En esta página: [esconder]
Las vulnerabilidades y las credenciales de inicio de sesión robadas se utilizan en la mayoría de los ataques contra sitios web. sin embargo, otro riesgo también existe, e implica la instalación involuntaria de puertas traseras en sitios web.
Esto se puede hacer engañando a los propietarios de sitios web para que instalen una puerta trasera oculta en un software de sitio web pirateado, como componentes premium de terceros en forma de un tema o complemento de WordPress, una extensión de Magento, etc..
Lea también KingComposer WordPress Plugin tiene un error XSS reflejado
El riesgo de complementos y temas pirateados de WordPress
Según los investigadores de seguridad de Sucuri, usando agrietado (también conocido como anulado o pirateado) el software debería ser una preocupación para los propietarios de sitios web:
Dado que este tipo de software generalmente requiere una tarifa para usar o instalar, los proveedores ofrecen versiones anuladas o agrietadas que son "gratuitas" para descargar. Lo que los usuarios pueden no darse cuenta es que "gratis" puede venir con un precio de seguridad, y los malos actores podrían estar inclinados a incluir algunos archivos maliciosos o fragmentos de código en una versión pirateada.
Por supuesto, no todo el software agrietado anulado oculta puertas traseras, pero puede ser una gran oportunidad para que los hackers dejen caer sus puertas traseras. Las puertas traseras pueden ser muy difíciles de detectar.. Es por eso que los investigadores de Sucuri advierten sobre los peligros potenciales del acceso remoto en complementos y temas premium.
Un ejemplo de un proveedor de complementos y temas premium pirateados se encuentra en thewordpressclub[.]org. Los términos y condiciones del proveedor mencionan una sección sobre acceso remoto:
Acceso remoto
Al descargar cualquier archivo de https://www.thewordpressclub.org e instálelo en su sitio web de WordPress, permite que TheWordpressClub controle de forma remota su sitio web y así :
• para modificar el código fuente
• para crear y / o modificar todo tipo de contenido de publicación (publicaciones, paginas, productos ...)
Como lo señalaron los investigadores de seguridad, "El acceso remoto para este proveedor se logra a través de dos archivos que se incluyen dentro de la descarga de software anulada":
rms-script-ini.php
rms-script-mu-plugin.php
rms-script-ini.php se describe como un script malicioso que se encarga de inicializar funciones específicas, como crear una puerta trasera ubicada en ./wp-contents / mu-plugins / rms_unique_wp_mu_pl_fl_nm.php.
además, este script también es capaz de otorgar acceso administrativo a hackers. El script comprueba los usuarios existentes de WordPress que usan get_users() parámetro; entonces, realiza consultas para usuarios con privilegios de rol de administrador. Finalmente, configura la cookie wp-admin para autenticar el acceso administrativo para cualquier usuario que identifique, Jugos dice.
Lea también Cómo probar la seguridad de tu sitio de WordPress
Cómo evitar el riesgo de puertas traseras
Desafortunadamente, eliminar los complementos pirateados de WordPress en wp-admin no será suficiente, ya que los actores de amenazas a menudo incluyen otras características para evadir la detección u ocultar indicadores de compromiso. Una forma de hacerlo es manipulando la visualización CSS de la interfaz wp-admin para que el propietario del sitio web no pueda ver las publicaciones creadas en su propio sitio web de WordPress.
La mejor mitigación contra estos riesgos es simplemente evitar dichos proveedores.. El lugar más seguro para obtener complementos es el repositorio oficial de WordPress, Jugos concluye.