Una vulnerabilitat crítica trobada en un plug-in de WordPress, que ha sigut descarregat més d’1,7 milions de vegades, permet a atacants potencials prendre el control complet dels blogs que l’utilitzen. La fallada està en el plug-in de MailPoet Newsletter, anteriorment conegut com a wysija-newsletters i el van descobrir investigadors de l’empresa de seguretat Sucuri.

“Esta fallada s’ha de prendre seriosament. Dóna a un intrús potencial la capacitat de fer el que vol en el lloc web de la seua víctima", ha afirmat Daniel Cid, cap de tecnologia de Sucuri, en un blog. "Permet la càrrega de qualsevol arxiu PHP. Açò pot permetre a un atacant utilitzar el seu lloc d’Internet per a esquers de phishing, enviar correu, albergar programari maliciós i infectar altres clients”.

La fallada va ser el resultat que els desenvolupadors de MailPoet assumiren erròniament que "admin_init" en WordPress només s’activa quan un administrador visita pàgines des del panell d’administració, hi ha afirmat Cid.

Els desenvolupadors de MailPoet van usar “admin_init” per a verificar si a l’usuari actiu se li permet pujar arxius, però, com que en realitat també s’activa per una pàgina accessible a usuaris no autenticats, la funcionalitat de carregar arxius del connector es va posar a disposició pràcticament de qualsevol persona. És fàcil cometre este error i tots els desenvolupadors de plug-in han de ser conscients d’este comportament, ha comentat Cid. "Si vosté és un desenvolupador, mai use ‘admin_init’ o ‘is_admin’ com a mètode d’autenticació".

Els llocs WordPress són un objectiu constant dels pirates i els que són penetrats s’utilitzen ben sovint per a albergar pàgines de spam o contingut maliciós com a part d’altres atacs. Els ciberdelinqüents rastregen Internet cada dia per a identificar instal·lacions de WordPress afectades per vulnerabilitats com la trobada en MailPoet.