![](\"https:\/\/sophos.files.wordpress.com\/2019\/09\/shutterstock_623100986-compressor.jpg\"\/)
<\/p>\nSi eres administrador de WordPress y utilizas un complemento llamado Rich Reviews, querr\u00e1s desinstalarlo. El complemento ahora desaparecido tiene una vulnerabilidad importante que permite a \u201cmalvertisers\u201d infectar sitios que ejecutan WordPress y redirigir a los visitantes a otras webs.<\/p>\n
Rich Reviews es un complemento de WordPress que permite a los sitios administrar rese\u00f1as internamente en WordPress, y tambi\u00e9n muestra las rese\u00f1as de Google. La empresa de marketing Nuanced Media lo lanz\u00f3 junto con el desarrollador de complementos Foxy Technology en enero de 2013.<\/p>\n
Sin embargo, la luna de miel no dur\u00f3 mucho. Al actualizar una antigua publicaci\u00f3n de blog<\/a> a principios de este mes, Nuanced Media reafirm\u00f3 que hab\u00eda descontinuado el complemento. Culp\u00f3 a un cambio en las pautas de esquema de Google que impidi\u00f3 a los comerciantes mostrar calificaciones de estrellas de revisi\u00f3n en sus propias URL.<\/p>\n La \u00faltima actualizaci\u00f3n<\/a> de la empresa al repositorio de Rich Reviews en GitHub fue hace m\u00e1s de tres a\u00f1os. El complemento finalmente desapareci\u00f3<\/a> del sitio de WordPress en marzo de este a\u00f1o. Hab\u00eda acumulado 106.000 descargas en total.<\/p>\n El problema es, que al menos algunos de esas descargas (16.000 seg\u00fan algunas estimaciones) todav\u00eda lo est\u00e1n utilizando y sufren una vulnerabilidad importante. El error de seguridad permite a los atacantes inyectar c\u00f3digo de publicidad maliciosa en las p\u00e1ginas de WordPress de las v\u00edctimas, llen\u00e1ndolas de anuncios emergentes o redirigi\u00e9ndolas a otros sitios.<\/p>\n Wordfence, que vende un firewall de WordPress, revel\u00f3<\/a> el error el martes.<\/p>\n Los atacantes se aprovechan de dos problemas en el plugin. El primero es la falta de controles de acceso para las solicitudes POST que modifican las opciones del complemento, lo que significa que los atacantes pueden realizar esas solicitudes sin autorizaci\u00f3n.<\/p>\n El segundo error es un problema de validaci\u00f3n de entrada. Algunas de esas solicitudes de modificaci\u00f3n pueden cambiar el texto que se muestra en el sitio, pero el complemento no valida el contenido de la solicitud.<\/p>\n Estos dos defectos combinados significan que los atacantes pueden inyectar c\u00f3digo JavaScript directamente en la p\u00e1gina del sitio web.<\/p>\n Los atacantes ya est\u00e1n explotando este error, seg\u00fan Wordfence. Se est\u00e1 utilizando como parte de una campa\u00f1a de publicidad maliciosa de larga duraci\u00f3n que la empresa ha informado anteriormente<\/a>, en la que los atacantes redirigen a los visitantes a sitios farmac\u00e9uticos o atacan directamente a sus navegadores.<\/p>\n Algunos usuarios de WordPress confirmaron que ya est\u00e1n sufriendo ataques basados en esta vulnerabilidad.<\/p>\n El usuario de WordPress @the9mm advirti\u00f3<\/a>, en un foro de soporte de WordPress, \u00a0que el complemento hab\u00eda permitido que el malware infectara tres de sus cuatro sitios, redirigiendo a los visitantes a sitios de malware y pornograf\u00eda. A\u00f1adi\u00f3:<\/p>\n Desactivar y eliminar el complemento solucion\u00f3 el problema.<\/em><\/p>\n Nuanced Media respondi\u00f3 de inmediato en el mismo foro, explicando que estaba trabajando en una soluci\u00f3n que estar\u00eda disponible en las pr\u00f3ximas dos semanas:<\/p>\n Hemos estado trabajando en una reescritura general de este complemento durante un tiempo, pero aparentemente alguien por ah\u00ed quer\u00eda que trabaj\u00e1ramos m\u00e1s r\u00e1pido y decidieron explotar nuestro complemento para sacar algo de malware. Ahora lo haremos doblemente r\u00e1pido y esperamos tener una nueva versi\u00f3n (mejor y segura) en las pr\u00f3ximas dos semanas.<\/em><\/p>\n Sin embargo, esta respuesta no impresion\u00f3 a Wordfence. La gente no puede actualizar el complemento a menos que Nuanced Media lo reintroduzca en el sitio de WordPress, dijo. Tambi\u00e9n critic\u00f3 la “vaga l\u00ednea de tiempo” de Nuanced Media para una soluci\u00f3n, por lo que decidi\u00f3 revelar el problema de inmediato para que los usuarios puedan deshacerse de \u00e9l.<\/p>\n Una cosa est\u00e1 clara: Nuanced Media sab\u00eda que hab\u00eda un problema de seguridad en este plugin en marzo, ya que el motivo de la eliminaci\u00f3n del plugin fue un problema de seguridad, aunque no est\u00e1 claro cu\u00e1l era ese problema.<\/p>\n El CEO de Nuanced Media, Ryan Flannagan, nos dijo que fue WordPress el que elimin\u00f3 el complemento en marzo, y agreg\u00f3:<\/p>\n La eliminaci\u00f3n de Rich Reviews del repositorio de plugins de WordPress tambi\u00e9n lo elimin\u00f3 de nuestras prioridades.<\/em><\/p>\n Dijo que la empresa no apoyar\u00e1 Rich Reviews a largo plazo y concluy\u00f3:<\/p>\n Es angustioso saber que algo que creamos se est\u00e1 utilizando como un vector de ataque: perjudicando a las empresas, frustrando a los administradores de sitios web y beneficiando al peor tipo de spammers. Sin embargo, debido a la reciente actualizaci\u00f3n de Google Schema y el alcance del proyecto Nuanced Media no respaldar\u00e1 el desarrollo continuo de Rich Reviews.<\/em><\/p>\n La empresa est\u00e1 buscando desarrolladores que est\u00e9n interesados \u200b\u200ben hacerse cargo del desarrollo del complemento, agreg\u00f3.<\/p>\n Esto plantea una pregunta interesante para la comunidad de WordPress. Si una empresa publica un complemento y miles de personas lo usan, \u00bfdeber\u00eda tener la obligaci\u00f3n de corregir los errores de seguridad conocidos lo antes posible, incluso si se elimina el complemento?<\/p>\n Automattic, que hace WordPress, no respondi\u00f3 a nuestras preguntas. Sin embargo, Mikey Veenstra, el analista de amenazas de Wordfence que public\u00f3 el error, opina:<\/p>\n Afortunadamente, en la mayor\u00eda de los casos vemos desarrolladores receptivos que se toman en serio la seguridad y son r\u00e1pidos resolviendo cualquier problema. Sin embargo, siempre hay excepciones como estas.<\/em><\/p>\n El objetivo principal de la comunidad es centrarse en educar a los desarrolladores sobre las mejores pr\u00e1cticas, concluy\u00f3.<\/p>\n <\/p>\n <\/p>\n Para manteneros al d\u00eda de las \u00faltimas amenazas<\/strong> haceros fans de nuestra p\u00e1gina de Facebook<\/a> o s\u00edguenos en Twitter<\/a> para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro bolet\u00edn de seguridad<\/a> en tu correo electr\u00f3nico, suscr\u00edbete en la siguiente aplicaci\u00f3n:<\/p>\n \t