Ciertas páginas de WordPress fueron sometidas a una actualización forzada para corregir una vulnerabilidad en UpdraftPlus. La corrección fue de manera obligatoria se genero a pedido de los programadores de UpdraftPlus debido a la dificultad de la vulnerabilidad, que ayuda que los suscriptores, usuarios y otras personas que no sean de confianza descargar la base de registro privado del sitio siempre que mantengan una cuenta en el sitio vulnerable.
Los datos suelen contener información confidencial sobre los usuarios o la configuración de seguridad de la página, lo que deja a millones de páginas vulnerables a violaciones graves de registros que filtran nombres, contraseñas, direcciones IP y otros tipos de información
Servicio de seguridad
UpdraftPlus facilita el procedimiento de copia de seguridad y restaura la base de datos de páginas web y es el complemento sobre la copia de seguridad dispuesta más usada en Internet dirigida al sistema de gestión de contenido en WordPress. Activa la copia de seguridad de registros en Dropbox, Amazon S3, Google Drive, y otros servicios encontrados en la nube. Sus programadores dicen que igualmente permite a los usuarios disponer de diferentes copias de seguridad periódicas y es más rápido y usa menos recursos sobre el servidor de complementos de WordPress en la competencia.
Este error es muy fácil de explotar, generando malos resultados si este es explorado, expresó Marc Montpas, analista de seguridad que dio a conocer la vulnerabilidad y la notificó de manera privada a los programadores del complemento. “Esto ayudo a los usuarios con pocas franquicias descargar las copias de seguridad desde su página web, que contienen copias de seguridad de bases de registros sin procesar. Las cuentas con franquicias bajas que pueden aparentar muchas cosas. Suscriptores usuales, clientes entre otros beneficiarios más.
El investigador de una compañía de seguridad web, Montpas, indicó que halló la vulnerabilidad durante una audiencia de seguridad del complemento y suministró detalles a los programadores de UpdraftPlus el martes. Al día siguiente, los programadores lanzaron un parche y lo instalaron a la fuerza en las páginas de WordPress donde se actualizo el complemento.
Actualización fácil y recomendada
Estadísticas facilitadas por WordPress.org Para revelar que 1,7 millones de páginas tomaron la actualización el pasado jueves y unos 287.000 lo habían instalado durante el momento de la publicación. WordPress expresa que el complemento cuenta con más de 3 millones de clientes.
Esta falla ayuda a que cualquier cliente que haya iniciado sesión durante la instalación de WordPress con un complemento de UpdraftPlus activo tenga el privilegio de descargar una nueva copia de seguridad existente, una libertad que debería haberse reservado solo para clientes administrativos.