Wordfence informa de una ‘puerta trasera’ en plugin Captcha (autor simplywordpress)
En Internet no hay nada infalible, ni los alojamientos web recomendados por WordPress.org (caso de DreamHost con ataque hacker este verano), ni con ciertos plugins de SEO (como Yoast), ni otros plugins como el que acontece.
Lo mejor es prevenir con lo que te recomiendo en la clase, plugins recomendados, y aún así se puede colar algún autor con malas intenciones. En este caso el ‘malo de la película’ ha sido el nuevo propietario del plugin, pues ha querido hacer daño a los usuarios.
Índice
- Alerta Wordfence
- Revisad que no tenéis problemas en vuestro sitio web
- Comprobad que tenéis la versión 4.4.5 de este plugin y eliminadla
Paso 1 – Comprobad la versión y desactivarlo
Paso 2 – Procede a borrarlo - Plugin alternativo
- ¿Cómo ha podido suceder esto? El plugin cambio de propietario
Alerta Wordfence
El 19-12-2017, el plugin de seguridad Wordfence me envía email con motivo de la alerta en su blog acerca de una ‘puerta trasera’ (vulnerabilidad para ataques hackers) en el plugin Captcha, cuyo autor es ‘simplywordpress’.
Un plugin que os recomendé en el curso de Udemy, e incluso días atrás la notificación de su propio autor dado que WordPress lo eliminaba de su repositorio, según el autor por unos días por problemas con el nombre de la marca, algo que después ha resultado ser mentira.
Estoy en la obligación de avisaros de su eliminación inmediata aunque en su versión 4.4.5 ya esta eliminada esa vulnerabilidad
Revisad que no tenéis problemas en vuestro sitio web
Ingresa la URL de tu sitio (por ejemplo, sucuri.net) y el escáner SiteCheck de Sucuri revisará el sitio web en busca de malware conocido, estado de la lista negra, errores del sitio web y software desactualizado.
El Firewall depende de si lo tenéis contratado en vuestro sitio web o no. Todos los sitios que curiosee no lo tienen. Pero con Wordfence, incluso en su versión gratuita, estáis protegidos para la mayor parte de las amenazas.
Si estuvierais infectados (espero que no, en mi caso no sucedió y tengo otros 4 sitios web con dicho plugin), tenéis una guía muy buena de Raiola Networks para limpiar el sitio web.
Comprobad que tenéis la versión 4.4.5 del plugin Captcha de simplywordpress y eliminadla
No obstante, si vuestro servicio de alojamiento web os permite ciertas actualizaciones automáticas de seguridad, es probable que ya tengáis la versión 4.4.5, si no fuera el caso buscad el plugin:
– Advanced Automatic Updates (By pento). No os preocupéis por el tiempo que lleva sin actualizar, funciona bien y el autor es reconocido ya que está en el equipo de Automattic (los creadores de Jetpack, el plugin estrella de WordPress.com y para principiantes de WordPress.org)
De todas las opciones posibles, dejad en dicho plugin la que viene ya:
- Actualizaciones menores (lo que viene por defecto)
Por otro lado, esta versión 4.4.5 ha sido posible gracias al equipo de Wordfence que aviso al equipo del repositorio de WordPress.org para solventar esta ‘puerta trasera’.
De hecho, se ha bloqueado la entrada al autor de este plugin por atentar contra la seguridad de los usuarios.
Wordfence recomienda su eliminación, una vez actualizado a la versión 4.4.5, versión limpiada por el equipo del repositorio WordPress.
Paso 1 – Comprobad la versión y desactivarlo
Paso 2 – Procede a borrarlo
Plugin alternativo
Me ha costado encontrar algo similar, a pesar que los autores del original volvieron a disponer el suyo bajo otra URL, pero lo probé y por algún motivo no se visualiza, así pues mi recomendación es que busquéis el siguiente:
– Math Captcha (By dFactory). Sí, sus autores son conocidos. Tienen varios plugins muy utilizados.
La diferencia es que no tiene para refrescar Captcha, en su lugar a un tiempo expresado en segundos, por defecto: 300 sg (equivalen a 5 minutos) y te deja cambiar el nombre de rotulo para la cuenta (suma o resta), yo deje el nombre: Captcha *. Para los comentarios no es la mejor opción, pero todo es comentárselo.
Recomiendo dejar estos parámetros:
Así es como os queda en una pantalla de login a WordPress:
Al menos se puede poner algo equivalente, y aunque el autor lleva 1 año sin actualizar, el plugin funciona en la versión 4.9.1 de WordPress.
¿Cómo ha podido suceder esto? El plugin cambió de propietario
Vamos a ver, ha pillado a todos los usuarios por sorpresa (300 mil descargas activas). Incluso al propio repositorio de WordPress y el plugin de seguridad Wordfence.
¿Qué ha sucedido? En resumidas cuentas, el autor original del plugin, BestWebSoft, vendió en septiembre 2017 este plugin gratuito a otras personas, bajo el nombre: simplywordpress.
Algo de lo que solo se enteraron unos pocos a través del blog de BestWebSoft. Para ser justo esta jugada me parece poco seria.
¿Por qué no se manda una alerta a los usuarios de un plugin cada vez que hay cambio de propietario del mismo?
Bueno, sea como fuere, es recomendable que llevéis un registro de las actualizaciones de plugins que hacéis y autor de los mismos en vista de estas acciones. Porque BestWebSoft es un autor reconocido y con muchos plugins en el repositorio de WordPress, quienes quizás prefirieron centrar todos sus esfuerzos en plugins pro, de pago, del tipo al que comento.
Bueno, pues esto es todo. Espero que no haya pillado a nadie desprevenido y aunque la vulnerabilidad existía, nadie se esperaba que fuera el propio autor el que atentará contra la seguridad de los usuarios.
Saludos y ya lo siento.
Soy diseñador web con WordPress. También hago uso del diseño gráfico (edición imágenes) e implementación de vídeos (puedo editar pero no grabar). Te ayudo a descubrir/potenciar la identidad de tu marca, otorgando distinción a tu sitio web. Hago buen uso del diseño visual y emocional. Estoy disponible para darte: servicio, formación, consultoría.