Tecnología

¿Tiene página en WordPress? Ojo: un plug-in pone en riesgo millones de sitios web

Este complemento está instalado en más de once millones de páginas.

3 de abril de 2023
WordPress es una plataforma en la que se montan páginas web.
WordPress es una plataforma en la que se montan páginas web. | Foto: Europa Press

En la tarde de este lunes 3 de abril se conoció que debido a una vulnerabilidad presente en un ‘plug-in’ de WordPress, se han puesto en riesgo millones de sitios web creados con esta plataforma, ya que permite a un actor malicioso acceder como administrador y tomar el control del sitio con todos los privilegios.

En ese mismo sentido, se supo que Elementor Pro, como se reconoce a este ‘plug-in’, se utiliza en WordPress con el fin de permitir a los diferentes usuarios crear páginas web de apariencia profesional de forma sencilla, sin que sea necesario que sepan programar. Está instalado en más de once millones de páginas.

Teletrabajo
Positive young mixed race woman using a laptop and smartphone at home.Cozy home interior with indoor plants.Remote work, business,freelance,online shopping,e-learning,urban jungle concept. | Foto: Getty Images/iStockphoto

De acuerdo con los investigadores de NinTechNet, una empresa que ha diseñado una aplicación web firewall para WordPress, ha identificado una vulnerabilidad en Elementor Pro, que han calificado de ‘gravedad alta’, como recogen en su blog oficial.

Ahora bien, este error dentro del complemento informático se encuentra en la versión premium del ‘plugin’ y su explotación requiere tener WooCommerce habilitado en el sitio web, de tal forma que da acceso a la página de registro, donde un actor malicioso podría crear una cuenta con privilegios de administrador.

Por su parte, Jerome Bruandet, de NinTechNet, descubrió la vulnerabilidad el 18 de marzo, en la versión 3.11.6 (y anteriores) de Elementor Pro. Los investigadores de Patchstack han confirmado que la vulnerabilidad se ha explotado de forma activa, y por ello es recomendable instalar cuando antes la corrección que ya ha preparado Elementor (3.11.7), disponible desde el 22 de marzo.

ciberacoso / ciberbullying - referencia
El plugin está instalado en más de once millones de páginas. | Foto: Getty Images

Consejos sobre ciberseguridad que todas las empresas deben comenzar a implementar

La seguridad informática sigue siendo un tema crítico en todo mundo; siendo las empresas, las más afectadas por las acciones que comenten los ciberdelincuentes, que, de forma malintencionada, se apoderan de datos claves de las organizaciones, afectando así su funcionamiento y la prestación de servicios.

De acuerdo con la Cámara Colombiana de Informática y Telecomunicaciones (CCIT), los delitos informáticos vienen registrando un crecimiento importante en el país, y esto se constata en su estudio “Ciberseguridad en la era de la movilidad digital”, en el que se revela que para el primer semestre del 2022 se presentaron 11.079 denuncias relacionadas con hurto por medios informáticos; representando un alza del 15 % frente a igual periodo del año pasado. Mientras que en acceso abusivo a sistemas informáticos, se registraron 6.407 casos, 46 % más respecto a enero y junio del 2021.

Para hacerle frente a este flagelo, Ricardo Pulgarín, Senior Regional Security Solutions Architect de Cirion en LATAM, entregó una serie de recomendaciones a las empresas colombianas para el fortalecimiento de sus esquemas de ciberseguridad, para que, de esta manera, le sea más difícil a los delincuentes apoderarse de los datos de las organizaciones.

Ciberseguridad
La ciberseguridad se enfoca en proteger los sistemas importantes y la información confidencial de los ataques digitales. | Foto: Getty Images/iStockphoto

En primer lugar, aconseja proteger los sistemas de recuperación y realizar una copia de seguridad de los datos. Esto ayudará a las empresas a hacerle frente a incidentes provocados por ransomware u otro tipo de software maliciosos que utilicen los ciberdelincuentes para apoderarse de su información.

Seguido a esto, está el ejecutar simulacros de recuperación, debido a que este tipo de acciones garantiza que los datos estén disponibles, que cada recurso se pueda recuperar y que todo funcione como se espera. “Hay que sumarles una correcta comunicación a lo largo de la cadena de mando establecida y la definición de responsabilidades de equipos y personas”, apuntó.

Como tercera recomendación está relacionada con brindar formación al personal sobre la importancia de la ciberseguridad; por lo que una correcta capacitación será clave, tanto para entender los riesgos a los que se puede ver expuesta la compañía, como para que los colaboradores comprendan la importancia de asumir su responsabilidad ante posibles amenazas.

*Con información de Europa Press.