{"id":13362,"date":"2016-05-25T00:22:24","date_gmt":"2016-05-24T22:22:24","guid":{"rendered":"https:\/\/eltallerdelbit.com\/?p=13362"},"modified":"2020-08-28T03:36:23","modified_gmt":"2020-08-28T01:36:23","slug":"vulnerabilidad-en-wp-fastest-cache","status":"publish","type":"post","link":"https:\/\/eltallerdelbit.com\/vulnerabilidad-en-wp-fastest-cache\/","title":{"rendered":"Vulnerabilidad en WP Fastest Cach\u00e9"},"content":{"rendered":"

Los chicos de Wordfence avisaron el 26 de Mayo 2016 de\u00a0dos vulnerabilidades importantes en el plugin WP Fastest Cach\u00e9<\/a><\/strong>.<\/h2>\n

Esta es la entrada que publicamos en El Taller del Bit despu\u00e9s de recibir el aviso de alerta de Wordfence.\u00a0Sigue leyendo para conocer todos los detalles
\n 
\nATENCI\u00d3N: PLUGIN REALMENTE ACTUALIZADO Y PARCHEADO (26\/05\/2016 23:15 p.m. Hora de Espa\u00f1a)<\/span>
\n 
\n\"Wordfence\"
\n 
\nEn este caso se ha detectado en WP Fastest Cach\u00e9 :<\/p>\n

Una vulnerabilidad de inclusi\u00f3n de archivo local<\/strong> y una\u00a0vulnerabilidad de las opciones de actualizaci\u00f3n<\/strong>.<\/h3>\n

 
\n La vulnerabilidad de inclusi\u00f3n de archivo local<\/strong> permite a un atacante ejecutar c\u00f3digo en el servidor web de destino o en el navegador de un visitante del sitio. Esto permite al atacante robar o manipular datos, llevar a cabo un ataque de denegaci\u00f3n de servicio o habilitar los tipos de ataques adicionales, tales como Cross Site Scripting. Wordfence Firewall proporciona protecci\u00f3n contra este tipo de ataque antes de haber sido descubierto.
\n 
\nLa vulnerabilidad en las opciones de actualizaci\u00f3<\/strong>n permite a un atacante acceder y realizar cambios en las opciones de CDN (Content Delivery Network) de la p\u00e1gina web. Con este control, un atacante puede dirigir todas las peticiones de archivos CSS, im\u00e1genes, v\u00eddeos, etc. a su sitio, lo que les permite servir contenido malicioso a los visitantes del sitio vulnerable.
\n 
\nSi bien se supone que el autor del plugin lo ha actualizado, todos los usuarios se preguntan qu\u00e9 ocurre, puesto que en el gestor de actualizaciones de WordPress no aparece ninguna actualizaci\u00f3n pendiente para el plugin, y la versi\u00f3n del plugin sigue siendo la misma que hace 21 dias, la 0.8.5.7.<\/p>\n

En la p\u00e1gina de Wordfence donde avisan de las vulnerabilidades descubiertas en WP Fastest\u00a0Cach\u00e9<\/a>, Dan Moen afirma que la \u00faltima versi\u00f3n del plugin incluye un parche para la vulnerabilidad, pero entonces, \u00bfhemos de actualizarlo manualmente por FTP? …<\/p>\n

El autor del plugin hace oidos sordos a las preguntas de los usuarios en la p\u00e1gina del plugin en WordPress.org (los usuarios preguntan lo mismo: si el plugin est\u00e1 actualizado… \u00bfd\u00f3nde est\u00e1 la nueva actualizaci\u00f3n?):<\/p>\n

Tema en la p\u00e1gina del plugin: Reporte de Wordfence<\/a><\/p>\n

 <\/p>\n

\u00a1\u00a1\u00a1 ACTUALIZACI\u00d3N !!!\u00a0(26\/05\/2016 23:15 p.m. Hora de Espa\u00f1a)<\/span>\u00a0<\/span><\/span><\/h3>\n

Parece que ahora s\u00ed que s\u00ed, el plugin ha sido actualizado y ha aparecido una nueva versi\u00f3n del plugin WP Fastest Cach\u00e9<\/strong> en la secci\u00f3n de actualizaciones de plugins. Nueva versi\u00f3n disponible: 0.8.5.8<\/p>\n

\"wp
\n 
\nEl Changelog (registro de cambios) contiene lo siguiente:<\/span><\/p>\n

-to remove hostname from exclude rule
\n-to fix file cache problem
\n-to change the mobile user-agents
\n–to fix Wordfence Security report<\/strong><\/p>\n

 <\/p>\n

Y el autor del plugin ha contestado por fin a los usuarios que comentaban en la secci\u00f3n de soporte del plugin.<\/p>\n

\"wp<\/p>\n

 <\/p>\n

\"wp<\/p>\n

 <\/p>\n

Esperemos que el plugin haya sido realmente actualizado. Algunos de los otros sitios que gestiona El Taller del Bit fueron hackeados o infectados hace unos d\u00edas, provocando algunos problemas que tuvieron que solucionarse con restauraciones de backups en algunos casos, y en otros con limpiezas a mano. El culpable era este plugin.
\n 
\nOtro detalle que no parece correcto es el peque\u00f1o troleo del autor del plugin<\/strong>, que habiendo confirmado a Wordfence que la versi\u00f3n del plugin estaba actualizada y parcheada, realmente no lo estaba.<\/p>\n

Decenas de usuarios dando tumbos por internet, buscando info acerca de cual era la versi\u00f3n adecuada y parcheada del plugin, y c\u00f3mo era posible que el parche estuviera ya subido si la versi\u00f3n del plugin no hab\u00eda cambiado realmente y no aparec\u00eda ninguna nueva versi\u00f3n descargable del plugin…
\n <\/p>\n

Yo por si acaso estar\u00e9 ojo avizor; en mala hora decid\u00ed cambiar WP Super cach\u00e9 en algunos sitios web y probar el WP Fastest Cach\u00e9…<\/h3>\n

 
\nLos problemas que puede llegar a acarrear una vulnerabilidad as\u00ed como la que ha afectado a este plugin, son enormes. Te entran hasta la cocina, y el trabajo que tienes despu\u00e9s para restaurar la web, puede ser ingente; adem\u00e1s de la interrupci\u00f3n del servicio que la web est\u00e1 dando.. 
\nCuidad\u00edn; y por si acaso, Wordfence activado.<\/p>\n\n

<\/div>","protected":false},"excerpt":{"rendered":"

Los chicos de Wordfence avisaron el 26 de Mayo 2016 de\u00a0dos vulnerabilidades importantes en el plugin WP Fastest Cach\u00e9. Esta es la entrada que publicamos … Seguir leyendo<\/a><\/p>\n","protected":false},"author":1,"featured_media":13364,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false},"categories":[157],"tags":[1109,1093],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts\/13362"}],"collection":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/comments?post=13362"}],"version-history":[{"count":0,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts\/13362\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/media\/13364"}],"wp:attachment":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/media?parent=13362"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/categories?post=13362"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/tags?post=13362"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}