Actualidad

¿Instalaste el plugin WP GDPR Compliance en tu web? Debes actualizarlo por seguridad

WP GDPR Compliance

Con la llegada del nuevo RGPD, el plugin WP GDPR Compliance se posicionó como uno de los mejores plugins para adaptar a la nueva normativa los sitios web desarrollados con WordPress. Pero este popular plugin cuenta con un gran problema de seguridad que está siendo aprovechado hace varias semanas por hackers de todo el mundo para acceder a los datos de usuarios de las webs. Una falla en la seguridad del plugin WP GPRD que permite que otras personas puedan llegar a acceder y controlar nuestro sitio web y los datos que se manejan.  

¿Para que sirve el plugin WP GPRD?

Se trata de un complemento que ayuda a que las webs a que cumplan con el nuevo reglamento GRPD (así lo hicimos en Interdominios), en los formularios de contacto, comentarios, etc.

Creado por  Van Ons, es uno de los plugins de RGPD más descargados y utilizados. Cuenta con más de 100.000 instalaciones, aunque muchas de ellas aún no han actualizado a la última versión.

Falla de seguridad en el plugin WP GDPR Compliance

WP GDPR Compliance fue eliminado del directorio oficial de Plugins hace pocos días, ya que en su versión anterior se alertó en algunos foros de que algunos hackers podrían instalar scripts de puerta trasera y conseguir datos de usuarios. 

El plugin ha vuelto ahora al repositorio de WordPress, con una versión actualizada, la versión 1.4.3, con parches para los problemas informados.

Así que, si usas este plugin, actualizálo a la última versión rápidamente.

Todos aquellos que tengan la versión anterior 1.4.2 y anteriores, pueden sufrir el siguiente escenario:

– Los hackers abren el sistema de registro de usuarios del sitio aprovechando error del plugin.
– Consiguen alterar la opción de nuevas cuentas por default como “administrador”.
– Registran una nueva cuenta, que automáticamente se convierte en administrador. Esta nueva cuenta generalmente se llama “t2trollherten”.
– Establecen la función de usuario predeterminada para las cuentas nuevas como “suscriptor”.
– Deshabilitan el registro de usuarios públicos.
– Inician sesión en su nueva cuenta de administrador.
– Instalan una puerta trasera como un archivo llamado wp-cache.php.
– Este script de puerta trasera contiene un administrador de archivos, un emulador de terminal y otras funciones, lo que permite tener un control absoluto de la web.

En una segunda técnica más silenciosa, se agrega una nueva tarea a WP-Cron, el programador de tareas integrado de WordPress, tarea que descarga e instala el complemento Autocode de 2MB, que los atacantes luego usan para cargar otro script de puerta trasera en el sitio, también llamado wp-cache.php.

¿Qué puedes hacer si te has visto afectado?

1. Eliminar todos los perfiles de administrador que se hayan generado en tu web.

2. Desinstalar el plugin que tenías instalado. Instalar y activar el plugin actualizado con la última versión. Volverlo a configurar

3. Instalar plugins de seguridad en tu WordPress.

4. Migrar tu web a Hosting WordPress de forma gratuita

Fuente de la información: WhatsNews

También te puede interesar:

5/5 - (1 voto)
Lola Hernandez Caballero

Creadora del medio digital independiente destinocastillayleon.es y la tienda online de experiencias gastronómicas únicas destinoysabor.com. Consultora de Marketing online y ecommerce. Escribo para el blog de Interdominios sobre los temas que me apasionan: hosting, apps, tecnología, ecommerce, productividad, etc

Share
Publicado por
Lola Hernandez Caballero

Posts más recientes

Las 20 mejores extensiones de IA para Google Chrome

Las extensiones de Google Chrome son una herramienta muy útil para personalizar nuestra experiencia de…

1 año hace

Las 20 mejores herramientas de IA que puedes utilizar gratis o con pago por uso

ChatGPT ha llegado para quedarse y aunque la herramienta de IA (inteligencia artificial) aún tiene…

1 año hace

Lanzar un proyecto online ¿Por dónde empiezo? | Hacer SEO Local

Tanto si tienes un negocio físico como online, necesitas aprender a posicionarte en Internet y…

2 años hace

Cómo pasarse a Google Analytics 4 [Guía paso a paso]

Si utilizas Google Analytics para medir el tráfico de tu web, necesitas pasar a Google…

2 años hace

Guía para entender ChatGPT3 +10 extensiones para ampliar sus funciones

  ChatGPT es un chat de inteligencia artificial que se puede integrar en múltiples plataformas…

2 años hace

Escritorios virtuales para mi empresa ¿Cómo puedo crearlos?

El escritorio virtual es un sistema informático que no se ejecuta en el ordenador, PC,…

2 años hace