Descubren falla crítica en WordPress que permitiría robo de sesión

hacks wordpress

Una de las cosas que preocupan de los sitios web es su posible vulnerabilidad. No tiene nada de raro, pues de ser atacados por agentes externos, la página podría estar en riesgo de desaparecer. O algo peor. Los hacks WordPress se encuentran dentro de este grupo, y dada la popularidad de la plataforma, que generen ataques activamente le produce a más de uno un dolor de cabeza agudo.

Es lo que está pasando ahora. No hace mucho se descubrió una vulnerabilidad dentro de uno de los plugins que los hacks WordPress están explotando. El mismo proviene de Live Chat, herramienta usada con exagerada frecuencia por casi todas las páginas que requieren o desean añadir un chat de asistencia en tiempo real para su audiencia.

Descubre quién usa tu Red Wifi sin tu consentimiento

Dicha vulnerabilidad le permite a los hacks WordPress incluso robar las sesiones de Chat de los usuarios. Comprometiendo así la seguridad de todas las personas que interactúan con la página atacada y sumando miles de datos personales valiosos a los delincuentes virtuales.

hacks wordpress

Puedes leer: ¿Cómo saber quién está conectado a mi WiFi?

Hacks WordPress vulneran sitios web usando falla en el plugin Live Chat: ya hay víctimas

No mucho después de que los investigadores de seguridad estuvieran advirtiendo sobre esta vulnerabilidad, empezaron a salir páginas web afectadas a la luz. Una de ellas fue el popular blog de noticias de Latinoamérica conocido como La Patilla.

Desde el martes 11 de junio, la página ha estado cerrada, mientras anunciaban desde su cuenta en Twitter: “Debido a un problema mundial con WordPress estamos experimentando fallas en nuestra plataforma. Disculpen los inconvenientes”.

Tales problemas parecen haber tenido origen en Live Chat, al haber quedado expuestos ante hacks WordPress que atacaran la página y robaran datos de las conversaciones y cuentas en los diferentes chats.

El blog de noticias usaría el plugin Live Chat como parte de sus recursos para recibir la opinión de su audiencia. Y tal parece que no habían tomado las medidas oportunas para evitar un posible ataque luego de saberse que existía un fallo en la herramienta WordPress desde hace poco.

Quizás te interese: Las mejores tendencias en diseño web del 2019

El fallo en Live Chat que permite a los hacks WordPress tomar ventaja de los blogs vulnerables a sus ataques

Este tipo de error o vulnerabilidad fue identificado como CVE-2019-12498; la misma parece ubicarse justo en el soporte de chat en vivo de WordPress. Dicho recurso actualmente es manejado por un número mayor a las 50.000 empresas, con la intención de acercarse a sus clientes y ofrecerles cualquier ayuda o soporte que requieran en tiempo real.

El problema reside justamente en los factores de autenticación. Existe una verificación de validación incorrecta para realizar la autenticación de los usuarios; y esta al parecer le abre la posibilidad a los usuarios que no han hecho este paso el poder entrar a los puntos finales en la API REST que usualmente se mantiene restringida.

hacks wordpress

Los puntos finales de los que hablamos incluyen una gran cantidad de datos expuestos para los hacks WordPress. Todos en relación a la información que fluye dentro de los chats. Así, pueden hacerse con el historial de chat existente en todas las sesiones.

También tienen a su alcance el modificar o eliminar la información que se encuentra en el mismo historial. Lo que es peor, pueden hacerse pasar por agentes de atención al cliente oficiales para publicar sus propios mensajes. Esto les da pie a suministrarles links maliciosos a los usuarios donde poder instalar malware en sus ordenadores e infectarlos.

WordPress ya puso manos a la obra para corregir este error

Todos los blogs WordPress que poseen la versión 8.0.32 de Live Chat o una anterior se encuentran expuestas a los ataques cibernéticos. Lo fatal de este tipo de error es que le permite a los hacks WordPress atacar no sólo a los elementos de la página en sí, sino también a sus clientes y todo aquel que pase por el chat.

hacks wordpress

Por fortuna, este error fue notificado inmediatamente de ser descubierto; y como era de esperarse, WordPress lanzó una versión actualizada con un parche que cubre este fallo. Por ende, la versión más actual de Live Chat ya no pone en riesgo los historiales de los chats, ni a los usuarios que escriben por este medio.

Tema de interés: ¿Cuál es la mejor plataforma para crear mi blog gratis?

En conclusión: ¡Actualiza YA Live Chat!

La recomendación clara y concisa para poder prevenir cualquier posible ataque de tu sitio es que actualices inmediatamente el plugin. Esto si eres de los que gusta de tener un servicio de Chat Online dentro de tu blog WordPress y usas Live Chat para conectar directamente con tus suscriptores.

Dentro de la página de WordPress donde está la opción de descargar Live Chat, se encuentra vigente su última versión, actualizada hace una semana atrás. WP Live Chat 8.0.34. Parte de lo que hace atractivo a este plugin es que es gratuito y posee opciones para chats de asistencia ideales.

Si te da miedo considerar ahora este plugin, en caso de que aún no tengas ninguno para instalar Chats en vivo en tu página, no deberías. En este amplio mundo de herramientas web, siempre existen vulnerabilidades de la que menos esperas.

Lo oportuno es que siempre te mantengas al tanto de sus últimas actualizaciones y noticias para que, enseguida de suceder un evento inoportuno que comprometa la seguridad de tu sitio, encuentres el parche de solución de inmediato y te ahorres un dolor de cabeza innecesario.

También te puede interesar:

Dejar respuesta

Por favor introduce tu comentario
Por favor introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.