homefinance blog
¿Te preocupa cuán vulnerables son los complementos de WordPress en peligro? ¿Sabes? Los complementos vulnerables son la razón principal por la cual los sitios de WordPress son pirateados. De hecho, el 55.9% de los ataques de WordPress se deben a complementos vulnerables. Entonces, ¿dejas de usar complementos por completo? Al desarrollar el sitio web, es difícil construir y ejecutar un sitio de WordPress sin complementos, ya que agregan funcionalidad y más funciones a su sitio. Afortunadamente, hay una manera de usar complementos y mantener su sitio: el UL de seguridad. Cuando los desarrolladores de PLOW descubren una vulnerabilidad en su software, lo remedia e inicia inmediatamente una versión actualizada. Una vez que actualiza el complemento en su sitio, es seguro usarlo en su sitio. Sin embargo, millones de usuarios de WordPress llegan tarde, lo que deja sus sitios vulnerables frente a los piratas informáticos.
Si su sitio está pirateado, los piratas informáticos pueden usarlo para ejecutar todo tipo de actividades dañinas, como el robo de datos confidenciales, difundir anuncios no deseados y eliminar su sitio web. Un truco puede tener consecuencias devastadoras en su negocio y puede conducir a la suspensión de la cuenta de AdWords, la pérdida de visitantes, clientes e ingresos. Es por eso que aprender sobre complementos vulnerables y sus problemas de seguridad es tan importante. En este artículo, le mostraremos algunos de los complementos de WordPress más vulnerables que usan los propietarios de sitios de WordPress.
Tl; DR – Para mantener su sitio seguro contra las vulnerabilidades de los complementos de WordPress, es imprescindible actualizarlos tan pronto como estén disponibles nuevas versiones. Use nuestro complemento de seguridad MalCare para rastrear actualizaciones en un tablero centralizado. Puede implementar actualizaciones de bloques en su sitio web de WordPress, lo que hace que las actualizaciones sean mucho más fáciles.
¿Cómo puede un complemento de WordPress ser vulnerable?
8 complementos vulnerables de WordPress que han sido atacados recientemente
¿Cómo puede un complemento de WordPress ser vulnerable? Es importante saber que los desarrolladores de tercera parte crean complementos de WordPress, no el equipo de desarrolladores de WordPress. La mayoría de los complementos están disponibles en el almacén de WordPress, sin embargo, también puede encontrar complementos en mercados populares como Codecanyon o en el sitio web de Plough.
Hay más de 50,000 complementos de WordPress y se crean más todos los días. Los desarrolladores administran y mantienen bien sus complementos para asegurarse de que estén seguros, especialmente los premium. Estos complementos se adhieren a ciertas pautas que garantizan la seguridad de los usuarios. Sin embargo, los desarrolladores continúan mejorando sus productos y, a veces, experimentan problemas de tiempo para lanzar nuevas funciones. En algunos casos, durante el desarrollo del complemento, puede pasar por alto algunos defectos de seguridad que dejan el producto vulnerable. Una vez que los hackers encuentran vulnerabilidad, pueden explotarla para realizar muchos hacks, algunos de los cuales incluyen:
Redirige a los visitantes a otros sitios desconocidos.
Inyectando anuncios de spam y contenido en su sitio instalando malware como WP-Feed.php en su sitio para continuar sus ataques.
Creación de cuentas de administrador deshonesto.
Uso de los recursos de su servidor para iniciar ataques DDoS y enviar correos electrónicos de spam.
Los ataques de piratería como estos ralentizarán seriamente su sitio al reducir sus calificaciones de SEO. También ponen en peligro su negocio, ingresos y reputación. Debido a que los complementos vulnerables son la causa principal más grande de la mayoría de los piratas informáticos de sitios web, es importante saber cuáles son los complementos más vulnerables y qué remedios están disponibles.
Nota: Si utiliza alguno de estos complementos en su sitio web de WordPress, le recomendamos encarecidamente que actualice la última versión disponible de inmediato para evitar cualquier ataque de hack.
Los complementos vulnerables pueden llevar a piratear su sitio web. Siempre actualice los complementos regularmente para evitar ataques y proteger su sitio web de WordPress. Haga clic para enviar un tweet
8 Los complementos vulnerables de WordPress que han sido atacados recientemente muchos complementos populares de WordPress han sido atacados en el pasado, como las formas NextGen Gallery, Yoast SEO y Ninja. Aquí nos centramos en la lista de complementos vulnerables de WordPress que han sido explotados recientemente por los piratas informáticos.
1. Duplicador: complemento de migración de WordPress
El complemento duplicado es principalmente un complemento de migración utilizado para la copia de seguridad de WordPress. Los usuarios pueden crear una copia de repuesto de su sitio de WordPress y luego descargar una copia. También pueden clonar o migrar sus sitios a un dominio o huésped diferente. Es un complemento bastante popular con más de 1 millón de instalaciones activas. Recientemente, el complemento ha desarrollado una vulnerabilidad conocida como descarga arbitraria de archivos. Esta vulnerabilidad permitió a los atacantes exportar el contenido de un sitio de WordPress que tenía el complemento instalado. Los piratas informáticos también podrían descargar archivos confidenciales y robar las credenciales de la base de datos. Esto les permitió ingresar al sitio, tomar el control y continuar su ataque. Los desarrolladores han detectado vulnerabilidad y rápidamente han lanzado una actualización crítica de seguridad de WordPress en Duplicator 1.3.28 y Duplicator Pro Versión 3.8.71 en febrero de 2020. Expertos en la seguridad de la seguridad de Los sitios web dicen que más de 500,000 usuarios usan la versión vulnerable del complemento y aún no se han actualizado a la nueva versión. 2. Importador de manifestación de Megrill
ThemeGrill ofrece temas receptivos gratuitos y premium que le permiten crear un sitio profesional. El complemento de Demoporter de ThemeGrill permite a los usuarios de WordPress importar temas oficiales de ThemeGrill directamente a la placa de WordPress. Los usuarios también pueden importar contenido, widgets y configuraciones de temas. Este complemento tiene más de 200,000 instalaciones activas.
Sin embargo, una vulnerabilidad en este complemento permite a los piratas informáticos tomar el control de la cuenta del administrador. Los piratas informáticos podrían bloquear su propio sitio web e incluso borrar completamente su sitio. Los desarrolladores de ThemeGill lanzaron rápidamente un parche en la versión 1.6.3 en febrero de 2020. 3. El perfil de constructor de constructor Builder le permite dar a los clientes la opción de crear una cuenta en su sitio web. Puede crear conexiones de usuario front-end y formularios de registro en su sitio. También tiene formularios de perfil para que sus clientes personalicen sus cuentas.
El complemento tiene tres variantes: gratis, profesional y aficionado. Las versiones pro y aficionadas son versiones premium. Pro le permite usar el complemento en sitios web ilimitados de WordPress, mientras que Hobbyist le ofrece una licencia de sitio único. La versión gratuita de WordPress del complemento tiene más de 50,000 instalaciones activas, mientras que las versiones Pro y Hobbyist tienen un total de aproximadamente 15,000 instalaciones. En febrero de 2020, se descubrió una vulnerabilidad crítica que afectó a todas las variantes del complemento. Un error en el complemento hizo posible que un hacker registre cuentas de administrador no autorizadas en los sitios de WordPress. Esto permitió a un hacker crear una cuenta de administrador deshonesto y tomar el control total del sitio.
Esta vulnerabilidad afecta a todas las versiones del complemento hasta 3.1.0 inclusive. Se lanzó un parche de seguridad en la versión 3.1.1. 4. Campos de verificación flexibles para WooCommerce
Este complemento adicional de WooCommerce permite a los usuarios personalizar sus campos de pago. Esto significa que los usuarios pueden editar campos predeterminados en la página de pago y agregar sus propias etiquetas en su lugar. El complemento tiene más de 20,000 instalaciones activas. El complemento Flexible Chield Fields está bien mantenido y actualizado periódicamente por sus desarrolladores. El complemento tiene una vulnerabilidad que los piratas informáticos han comenzado a explotar activamente. La vulnerabilidad ha permitido a los piratas informáticos inyectar código malicioso en los sitios de WordPress. Esto les permitió llevar a cabo todo tipo de actividades, como crear cuentas de administración WP deshonestas, robo de datos y bloquear al administrador en su propio sitio web. Los desarrolladores lanzaron rápidamente un parche de seguridad en las versiones 2.3.2 y 2.3.3 el 25 de febrero de 2020. Desde entonces, el complemento se ha actualizado varias veces. Le recomendamos que actualice la última versión disponible. 5. Themerex Complete
El complemento de Addons Themerex está diseñado para ser un complemento que lo acompaña para una variedad de temas Themerex. Este complemento tiene varias funciones y widgets que extienden la funcionalidad de sus temas. El complemento se instala en unos 44,000 sitios de WordPress. Los hackers encontraron una vulnerabilidad en el complemento y comenzaron a atacar sitios web con este complemento. Y aquí, los piratas informáticos podrían explotar una debilidad de complemento para crear nuevas cuentas de administrador de usuarios. Themerex lanzó rápidamente una actualización, pero la actualización de suplementos Themerex es un poco más compleja. Debido a que el complemento no está disponible en el almacén de WordPress, no verá una actualización disponible para el complemento en su tablero de WordPress. Debe suscribirse al Boletín de Información Themerex para recibir información sobre actualizaciones en cualquiera de sus complementos y temas. Además, el complemento Themerex Addon se incluye en varios temas. Muchos propietarios de sitios pueden haber instalado un tema Themerex y es posible que no sepa que este complemento se ha instalado automáticamente en su sitio como parte del paquete. Si usa algún tema Themerex, recomendamos la actualización de la última versión. Puede actualizar el complemento de la cuenta Themerex. Si no puede hacer esto, es posible que deba instalar el complemento de actualizaciones Themerex. Póngase en contacto con Themerex para obtener más información sobre la actualización de este complemento. 6. Async JavaScript
El complemento Async JavaScript ayuda a reducir el tiempo de carga de la página, aumentando así la velocidad de la página y la experiencia del usuario. Su sitio de WordPress está compuesto por diferentes lenguajes de codificación, como PHP, CSS y JavaScript. Este complemento Async JavaScript mejora la forma en que JavaScript se carga en su sitio. El complemento tiene más de 100,000 instalaciones activas. Una vulnerabilidad del complemento permitió a los piratas informáticos ejecutar un ataque desde la distancia. Lectura recomendada: ataques de secuencias de comandos de sitios cruzados (XSS). Esto ha abierto la posibilidad de que los piratas informáticos roben información confidencial, cambien la apariencia del sitio de la víctima y engañen a los visitantes del sitio para que descarguen malware o revelen datos personales. Los desarrolladores han remediado todos los problemas presentes y también tomaron medidas de seguridad adicionales para asegurar el complemento. La versión más segura disponible al momento de escribir este artículo es la versión 2.20.03.01. En muchos casos, los desarrolladores de WordPress instalan este complemento mientras crean el sitio web, pero sus clientes pueden no ser conscientes de la existencia del complemento en su sitio. Pero afortunadamente, este complemento está disponible en el almacén de WordPress, y las notificaciones de actualización aparecen en el tablero de WordPress. 7. El calendario de los eventos modernos Lite
¡Este complemento para el calendario de eventos facilita la gestión de los eventos en los sitios web de WordPress!Tiene una interfaz receptiva y móvil, que permite a los propietarios de sitios mostrar fácilmente calendarios de eventos bien diseñados en su sitio.El calendario de eventos modernos Lite es gratuito y tiene más de 40,000 instalaciones activas.En febrero de 2020, el complemento experimentó una vulnerabilidad que permitía a los piratas informáticos inyectar malware en el sitio web de WordPress ejecutar ataques adicionales, como cambiar el aspecto del sitio y el robo de datos confidenciales.Todas las versiones del complemento hasta 5.1.6 eran vulnerables.Los desarrolladores han lanzado inmediatamente un parche y desde entonces han actualizado el complemento muchas veces.Si usa este complemento, recomendamos insistente para actualizar la última versión lo antes posible.8. Constructor de mapas de 10Web para Google Maps
El complemento de 10web Map Builder para Google Maps ofrece a los usuarios de WordPress una forma simple de agregar mapas a los sitios web de WordPress. Ofrece características y personalizaciones fuertes que lo hacen bastante popular con más de 20,000 instalaciones activas. Recientemente, ha habido una vulnerabilidad en el proceso de configuración del complemento. Permitieron a los piratas informáticos inyectar escrituras maliciosas en un sitio de WordPress. Pueden usar los scripts para atacar a los administradores, así como a los visitantes del sitio. Los desarrolladores lanzaron una versión actualizada 1.0.64 en febrero. Si tiene este complemento instalado en su sitio, una vez que actualice la última versión, se reparará la vulnerabilidad de la inyección. Si su sitio web ha sido pirateado debido a una vulnerabilidad en un complemento, recomendamos leer nuestra guía sobre cómo limpiar un sitio pirateado de WordPress. Esto nos lleva al final de los últimos complementos atacados. Esta lista no es exhaustiva. Desde nuestra experiencia con WordPress durante más de una década, los complementos tienden a desarrollar vulnerabilidades de seguridad de WordPress de vez en cuando. ¡La mejor manera de aliviar los ataques en su sitio debido a complementos vulnerables es actualizarlos tan pronto como hay una nueva versión disponible! Recuerde actualizar sus temas básicos de WordPress y WordPress. ¡La mejor manera de aliviar los ataques en su sitio debido a complementos vulnerables es actualizarlos tan pronto como hay una nueva versión disponible! Haga clic para enviar un tweet
8 complementos vulnerables de WordPress han sido atacados recientemente
Tags 8 complementos vulnerables de WordPress han sido atacados recientemente
