Miles de sitios de WordPress podrían estar en peligro, así que parchea ahora

Foto del autor

Tres populares plugins de comercio electrónico para instalaciones de WordPress (WP), abiertos a ataques de inyección SQL desde diciembre de 2022, han sido parcheadosprotegiendo a las empresas de las amenazas que modifican o eliminan sus sitios web.

Los tres plugins afectados, descubiertos por el investigador de seguridad de Tenable Joshua Martinelle (se abre en una nueva pestaña) (vía BleepingComputer (se abre en una nueva pestaña)), eran ‘Afiliaciones de pago Pro (se abre en una nueva pestaña)‘, una herramienta de gestión de suscripciones activa en más de 100.000 instalaciones, ‘Descargas Digitales Fáciles (se abre en una nueva pestaña)‘, una herramienta de comercio electrónico activa en más de 50.000 instalaciones, y ‘Marcador de encuesta (se abre en una nueva pestaña)‘ (herramienta de investigación de mercado con más de 3.000 instalaciones activas)

Las inyecciones SQL son fallos de seguridad que permiten a los atacantes introducir datos en formularios o URL de sitios web para modificar bases de datos. Los atacantes pueden utilizar vulnerabilidades que permiten inyecciones SQL para inyectar scripts diseñados para modificar sitios web u obtener acceso no autorizado a sus backends.

Inyecciones SQL en WordPress

Aunque todos los sitios web pueden ser vulnerables a la inyección SQL durante su desarrollo, las instalaciones de WordPress, alojadas en una plataforma popular y centralizada que cuenta con muchos plugins comunes, son un objetivo popular para los actores de amenazas en busca de exploits.

Sólo en enero de 2023, TechRadar Pro tiene informado en otros plugins de WP que ofrecen chat en vivo funcionalidad que se aprovecha, en el transcurso de tres años, para ejecutar código JavaScript que redirige a los usuarios a sitios web maliciosos, así como otro exploit similar dirigido a un plug-in que añade funcionalidad de tarjeta de regalo a tiendas en línea.

Afortunadamente, tras la revelación de los fallos y la publicación de los exploits de prueba de concepto (PoC) por parte de Martinelle para WordPress el 19 de diciembre de 2022, los desarrolladores de los plugins actuaron con rapidez para solucionar los fallos, con correcciones publicadas en cuestión de semanas, o incluso días.

El 21 de diciembre se publicó una corrección para «Survey Maker», como parte de la versión 3.1.2 del plugin. ‘Paid Memberships Pro’ le siguió el 27, con una corrección incluida en la versión 2.9.8, y ‘Easy Digital Downloads’ le siguió el 5 de enero de 2023 como parte de la versión 3.1.0.4.

Si aún no lo han hecho, se recomienda a los usuarios afectados que actualicen estos plugins a las últimas versiones para protegerse de los ataques de inyección SQL en el futuro inmediato.