Dos grupos de hackers tienen como objetivo webs con versiones sin actualizar del plugin para WordPress Easy WP SMTP<\/a>. Easy WP SMTP se ha instalado m\u00e1s de 300.000 veces y se promociona como un plugin que permite a las webs de WordPress enviar correos masivos a trav\u00e9s de servidores SMTP acreditados para asegurarse que no son marcados como spam.<\/p>\n Desafortunadamente, la versi\u00f3n 1.3.9 contiene una vulnerabilidad que permite a un atacante otorgar a un suscriptor privilegios de administrador o secuestrar webs para hacer redirecciones maliciosas.<\/p>\n Seg\u00fan Defiant<\/a>, una empresa que desarrolla un firewall para WordPress anteriormente conocida como WordFence, el problema se encuentra en funcionalidad Importar\/Exportar a\u00f1adida a la versi\u00f3n 1.3.9.<\/p>\n El nuevo c\u00f3digo se encuentra en el gancho (hook) del plugin <\/em>admin_init, que se ejecuta en el script <\/em>wp-admin\/como <\/em>admin-ajax.php y <\/em>admin-post.php.<\/em><\/p>\n Este no comprueba los privilegios del usuario, lo que significa que cualquier usuario conectado, incluyendo un suscriptor, puede activarlo.<\/p>\n No est\u00e1 claro desde cuando est\u00e1 activa la versi\u00f3n 1.3.9, pero una segunda empresa de firewall, Ninja Technologies, dijo que la primera vez que detect\u00f3 ataques<\/a> explotando esa debilidad fue el 15 de marzo.<\/p>\n Una campa\u00f1a parece que est\u00e1 explotando la vulnerabilidad para obtener privilegios de administrador mientras que una segunda env\u00eda a los visitantes a sitios maliciosos antes de:<\/p>\n Inyectar etiquetas maliciosas <script> en todos los ficheros PHP en el sitio afectado con la cadena \u201cindex\u201d presente en el nombre. Esto obviamente afecta a ficheros como index.php, pero tambi\u00e9n afecta a otros como class-link-reindex-post-service.php presente en el plugin Yoast SEO.<\/em><\/p>\n No sabemos cu\u00e1ntos sitios han sido atacados, pero al menos los \u00faltimos 15 comentarios en la p\u00e1gina de soporte del plugin son de usuarios que afirman que sus webs han sido vulneradas. \u00a0Aunque no se puede verificar, uno de ellos dice<\/a> que ha perdido 10 webs de clientes en tres d\u00edas.<\/p>\n Lo que deben hacer los administradores var\u00eda dependiendo si creen que sus sitios han sido atacados o no.<\/p>\n Defiant ofrece una larga lista de posibles indicadores<\/a> en su blog para conocer si un sitio est\u00e1 comprometido, pero su no detectas ninguno, primero cambia las contrase\u00f1as de WordPress y SMTP antes de aplicar la actualizaci\u00f3n a la versi\u00f3n 1.3.9.1<\/a> y t\u00f3malo como una prioridad urgente<\/p>\n Si crees que tu web ha sido atacada, la recomendaci\u00f3n es que primero reinstales una copia de seguridad anterior al ataque antes de aplicar la actualizaci\u00f3n y cambiar las contrase\u00f1as.<\/p>\n Si no dispones de una copia de seguridad, los desarrolladores del plugin ofrecen una serie de instrucciones<\/a> para limpiar a mano el sitio antes de activar las copias de seguridad autom\u00e1ticas o programadas como una defensa para el futuro.<\/p>\n La semana pasada fueron los usuarios del plugin Abandoned Cart<\/a> para WooCommerce quienes tuvieron que implementar una actualizaci\u00f3n urgente. La moraleja de estas historias es que la actualizaci\u00f3n diligente de plugins se ha convertido en una parte importante de la seguridad de un sitio web.<\/p>\n <\/p>\n <\/p>\n Para manteneros al d\u00eda de las \u00faltimas amenazas<\/strong> haceros fans de nuestra p\u00e1gina de Facebook<\/a> o s\u00edguenos en Twitter<\/a> para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro bolet\u00edn de seguridad<\/a> en tu correo electr\u00f3nico, suscr\u00edbete en la siguiente aplicaci\u00f3n:<\/p>\n \t\u00bfQu\u00e9 hacer?<\/h2>\n
![](\"https:\/\/sophos.files.wordpress.com\/2019\/03\/shutterstock_1126161125-1-compressor.jpg\"\/)
<\/p>\n