Ataques a sistemas WordPress: Blogs en peligro

Pablo Fernández,

Uno de los mayores sistemas de blogging del mundo, WordPress, está expuesto a importantes amenazas de seguridad a través de la creación de Administradores “invisibles”.

WordPress es uno de los sistemas de publicación de blogs más extendidos a nivel mundial. La última versión 2.8 ha experimentado más de 5 millones de descargas. Ese éxito ha propiciado que los hackers también lo hayan situado en su lista de objetivos y recientemente se ha detectado una importante vulnerabilidad que se está explotando durante los últimos días.

Realmente se trata de un problema conocido de hace tiempo y que ha sido solucionado en esta última versión, pero es un verdadero agujero de seguridad en versiones anteriores.

De esta forma, los atacantes son capaces de acceder al sistema y crear cuentas de Administrador, las cuales utilizarán para insertar spam y malware en posts antiguos, lo que es más difícil de controlar por los verdaderos administradores.

wordpresslogo.png

Además, según recoge ITespresso, utilizan código JavaScript para ocultar las cuentas de Administrador creadas, así que es muy difícil su detección.
Este agujero de seguridad tan sólo puede ser explotado en las versiones antiguas de WordPress, por lo que se recomienda encarecidamente la actualización a la última versión 2.8.4.

De forma adicional, también es importante cambiar todas las contraseñas del sistema, tanto a nivel del panel de control como de base de datos, FTP o usuarios. Aprovechando el proceso, las nuevas contraseñas deberían ser más fuertes y complejas para evitar futuras intrusiones.

Tal y como señalan desde el blog oficial de WordPress, es de vital importancia una rápida actualización de versión. De hecho, el proceso de arreglar un blog que haya sido atacado no es precisamente tarea fácil.