Jueves, 16 Abril 2015 15:58

Comprueba rapida y facilmente si tus plugins de WordPress son vulnerables

Escrito por 
CMS:  WordPress |  Versión:  4.1 |  Nivel de dificultad:  Básico |  Tiempo estimado de lectura:  10 minutos


Comprueba rapida y facilmente si tus plugins de WordPress son vulnerablesNo es la primera vez, ni será la última, en la que te hablamos de la importancia de mantener los plugins de WordPress siempre actualizados, ya sea como medio para disfrutar de las mejoras que vayan incorporando o como protección frente a vulnerabilidades y así evitar ataques contra nuestra instalación.

Una de las razones que te puede llevar a vigilar más los plugins que tienes instalados es que hagas uso de versiones comerciales, fuera del circuito habitual del Directorio de Plugins de WordPress porque no cumplen con la licencia GPL o que hayan sido obtenidos de sitios de poca confianza y que puedan ser la puerta de entrada a tu sitio web.

Y otra razón importante son las vulnerabilidades a las que se ven sometidos casi de forma constante los plugins. En lo que va de mes de abril vamos ya por 32 vulnerabilidades descubiertas y publicadas, sin contar los 0days que pueda haber, razón suficiente para tener un control sobre los plugins que tenemos instalados y ¡tomar medidas correctoras! en caso de ser vulnerables.

2015-04-15	WordPress MiwoFTP Plugin 1.0.5 Multiple CSRF XSS Vulnerabilities	Published	
2015-04-15	WordPress MiwoFTP Plugin 1.0.5 CSRF Arbitrary File Creation Exploit (RCE)	Published	
2015-04-15	Wordpress Video Gallery 2.8 SQL Injection	Published	
2015-04-15	WordPress MiwoFTP Plugin 1.0.5 CSRF Arbitrary File Deletion Exploit	Published	
2015-04-13	Wordpress N-Media Website Contact Form with File Upload 1.3.4 - Shell Upload Vulnerability	Published	
2015-04-13	WordPress Work The Flow File Upload 2.5.2 - Arbitrary File Upload Vulnerability	Published	
2015-04-13	Wordpress Plugin 'WP Mobile Edition' 2.7 - Remote File Disclosure Vulnerability	Published	
2015-04-13	Wordpress Duplicator <= 0.5.14 - SQL Injection & CSRF	Published	
2015-04-11	WordPress Duplicator 0.5.14 Cross Site Request Forgery / SQL Injection	Published	
2015-04-11	WordPress Fusion Engage Local File Disclosure	Published	
2015-04-10	WordPress Windows Desktop And iPhone Photo Uploader File Upload	Published	
2015-04-09	Wordpress Traffic Analyzer Plugin 3.4.2 - Blind SQL Injection	Published	
2015-04-09	WordPress Shareaholic 7.6.0.3 Cross Site Scripting	Published	
2015-04-09	WordPress SP Project & Document Manager 2.5.3 - Blind SQL Injection	Published	
2015-04-09	WordPress All In One WP Security & Firewall 3.9.0 SQL Injection Vulnerability	Published	
2015-04-07	WordPress Work The Flow 2.5.2 Shell Upload	Published	
2015-04-05	Wordpress Video Gallery Plugin 2.8 - Multiple CSRF Vulnerabilities	Published	
2015-04-05	Wordpress WP Easy Slideshow Plugin 1.0.3 - Multiple Vulnerabilities	Published	
2015-04-04	WordPress PHP Event Calendar 1.5 Arbitrary File Upload	Published	
2015-04-04	WordPress Simple Ads Manager 2.5.94 File Upload	Published	
2015-04-04	WordPress Simple Ads Manager 2.5.94 / 2.5.96 Information Disclosure	Published	
2015-04-04	WordPress Simple Ads Manager 2.5.94 / 2.5.96 SQL Injection	Published	
2015-04-03	Wordpress Simple Ads Manager 2.5.94 - Arbitrary File Upload	Published	
2015-04-03	WordPress VideoWhisper Video Conference Integration 4.91.8 Shell Upload	Published	
2015-04-03	Wordpress Simple Ads Manager - Information Disclosure	Published	
2015-04-03	Wordpress Better-wp-security Plugin Remote Code Execution	Published	
2015-04-03	WordPress VideoWhisper Video Presentation 3.31.17 - Remote File Upload	Published	
2015-04-03	WordPress DesignFolio+ Theme File Upload	Published	
2015-04-03	WordPress Revolution Slider File Upload	Published	
2015-04-03	Wordpress Simple Ads Manager Plugin - Multiple SQL Injection	Published	
2015-04-03	WordPress VideoWhisper Video Presentation 3.31.17 Shell Upload	Published	
2015-04-01	WordPress Business Intelligence Lite 1.6.1 SQL Injection  Published


Un plugin será vulnerable y podrá ser explotado hasta que el plugin no se elimine de la instalación o se libere una actualización de seguridad y se aplique para corregir el problema.

Con el plugin Plugin Security Scanner queremos que aprendas a analizar tus plugins en busca de vulnerabilidades y puedas resolverlo fácilmente.

WordPress

Plugin Security Scanner

Este plugin te avisa si alguno de tus plugins instalados tienen vulnerabilidades de seguridad.

El plugin se encarga de analizar los plugins que tengas instalados, activos o no, y cotejarlos con la base de datos de vulnerabilidades de WPScan y reportarte los resultados para que tomes las medidas correctoras oportunas. El plugin no corrige la vulnerabilidad detectada, solo te informa.



Por defecto, aunque puedes utilizar el plugin bajo demanda, en el momento deseao para analizar si tienes plugins vulnerables, por su propia cuenta el realiza una exploración una vez al día, y te envia un correo electrónico si encuentra plugins vulnerables en tu instalación.

Nota: No ha sido probado en multisitios de WordPress. Se recomienda evaluarlo dentro de una "sandbox" para multisitios.

En el siguiente vídeo te ilustramos un caso de detección de un plugin vulnerable y como le aplicamos la debida corrección.



Nunca descargues plugins de fuentes no confiables y en la medida de lo posible mantenlos siempre actualizados.



¿Te ha resultado interesante este artículo?

Suscríbete para recibir consejos exclusivos para WordPress, Joomla y PrestaShop



Luis Méndez Alejo

Miembro del equipo técnico de Webempresa.
Coordinador de contenidos en el Blog y en Youtube.
Google+