Reading time aprox: 2 minutes, 3 seconds
Plugin peligroso en WordPress.
De vez en cuando aparecen agujeros en la seguridad de las aplicaciones informáticas. Bueno, más que aparecer, los agujeros son descubiertos por grupos de investigadores (a veces grupos de uno). 😉
WordPress es una aplicación informática y, como tal, no está exenta de «tener agujeros». Esos agujeros pueden ser más o menos importantes, pero en cualquier caso, suponen un riesgo para la integridad del sitio.
Plugin peligroso en WordPress
Por suerte, la filosofía de WordPress, usa una construcción modular; esto es, a partir de un corazón («core») más o menos fijo, se construye todo un universo con módulos llamados plugins, que le permiten hacer todo lo necesario.
Hay grupos de «cazadores de errores» (es posible que conozcas el término: «Bug Hunter») constantemente buscando fallos tanto en el «core» de WordPress, como en sus plugins.
En esta ocasión han encontrado un agujero en un plugin bastante usado por la comunidad.
Una de las grandes ventajas que tiene este universo modular, es que el usuario puede escoger entre una gran variedad de plugins que realicen una tarea determinada.
El culpable
Más allá de la espectacularidad del titular, no se habla en términos de culpabilidad casi nunca; no es justo ni necesario.
El agujero encontrado ha sido en el plugin «Spam protection, AntiSpam, FireWall», desarrollado por la compañía «CleanTalk» y, es del tipo conocido como «Time-Based Blind SQL Injection».
Se trata de un plugin anti-spam gratuito que funciona con el servicio Cloud Anti-Spam de pago de cleantalk.org.
Este plugin es de la modalidad de «software como servicio» (https://es.wikipedia.org/wiki/Software_como_servicio).
Por lo tanto, si bien el plugin en sí mismo es gratuito, para disfrutar plenamente de los servicios ofrecidos, se ha de pagar una tarifa que asciende (actualmente) a $8 USD anuales.
Este plugin que se usa para combatir el spam en comentarios, registros o pedidos, entre otras secciones, soporta otros plugins como los populares «Contact Form 7», «Ninja Forms», «Gravity Forms», «WooCommerce», «MailChimp» o «JetPack».
Cuenta actualmente (según el contador de WordPress) con más de 100,000 instalaciones.
Plugin peligroso en WordPress.
El agujero
Antes de entrar en materia y para aliviar un poco la tensión de algunos, hay que decir que las versiones afectadas son las anteriores a la 5.153.4, en la cual ya se encuentra corregida la vulnerabilidad.
La vulnerabilidad ha sido etiquetada como CVE-2021-24295 y catalogada como de riesgo alto. A través de la explotación de la misma, podría extraerse información sensible de la base de datos de un sitio web, incluidos los correos electrónicos y los hashes de las contraseñas sin que se requiera iniciar sesión.
Cabe destacar que el plugin desarrollado por «CleanTalk» contaba ya en su código con medidas que dificultaban ataques de inyección SQL exitosos.
Ya comenté anteriormente, en Cómo funciona un ataque de inyección SQL en WordPress, el funcionamiento básico de estos agujeros.
Conclusión
Muchas veces, aunque una aplicación informática sea desarrollada por personal «de confianza» (como las grandes empresas del mercado) un pequeño descuido entre las miles de líneas de código que forman una aplicación, pueden dar al traste con grandes esfuerzos.
Bien es cierto que sorprende más, una noticia de este tipo, cuando se trata de un software «de seguridad» (cabría esperar que fuese «invulnerable») pero lo cierto es que mientras haya intervención humana en su creación, hay posibilidad de que tenga un error.
A la pregunta de ¿cómo podemos estar seguros, entonces?, la respuesta es bien sencilla: ¡no podemos!
Lo que se puede y debe hacer, es poner el máximo esfuerzo para alcanzar el objetivo.
Un plugin peligroso NO es el fin del mundo, sigue probando, sigue aprendiendo
Mientras tanto, recuerda, #UsaMascarilla, #LavateLasManos, juega, experimenta y, sobre todo, ¡divertirte!
¡Gracias por leernos!
¡Tus comentarios y preguntas nos ayudan a mejorar, por favor comenta!