{"id":3603,"date":"2020-08-05T14:51:19","date_gmt":"2020-08-05T13:51:19","guid":{"rendered":"https:\/\/www.lucushost.com\/blog\/?p=3603"},"modified":"2025-10-24T12:43:59","modified_gmt":"2025-10-24T11:43:59","slug":"vulnerabilidad-wpdiscuz","status":"publish","type":"post","link":"https:\/\/www.lucushost.com\/blog\/vulnerabilidad-wpdiscuz\/","title":{"rendered":"Una vulnerabilidad en el plugin wpDiscuz permite ejecutar c\u00f3digo de forma remota"},"content":{"rendered":"

Recientemente, el equipo de Wordfence Threat Intelligence detect\u00f3 una vulnerabilidad cr\u00edtica en el plugin wpDiscuz<\/strong> que permite ejecutar c\u00f3digo de forma remota en una p\u00e1gina web o blog. Una vez reportado el error, el pasado 23 de julio, los desarrolladores liberaron una nueva versi\u00f3n para corregir este fallo de seguridad.<\/p>\n

<\/p>\n

Seg\u00fan los datos del repositorio oficial de WordPress, se estima que este plugin est\u00e1 activo en m\u00e1s de 70.000 instalaciones y que 45.000 p\u00e1ginas web podr\u00edan estar en riesgo<\/strong>.<\/p>\n

Las versiones afectadas de wpDiscuz van desde la 7.0.0 hasta la 7.0.4.<\/p>\n

\u00bfEn qu\u00e9 consiste esta vulnerabilidad?<\/h2>\n

Si utilizas wpDiscuz en tu blog, sabr\u00e1s que este complemento te permite a\u00f1adir funcionalidades extra al sistema de comentarios de WordPress; cambiar el dise\u00f1o, permitir a los usuarios loguearse con sus perfiles de redes sociales, realizar votaciones, recibir notificaciones en tiempo real, etc.<\/p>\n

Realmente el funcionamiento de wpDiscuz es muy similar a Disqus o Jetpack Comments.<\/p>\n

A partir de la versi\u00f3n 7.0.0 de wpDiscuz se ampliaron todav\u00eda m\u00e1s las funcionalidades y los usuarios tambi\u00e9n pod\u00edan subir im\u00e1genes en sus comentarios. Esta \u00abmejora\u00bb fue la desencadenante de este agujero de seguridad, dejando una puerta por la que los hackers pod\u00edan entrar muy f\u00e1cilmente.<\/p>\n

Aunque inicialmente el plugin solamente estaba pensado para subir im\u00e1genes, debido a un error en las funciones de detecci\u00f3n del tipo de archivo MIME que se utilizaron, los usuarios pod\u00edan subir otro tipo de archivos, por ejemplo, archivos PHP. De esta forma, un usuario malintencionado puede ejecutar c\u00f3digo malicioso (RCE) poniendo en riesgo la seguridad de tu p\u00e1gina web e incluso la de tu cuenta de hosting.<\/p>\n

Puedes consultar toda la informaci\u00f3n referente a esta vulnerabilidad en la p\u00e1gina oficial de Wordfence<\/strong><\/a>.<\/p>\n

\u00bfY ahora que tengo que hacer?<\/h2>\n

Lo primero de todo, revisa si tienes el plugin wpDiscuz instalado en tu p\u00e1gina web. Puedes comprobarlo accediendo al panel de administraci\u00f3n de tu web, pulsando sobre la secci\u00f3n \u00abPlugins\u00bb.<\/p>\n

Si lo tienes instalado, f\u00edjate en qu\u00e9 versi\u00f3n de wpDiscuz est\u00e1s utilizando. Si tu versi\u00f3n se encuentra entre la 7.0.0 o 7.0.4, debes actualizar el plugin lo antes posible para corregir esta vulnerabilidad.<\/p>\n

\u00bfYa tienes la versi\u00f3n 7.0.5 o superior? Entonces respira, est\u00e1s a salvo \ud83d\ude42<\/p>\n

Si eres usuario de Wordfence, revisa la configuraci\u00f3n de tu sitio:<\/h3>\n

Tanto si utilizas la versi\u00f3n gratuita de Wordfence o la versi\u00f3n premium, es importante que sepas que dispones de una opci\u00f3n para deshabilitar la ejecuci\u00f3n de c\u00f3digo en el directorio de subidas de archivos.<\/p>\n

\"Deshabilitar<\/p>\n

Activando esta opci\u00f3n, Wordfence a\u00f1adir\u00e1 las siguientes l\u00edneas en el .htaccess<\/a> para evitar que se ejecute cualquier c\u00f3digo PHP en el directorio de cargas:<\/p>\n

# BEGIN Wordfence code execution protection \r\n\r\n<IfModule mod_php5.c> \r\n\r\nphp_flag engine 0 \r\n\r\n<\/IfModule> \r\n\r\n<IfModule mod_php7.c> \r\n\r\nphp_flag engine 0 \r\n\r\n<\/IfModule> \r\n\r\nAddHandler cgi-script .php .phtml .php3 .pl .py .jsp .asp .htm .shtml .sh .cgi \r\n\r\nOptions -ExecCGI \r\n\r\n# END Wordfence code execution protection<\/pre>\n
Combina buenas pr\u00e1cticas y herramientas de seguridad web<\/h2>\n
No es la primera vez que insisto en la importancia de mantener tu web siempre al d\u00eda.<\/p>\n
Cuando se liberan actualizaciones en plugins, plantillas o en el core de WordPress no siempre son para mejoras en el funcionamiento, muchas veces corrigen problemas de seguridad que pueden afectar gravemente a la seguridad de tu sitio. Y esto que ocurre con wpDiscuz no es algo excepcional, ni mucho menos.<\/p>\n
Hace tiempo, una brecha en ThemeGrill Demo Importer<\/strong><\/a>\u00a0<\/strong>permit\u00eda acceder al backend<\/a> como administrador. Otra vulnerabilidad en el plugin Easy SMTP<\/a><\/strong> permit\u00eda a cualquier usuario tomar el control de la toda la web. Un fallo de seguridad en InfiniteWP Client<\/a><\/strong> permit\u00eda acceder a WordPress<\/a> sin contrase\u00f1a… Y cr\u00e9eme que esto son solo unos pocos ejemplos.<\/p>\n
Ning\u00fan plugin, ni plantilla, ni siquiera el core de WordPress est\u00e1 a salvo de una vulnerabilidad que pueda poner tu web patas arriba<\/em>.<\/p>\n
Asa mejor forma de proteger tu web es llevar a cabo medidas proactivas y tambi\u00e9n utilizar buenas herramientas de seguridad web.<\/p>\n
En LucusHost, todos nuestros planes de\u00a0Hosting WordPress<\/a><\/strong> incluyen Imunify360<\/a><\/strong>, uno de los sistemas de seguridad web m\u00e1s completos y avanzados del mercado: detecta y bloquea ataques en tiempo real, elimina malware<\/a><\/strong>, dispone de KernelCare y proteger tu dominio con un sistema de reputaci\u00f3n proactiva… En definitiva, una suite integral de seguridad para mantener tu web a salvo \ud83d\ude42<\/p>\n
Otra herramienta imprescindible: Premim Backup. Las copias de seguridad web<\/a><\/strong> son important\u00edsimas, por eso, siempre hacemos dos al d\u00eda de forma autom\u00e1tica de tu cuenta y las guardamos hasta seis meses. As\u00ed, desde tu \u00e1rea de cliente siempre podr\u00e1s acceder a ellas para descargarlas o hacer cualquier restauraci\u00f3n si la necesitases.<\/p>\n
 <\/p>\n
 <\/p>\n
 <\/p>\n
 <\/p>\n
 <\/p>\n
 <\/p>\n
 <\/p>\n","protected":false},"excerpt":{"rendered":"
Recientemente, el equipo de Wordfence Threat Intelligence detect\u00f3 una vulnerabilidad cr\u00edtica en el plugin wpDiscuz que permite ejecutar c\u00f3digo de forma remota en una p\u00e1gina web o blog. Una vez reportado el error, el pasado 23 de julio, los desarrolladores liberaron una nueva versi\u00f3n para corregir este fallo de seguridad.<\/p>\n","protected":false},"author":3,"featured_media":3608,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[43,42],"tags":[51,91,52],"_links":{"self":[{"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/posts\/3603"}],"collection":[{"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/comments?post=3603"}],"version-history":[{"count":9,"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/posts\/3603\/revisions"}],"predecessor-version":[{"id":13647,"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/posts\/3603\/revisions\/13647"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/media\/3608"}],"wp:attachment":[{"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/media?parent=3603"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/categories?post=3603"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/tags?post=3603"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}