El complemento Buggy de WordPress permite a los usuarios borrar sitios web completos
Los investigadores de seguridad de Wordfence, un complemento centrado en la seguridad para WordPress, encontraron un error crítico en otro complemento para la plataforma de publicación. El problema se detectó en el complemento HashThemes Demo Importer para WordPress y la gravedad del problema es bastante alta.
La falla en el complemento HashThemes Demo Importer permitió que un usuario que haya iniciado sesión en la plataforma de WordPress y tenga acceso al backend de un sitio web borre completamente todo el contenido, incluidas las páginas, los artículos y los medios, así como el contenido de las bases de datos utilizadas por el sitio. Según las estadísticas, unos 8 mil sitios web tenían el complemento activo cuando se descubrió el error.
El propósito original del complemento de importación de demostraciones es permitir que los administradores de sitios basados en WordPress importen demostraciones de diseños y temas visuales de WordPress con un solo clic. El complemento acelera significativamente el proceso de vista previa y no implica el manejo manual de diferentes archivos de configuración que pueden ser específicos del sitio y el tema utilizado.
El equipo de Wordfence reveló el error siguiendo el protocolo debido, pero el desarrollador del importador de demostración no respondió durante semanas. Finalmente, los investigadores llevaron el problema directamente al equipo de complementos de WordPress y la versión defectuosa del complemento se eliminó el mismo día. Cuatro días después, se volvió a poner una versión parcheada y reparada.
Wordfence explicó que el problema con el complemento radicaba en la forma en que usaba Ajax. El error permitió que cualquier usuario que hubiera iniciado sesión, incluso aquellos con derechos y acceso predeterminados muy limitados, como los suscriptores, hiciera cambios drásticos en el sitio web, incluida la eliminación por completo de todo el contenido del sitio que ejecuta el complemento.
La conclusión simple aquí es que cada complemento conveniente que desee agregar a su configuración existente de WordPress aumenta la superficie potencial de ataque. Una funcionalidad más rica y una mayor facilidad de uso no siempre tienen que suceder a expensas de la seguridad, pero con los complementos de terceros, siempre existe la posibilidad de que algunas grietas estén presentes y ocultas a simple vista.