• Miles de webs basadas en WordPress están siendo borradas por completo por atacantes
Miles de webs basadas en WordPress están siendo borradas por completo por atacantes

Una vulnerabilidad crítica de un plugin de WordPress está provocando que muchos sitios web estén siendo borrados de un plumazo por atacantes que, en algunos casos, también toman control de la web.

Este fallo afecta a un plugin llamado ThemeGrill Demo Importer, que llegó a estar instalado en unos 200.000 sitios web y ahora está presente en unos 100.000 sitios web.

Los investigadores de WebARX descubrieron el fallo y avisaron a los desarrolladores del plugin el 2 de febrero, quienes no arreglaron el problema hasta el domingo pasado a través de una actualización del plugin que muchos aún no han descargado. Hoy, WebArx ha indicado que el fallo está siendo explotado y se han detectado al menos 17.000 ataques.

Este es el aspecto que muestran muchos sitios web que han sido víctimas del ataque

 

Esta vulnerabilidad permite a un atacante borrar por completo el contenido de un sitio web basado en WordPress, lo que hace que las páginas web afectadas pasen a mostrar solo un artículo titulado «hola mundo» que es el que se crea nada más instalar WordPress.

Este fallo puede ser todavía peor si el sitio vulnerable tiene una cuenta con el nombre «admin», que es la primera que se configura por defecto en un sitio web. En esos casos, el atacante no solo puede borrar todos los datos sino que además puede acceder al sitio como un administrador, lo que le permite publicar lo que quiera.

«En la mayoría de los casos, ‘solo’ te resetean la base de datos, lo cual no es muy útil para un atacante, pero si existe un usuario ‘admin’, el atacante puede tomar el control,» explica un experto.«Pero es no lo sabes por adelantado. Así que supongo que los atacantes prueban y dejan un montón de instalaciones WordPress devastadas mientras secuestran aquellos en los que el ataque funciona.»

El fallo se debe a que el plugin no autentica a los usuarios antes de permitir ejecutar comandos que requieren privilegios de administrador. Los atacantes pueden aprovechar este fallo para enviar solicitudes vía web que borren todas las tablas y las dejen tal y como están tras una instalación limpia.

 

Por cortesía de Teknofilo