Jetpack expuso millones de sitios de WordPress a los atacantes – Ecoticias

Jetpack es uno de los complementos de WordPress más populares, ofrece funciones gratuitas de seguridad, rendimiento y administración de sitios web, como inicios de sesión seguros, escaneo de malware, copias de seguridad de sitios web y protección contra ataques de fuerza bruta.

Actualmente, el complemento tiene más de cinco millones de usuarios activos y fue desarrollado y mantenido por Automattic, la empresa matriz de WordPress.

¡La vulnerabilidad aún no ha sido explotada!

La vulnerabilidad fue encontrada por Adham Sadaqah, que estaba procesando el código de inserción de Jetpack. Reveló responsablemente el problema de seguridad de la empresa.

Jetpack expuso millones de sitios de WordPress a atacantes
Jetpack expuso millones de sitios de WordPress a atacantes

Aunque la compañía no ha dado a conocer ningún detalle sobre la falla para proteger a sus usuarios. Pero la compañía confirmó que el error afecta a todas las versiones de Jetpack desde 5.1 en adelante. Sin embargo, la buena noticia es que los desarrolladores de Jetpack no encontraron evidencia de que se explotara la vulnerabilidad.

Se ha lanzado un nuevo parche:

Jetpack lanzó una actualización de seguridad crítica 7.9.1. Pero es solo cuestión de tiempo que alguien invierta la ingeniería del parche y aproveche la vulnerabilidad. El equipo de desarrollo también trabajó con el equipo de seguridad de WordPress.org para lanzar parches para Jetpack 5.1 y posteriormente para actualizar el parche automáticamente.

¡Millones de usuarios ya han solucionado la falla!

Según los complementos de WordPress, cuatro millones de cada cinco millones ya han solucionado la vulnerabilidad. Por lo tanto, cualquier persona que no esté ejecutando Jetpack 7.9.1 debe actualizar el parche de inmediato; de lo contrario, se expondrá a posibles estafadores.

¡Las fallas de seguridad no son nuevas en Jetpack!

Durante la auditoría interna del bloque Formulario de contacto en diciembre de 2018, el equipo encontró una vulnerabilidad grave que se actualizó posteriormente. En 2016, se encontró otra vulnerabilidad en los códigos de acceso de Jetpack, la cual fue corregida en mayo de ese año.

El año pasado, los piratas informáticos encontraron una manera de instalar complementos de puerta trasera en sitios de WordPress, exponiendo muchas cuentas de WordPress.com y la función de administración remota del complemento Jetpack.