Wettable Powder Slimstat (WP-Slimstat), o mejor dicho, el complemento de los blogs de este servicio para conocer estadísticas de los usuarios que visitan este es el que está provocando los problemas. Expertos en seguridad han detectado que la versión actualmente disponible de este plugin compromete de forma seria la seguridad de los sitios web, permitiendo a los atacantes realizar varios tipos de ataques, obteniendo información o incluso conseguir el control de la página.
El fallo reside en el empleo de una clave que se puede averiguar con suma facilidad, utilizada para firmar los datos enviados. El fallo fue detectado el pasado martes y los responsables del complemento se han puesto manos a la obra para encontrar una solución al problema que ha dejado expuestos más de 1,3 millones de páginas web. Tal y como era de imaginar, la única solución existente hasta el momento es desactivar este complemento, evitando de esta forma que terceras personas puedan utilizar las comunicaciones realizadas por este para introducir consultas o códigos en el sitio web.
Y es que una vez que la clave de seguridad utilizada se ha roto, el ciberdelincuente podría realizar la inyección de código SQL para realizar consultas y conseguir información sensible almacenada en la base de datos.
Los usuarios ya están alertado sobre este problema y desde el servicio se insta a actualizar la versión de este desde el momento en el que la actualización que ponga fin al problema esté disponible. Aunque no se sabe si las versiones anteriores están afectadas, hasta el momento ha concretado que la 3.9.6, disponible e la actualidad, está afectada por este problema de seguridad.
WordPress y los complementos
Siempre hablamos de fallos de seguridad de este servicio, pero hay que aclarar que muchos de ellos están provocados por el software adicional que se puede utilizar, algo similar a lo que sucede hoy en día con los navegadores de Internet, permitiendo la instalación de software adicional que podría no ser fiable en lo referido a materia de seguridad.
Aunque es un aspecto que se escapa de la responsabilidad de los propietarios del servicio, sí que hay que mencionar que para solucionar de forma momentánea cualquier problema de seguridad de este estilo siempre se puede recurrir a la desactivación temporal del complemento.
Fuente | The Hacker News