Fallo de seguridad WP File Manager

Creado el 06 septiembre 2020

WordPress es un CMS muy potente, completo y seguro, pero al ser el más utilizado suele ser uno de los más atacados. Y más aún si la vulnerabilidad la presenta uno de los plugins más utilizados, en este caso WP File Manager. 

El plugin de WordPress File Manager es un gestor de archivos muy potente e intuitivo. Nos permite subir, editar, descargar, borrar, etc archivos. De esta manera no es necesario utilizar el panel de administración de tu hosting para acceder a tus archivos. Sino que podrás acceder a ellos desde dentro de tu CMS WordPress.

Este plugin tiene una versión básica gratuita, y una versión premium de pago. Además, como funcionalidad extra, permite que los usuarios descarguen archivos de un sitio web.

Fallos de seguridad de plugins

Cuando utilizamos plugins para aumentar las funcionalidad es por defecto de WP, puede tener otra cara menos positiva. Cada plugin puede ser una nueva puerta de ataque a la web. Por tanto, cualquier fallo de seguridad de los plugins que tengamos instalados (activos o no) en nuestro sitio web, la seguridad de nuestra web también se verá comprometida. 

Esta es una de las razones por las que siempre se aconseja emplear el menor número de plugins posible.Y una vez que ya no los utilizas, desinstalarlos. Por supuesto, es imprescindible estar atentos siempre a las actualizaciones disponibles. Si no tienes tiempo de hacerlo, se te olvida de estar pendiente, o no entiendes del tema, te aconsejamos contratar los servicios de mantenimiento web a un profesional.

¿Porqué es necesario ser tan precavidos? 

Porque los hackers están continuamente pendientes de los fallos de seguridad de los plugins, sobretodo si son muy populares. Al ser de los más instalados, hay un mayor número de sitios web que utilizan este código, y por tanto el hacker con el mismo esfuerzo puede obtener una mayor tasa de sitios hackeados. En cambio, si ataca plugins con un menor número de instalaciones, sus opciones de éxito son menores. 

¿Qué ha sucedido con WP File Manager?

WP File Manager es un plugin muy popular entre los usuarios de WordPress, ya que cuenta con más de 700.000 instalaciones activas. Era un objetivo muy jugoso para los ciberdelincuentes.

El fallo de seguridad ha venido a través de una versión antigua del plugin, de la 6.0 a la 6.8 (según datos de Wordfence), que permite al hacker subir al servidor archivos de imagen, que realmente contienen webshells. La versión 6.9 ya contiene un parche de esta vulnerabilidad.

Este es un tipo de vulnerabilidad del día 0, en este caso, un usuario no autenticado (no logeado en WordPress) podía ejecutar comandos del administrador de archivos accediendo directamente a un archivo no protegido de elFinder.

El problema viene por el cambio en la extensión de un archivo de la biblioteca elFinder. El archivo no se utilizó con las restricciones de acceso adecuadas. A pesar que elFinder dispone de una protección para determinados tipos de ataques. Estos ataques provienen de usar el comando upload de php para cargar archivos con webshells ocultos en una imagen. Algo así como un troyano, parece ser un archivo de imagen normal, pero dentro trae un código malicioso.

¿Qué son las webshells?

Las webshells contienen scripts, trozos de código que contienen instrucciones para ejecutar en el servidor. Estas webshells se suben al servidor web aprovechando alguna vulnerabilidad del sistema. La funcionalidad de estos códigos es que el atacante obtenga información sensible, se haga con el control de la página web, o cualquier otra finalidad malintencionada. Otra de las funcionalidades de este tipo de scripts, es insertar código malicioso en la base de datos como por ejemplo, borrar o modificar todo el contenido de tu web.

  • El más simple puede ser visualizar la base de datos, para obtener la información que hay en ella. Por ejemplo: datos de clientes, tarjetas de crédito/débito almacenadas en la base de datos, u otro tipo de datos sensibles.
  • Obtener y modificar archivos alojados en el servidor, e incluso eliminarlos. Ya podrás imaginar qué ocurre si se elimina un archivo de la web, o se modifica, y se incluye una redirección a página de terceros, por ejemplo.
  • Un acceso persistente. Es decir, un acceso continuado a nuestro servidor. De esta manera, nuestro servidor, estará a libre disposición del atacante.
  • Ataques coordinados, entre diferentes servidores o páginas webs que hayan sido comprometidas. Es decir, se infectan varias webs con un código malicioso que tras una señal realizan una tarea en conjunto. Como por ejemplo un ataque de DDoS (un ataque de denegación de servicio para tirar abajo un servidor).
  • Y por último, si nuestra web está alojada en un servidor propio de la empresa, a través de la web, se podría acceder al servidor completamente. Por lo que se podría visualizar e interceptar todo el tráfico de esa red interna, quedando vulnerable toda la instalación: servidores, firewall, router, equipos personales, y cualquier otro equipo conectado a la red. 

Este tipo de ataques mediante webshells son complejos de identificar y muy fáciles de ejecutar, porque no hace falta un conocimiento amplio para hacerlo, por lo que suponen un gran peligro para las webs. Se puede hacer mediante patrones de comportamiento de las acciones del servidor; también, se puede prohibir la ejecución de ciertas funciones, pero esto podría causar problemas en el uso legítimo del servidor. Por tanto, la mejor y más eficaz de las maneras de prevenir este ataque es mediante un correcto mantenimiento de la web.

Soluciones para el ataque de WP File Manager

La solución más fácil, si todavía no has sido afectado, es la actualización del plugin.
Si tu sitio esta afectado deberías contratar algún servicio de limpieza y desinfección a la web. Te recomendamos contactar con un profesional para que tengas la tranquilidad de que el problema se ha solucionado. Si prefieres intentarlo tú, algunos de los plugins para limpiar, prevenir y/o detectar malware en WordPress son:

  • AntiMalware security and brute force firewall
  • Ninja scanner para WordPress
  • Wordfence security para WordPress
  • WPScan para WordPress

Otra opción :

Según las fuentes consultadas (Wordfence) con la eliminación del archivo lib/php/connector.minimal.php se soluciona este problema. Este borrado evita que los atacantes se aprovechen de esta vulnerabilidad, y el plugin permanece activo con todas sus funcionalidades. 

Si no te convence ninguna de las soluciones anteriores, tendrías que desinstalar el plugin. y para no perder la funcionalidad de gestor de descargas instalar unos de estos que te listamos a continuación.

Si por algún motivo, tu WordPress no puede realizar esta actualización del WP File Manager a su versión 6.9, tienes la opción de trabajar con algunas de las siguientes opciones. 

1. WordPress Download Manager (Gratuito)
2. Advanced File Manager (Gratuito)
3. Easy Digital Downloads (Gratuito) -solo para descargas digitales-
4. WooCommerce (Gratuito) -ideal si cuentas con un ecommerce-
5. Lana Downloads Manager (Gratuito)
6. Shared Files for WordPress (Gratuito y Premium)
7. File Manager (Premium)
8. WooCommerce Attach Me! (Premium)
9. File Manager Plugin for WordPress (Premium)
10. Groups File Access WordPress Plugin (Premium)
11. WordPress File Download Manager (Premium)
12. WP File Download (Premium)
13. Use-your-Drive (Premium)

Recomendaciones para evitar posibles ataques futuros

Estas recomendaciones que te damos pueden ayudarte a prevenir este tipo de ataques y otros que puede sufrir tu web. 

  • Instalar un plugin de seguridad en tu web, por ejemplo All In One Security and FireWall, Wordfence o iThemes Security, entre otros.
  • Mantén siempre actualizados tus plugins de WordPress, tu core y tus temas.
  • Si tienes un nivel más alto de conocimiento puedes revisar de manera periódica los logs del servidor para poder prever posibles vectores de ataques a la web. Puedes aprovechar la reciente novedad de WordPress que te permite realizar las actualizaciones automáticas. Esta configuración podemos modificarla buscando en el archivo wp-config.php la siguiente línea (si no aparece puedes agregarla):
    define(‘WP_AUTO_UPDATE_CORE’,true);
    Si en esta línea, al final aparece “true”, se activan todas las actualizaciones, mayores, menores y de desarrollo. Por el contrario si aparece “false”, se desactivan todas las actualizaciones. El valor habitual es “minor” para actualizar solamente las versiones menores. 

Etiquetas: wordpress, seguridad

 

Volver

centosdebianispconfigillumosopenvzsupermicrociscocogenthurricane ripe-ncc