230 meneos
1854 clics
![Encontrada puerta trasera en un plugin de Wordpress que tiene más de 200.000 instalaciones [ENG]](cache/2b/22/media_thumb-link-2826850.jpeg?1505362626)
Encontrada puerta trasera en un plugin de Wordpress que tiene más de 200.000 instalaciones [ENG]
Durante los últimos dos meses y medio, un plugin de WordPress llamado Display Widgets ha sido usado para instalar una puerta trasera en sitios de WordPress a través de Internet. El código de puerta trasera se encontró entre la versión 2.6.1 de Display Widgets (liberado el 30 de junio) y la versión 2.6.3 (liberado el 2 de septiembre). Stephanie Wells de Strategy11 desarrolló el plugin, pero después de cambiar su enfoque a una versión premium del plugin, decidió vender la versión de código abierto a un nuevo desarrollador.
|
comentarios cerrados
Por cierto, el tal Soiza parece que tiene otros intereses mundanos: Visitas al circuito de Mónaco, Ferraris
Otra de las razones es que los "admins" de wordpress se dedican a instalar plugins que quedan luego sin mantenimiento, y de ahí también vienen cantidad de problemas
2.6.2
En los markets y repositorios de apps y plugins deberian tener ese tipo de control adicional.
Y aparte mostrar por ejemplo en los cambios incluidos en los permisos (cuando en las apps cambian los permisos), el cambio del dueño de la compañia.
Con apps para moviles está ocurriendo con muchas apps algo similar a esto de wordpress.
1) Desde una perspectiva general qué implicaciones tiene el crear "puertas traseras" o para qué lo hacen quienes lo hacen.
2) ¿Esto afecta a los usuarios que visitan una página de Wordpress con este problema? ¿Cómo?
3) ¿Esto afecta a los que tienen cuentas en Wordpress? ¿Cómo?
4) ¿Además de actualizar plugins y versiones de Wordpress cómo se puede mejorar en prevención de éste u otros problemas?
Agradecería mucho si responden, aunque no sea a todas mis dudas.
1. Una puerta trasera es una forma de entrar en tu sistema y/o ganar privilegios para poder hacer cosas, por lo visto en esta situación lo que querían era crear noticias o meter "cosas" en los widget de las páginas instaladas (Seguramente algo relacionado con pagos por publicidad o algo así, entonces como son 200.000 instalaciones pueden cobrar bien).
A rasgos simples, imaginate que tu instalas una mosquitera, los agujeros tienen que ser pequeños para que pase el aire pero no el mosquito, ahora imaginate que si mojas la mosquitera, se dilatan los agujeros y cabe no una mosca, sino una abeja. En este caso el "agua" sería el codigo para abrir la puerta trasera y entrar a tu habitación.
2. Afecta en según que medida, a ti como visitor no deberia afectarte tu seguridad pero claro, si consideramos que estarias viendo contenido que no deberias ver, te afecta indirectamente.
3. No, tu cuenta de wordpress.com está gestionada por wordpress, otra cosa es que tu cuenta esté en una página web con la puerta trasera y puedan obtener tus credenciales.
4. Mantener siempre actualizado todo, seguir foros de seguridad y poco más, no puedes saber si alguien vende su plugin y el nuevo te mete una puerta trasera, por eso siempre hay gente que analiza todos los plugin.
Sólo una cosa más sólo porque me causó curiosidad lo que dices en la respuesta 3). ¿Hay precauciones especiales que deba considerar si también utilizo 000webhost para practicar lo que voy aprendiendo en cuestiones de diseño web?
Lo utilizo para eso, pero siempre he tenido duda de qué tan seguro es. O cómo evitar que sea riesgoso.
Desde hace tiempo intento usar solo software libre, en Android mediante F-droid y sino queda más remedio Yalp Store. Y en Windows con Portableapps y Liberkey. Son programas hechos por la comunidad para la comunidad, los freemium son hechos con la finalidad de la pasta y muchas veces aplicando el "fin justifica los medios", son como los clickbait del software.
No se si era el caso del plugin de la noticia puesto que no lo conocía, pero cuando busco alguno y veo que tiene bastante instalaciones y es versión freemium intento buscar otro que no la tenga, ya que tengo más confianza en ese desarrollador que en el primero, no porque quiera ganarse un dinero lógicamente, pero son tantos programas freemium instalados y desinstalados inmediatamente que prefiero ir directamente a lo "seguro".