Una vulnerabilidad crítica encontrada en un plug-in de WordPress, que ha sido descargado más de 1.7 millones de veces, permite a atacantes potenciales tomar el control completo de los blogs que lo utilizan. El fallo se encuentra en el plug-in de MailPoet Newsletter, anteriormente conocido como wysija-newsletters y fue descubierto por investigadores de la empresa de seguridad Sucuri.

“Este fallo debe ser tomado en serio. Da a un intruso potencial la capacidad de hacer lo que quiere en el sitio web de su víctima", ha afirmado Daniel Cid, jefe de tecnología de Sucuri, en un blog. "Permite la carga de cualquier archivo PHP. Esto puede permitir a un atacante utilizar su sitio de Internet para señuelos de phishing, enviar correo, albergar malware e infectar a otros clientes”.

El fallo fue el resultado de que los desarrolladores de MailPoet asumieran erróneamente que "admin_init" en WordPress sólo se activa cuando un administrador visita páginas desde el panel de administración, ha dicho Cid.

Los desarrolladores de MailPoet usaron “admin_init” para verificar si al usuario activo se le permite subir archivos, pero dado que en realidad también se activa por una página accesible a usuarios no autenticados, la funcionalidad de cargar archivos del plug-in se puso a disposición prácticamente de cualquier persona. Es fácil cometer este error y todos los desarrolladores de plug-in deben ser conscientes de este comportamiento, ha comentado Cid. "Si usted es un desarrollador, nunca use ‘admin_init’ o ‘is_admin’ como método de autenticación".

Los sitios WordPress son un objetivo constante de los piratas y los que son penetrados se utilizan con frecuencia para albergar páginas de spam o contenido malicioso como parte de otros ataques. Los ciberdelincuentes rastrean Internet cada día para identificar instalaciones de WordPress afectadas por vulnerabilidades como la encontrada en MailPoet.