última) que se detecta una vulnerabilidad que puede poner en riesgo la seguridad de tu web o de tu negocio. En este caso, el afectado es el plugin InfiniteWP Client de WordPress, así que si lo estás utilizando en tu web, deberías ponerle remedio desde ya.

Como sabes, WordPress es el CMS más utilizado en la creación de páginas web. Concretamente, el 62,3% de webs que utilizan algún CMS están hechas en WordPress. Esto lo convierte en un objetivo muy apetitoso para los hackers, especialmente si se detecta una vulnerabilidad como la de InfiniteWP Client, ya que no tardan en aprovecharla y colarse en cualquier web para hacer de las suyas.

Se trata de un plugin muy popular y utilizado del repositorio de WordPress y se estima que esta vulnerabilidad afecta a más de 300.000 sitios web.

Pero, ¿en qué consiste la vulnerabilidad de InfiniteWP Client?

En informática, hablamos de vulnerabilidad para referirnos a puntos débiles o errores que comprometen la seguridad, privacidad o confidencialidad de un sistema. Estos agujeros de seguridad se deben principalmente a errores de diseño o desarrollo y suelen ser aprovechadas por los hackers para explotarlas con intenciones cuestionables.

No existe un software perfecto, todos son susceptibles de presentar vulnerabilidades. En esta ocasión le ha tocado al plugin InfiniteWP Client. Se trata de una vulnerabilidad crítica que permite que cualquier usuario acceda al panel de administración de WordPress sin necesidad de autenticación. Tan solo con el nombre de usuario es necesario para tomar el control de la aplicación.

¿Cuándo se detectó esta vulnerabilidad?

Esta vulnerabilidad fue detectada y reportada al desarrollador del plugin el pasado día 7 de enero. Al día siguiente, el desarrollador liberó una nueva versión, InfiniteWP Client 1.9.4.5 corrigiendo el agujero de seguridad. Y, durante el día de ayer, se hizo público oficialmente.

Importante: Además de la vulnerabilidad de InfiniteWP Client, al mismo tiempo también se detectó y se reportó un agujero de seguridad en el plugin WP Time Capsule que ha sido parcheado rápidamente con la liberación de la versión 1.21.16.

¿Y qué tengo que hacer si mi web está afectada?

Lo primero de todo, asegúrate de que tienes instalado el plugin InfiniteWP Client y revisa la versión que estás utilizando. Recuerda que esta vulnerabilidad afecta a cualquier web que utilice una versión igual o anterior a 1.9.4.4.

Si es tu caso y tienes instalado en tu web este complemento, no pierdas más el tiempo y actualiza a la versión de seguridad 1.9.4.5 lo antes posible. Recuerda que puedes actualizar tus plugins fácilmente desde el panel de administración de WordPress.

Además, si utilizas el plugin de seguridad de WordPress, Wordfence, es importante que sepas que también han lanzado una actualización de seguridad que incluye protección contra la vulnerabilidad de Infinite WP Client. Así que, si lo tienes en tu web, actualiza también a la última versión.

¿Tienes dudas?

Si tienes alguna duda relacionada con la seguridad de tu web, no dudes en contactar con nuestro equipo de expertos. Estamos disponibles 24/7 a través de email, ticket o llamando al 982 989 112. ¡Estaremos encantados de ayudarte! 🙂