Se ha encontrado una vulnerabilidad crítica en el plugin Easy WP SMTP.
Vulnerabilidad crítica en el plugin Easy WP SMTP.
Aunque la vulnerabilidad se encuentra en la versión 1.3.9 del plugin hace algunos días que los ciber delincuentes están utilizándola para infectar miles de instalaciones de WordPress.
Empieza la historia
Hace unos días me encontré que una instalación de WordPress con la que trabajo normalmente. Tenía una redirección a páginas con spam y publicidad de productos de dudosa procedencia. Esta instalación de WordPress tengo que decir que estaba actualizada a la última versión del core de WordPress, todos sus plugins estaban actualizados a su última versión y las plantillas de los temas que utilizaba también estaban actualizados a la última versión.
Todos los parámetros de seguridad que había aplicado en esa instalación estaban correctos, lo he hecho muchas veces y sé que esto estaba como tenía que estar, sin embargo, la instalación había sido hackeada y no sabía porqué.
A pesar de que el core de WordPress es bastante seguro, lo primero que pensé es que había una vulnerabilidad en el core puesto que todo estaba actualizado correctamente. Escaneé la instalación con diversos servicios online y plugins de seguridad en busca de código malicioso y con ninguno encontré nada. He de decir que para ello utilizo servicios como Virustotal o Sucuri Sitecheck Y plugins como Wordfence, All in one WordPress Security and FireWall (que ya sabeis que me encanta) y algún otro más.
Utilización de un firewall
Al no encontrar nada y descartar que habían entrado robando la contraseña del administrador de la instalación (puesto que utilizo acciones de seguridad como el doble factor de autenticación, el acceso al panel de control oculto y el acceso a archivos críticos de WordPress desde el exterior estaba capado) decidí añadir un plugin de seguridad como Ninja FireWall y esperar a ver si ocurrían acontecimientos sospechosos.
Efectivamente, tras instalarlo, empecé a observar movimientos sospechosos desde IPs de diversos países que no eran España y, por supuesto, no era yo. Todas llamaban a un archivo admin-ajax.php que como sabrás es utilizado por WordPress para diversas funciones importantes y lo que es peor, un usuario no autenticado puede hacer (desde fuera) peticiones Ajax a ese archivo para ejecutar la vulnerabilidad en el código del plugin.
¿Qué puede ocurrirnos?
Con estas peticiones se puede inyectar código, objetos PHP, incluso cambiar los roles o mejor dicho, las capacidades de acción que tienen los usuarios de WordPress de manera que un simple usuario suscriptor podría tener capacidades de administrador y no darnos ni cuenta. Esto ya suena bastante grave ¿verdad?
Estas tranquilos, la vulnerabilidad fue solucionada con la versión 1.3.9.1 del plugin. Si aún tienes la versión anterior, la 1.3.9, te recomiendo que actualices inmediatamente si no quieres tener sorpresas muy desagradables.
Consejos de seguridad para comprobar que no ha sido jaqueado
Comprueba que no hay nuevos usuarios en el menú usuarios de tu panel de administración.
Comprueba que la dirección de e-mail del administrador es correcta.
Cambia todas las contraseñas tanto de tus usuarios como del acceso ftp y el acceso a la base de datos.
Cambiar la contraseña del servidor SMTP.
Realiza todos los cambios que se te ocurran principalmente de accesos que utilizas normalmente y que nunca hayas cambiado.
Espero que antes de terminar de leer este post ya hayas actualizado el plugin y esto se haya quedado en una simple anécdota no por ello poco importante.
