{"id":721361,"date":"2023-04-24T20:23:28","date_gmt":"2023-04-24T20:23:28","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-explotan-el-complemento-obsoleto-de-wordpress-para-la-puerta-trasera-de-miles-de-sitios-de-wordpress\/"},"modified":"2023-04-24T20:23:31","modified_gmt":"2023-04-24T20:23:31","slug":"los-piratas-informaticos-explotan-el-complemento-obsoleto-de-wordpress-para-la-puerta-trasera-de-miles-de-sitios-de-wordpress","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-explotan-el-complemento-obsoleto-de-wordpress-para-la-puerta-trasera-de-miles-de-sitios-de-wordpress\/","title":{"rendered":"Los piratas inform\u00e1ticos explotan el complemento obsoleto de WordPress para la puerta trasera de miles de sitios de WordPress"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">24 de abril de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Seguridad del servidor \/ WordPress<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Se ha observado a los actores de amenazas aprovechando un complemento de WordPress leg\u00edtimo pero desactualizado para subrepticiamente sitios web de puerta trasera como parte de una campa\u00f1a en curso, Sucuri <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sucuri.net\/2023\/04\/massive-abuse-of-abandoned-evalphp-wordpress-plugin.html\" target=\"_blank\">revel\u00f3<\/a> en un informe publicado la semana pasada.<\/p>\n<p>El complemento en cuesti\u00f3n es Eval PHP, lanzado por un desarrollador llamado flashpixx.  Permite a los usuarios insertar p\u00e1ginas de c\u00f3digo PHP y publicaciones de sitios de WordPress que luego se ejecutan cada vez que se abren las publicaciones en un navegador web.<\/p>\n<p>Mientras <a rel=\"nofollow noopener\" href=\"https:\/\/wordpress.org\/plugins\/evalphp\/advanced\/\" target=\"_blank\">Evaluar PHP<\/a> nunca ha recibido una actualizaci\u00f3n en 11 a\u00f1os, las estad\u00edsticas recopiladas por WordPress muestran que est\u00e1 instalado en m\u00e1s de 8,000 sitios web, y la cantidad de descargas se dispar\u00f3 de una o dos en promedio desde septiembre de 2022 a 6,988 el 30 de marzo de 2023.<\/p>\n<p>Solo el 23 de abril de 2023, se descarg\u00f3 2.140 veces.  El complemento ha acumulado 23.110 descargas en los \u00faltimos siete d\u00edas.<\/p>\n<p>Sucuri, propiedad de GoDaddy, dijo que observ\u00f3 las bases de datos de algunos sitios web infectados inyectados con c\u00f3digo malicioso en el <a rel=\"nofollow noopener\" href=\"https:\/\/codex.wordpress.org\/Database_Description\" target=\"_blank\">tabla &#8220;wp_posts&#8221;<\/a>que almacena un sitio <a rel=\"nofollow noopener\" href=\"https:\/\/wordpress.org\/documentation\/article\/wordpress-glossary\/\" target=\"_blank\">publicaciones, p\u00e1ginas y men\u00fa de navegaci\u00f3n<\/a> informaci\u00f3n.  Las solicitudes se originan en tres direcciones IP diferentes con sede en Rusia.<\/p>\n<p>&#8220;Este c\u00f3digo es bastante simple: utiliza el <a rel=\"nofollow noopener\" href=\"https:\/\/www.php.net\/manual\/en\/function.file-put-contents.php\" target=\"_blank\">funci\u00f3n file_put_contents<\/a> para crear un script PHP en el docroot del sitio web con la puerta trasera de ejecuci\u00f3n remota de c\u00f3digo especificada&#8221;, dijo el investigador de seguridad Ben Martin.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1682367807_131_Los-piratas-informaticos-explotan-el-complemento-obsoleto-de-WordPress-para.png\" alt=\"Complemento de WordPress\" border=\"0\" data-original-height=\"526\" data-original-width=\"728\" title=\"Complemento de WordPress\"\/><\/div>\n<p>&#8220;Aunque la inyecci\u00f3n en cuesti\u00f3n deja caer una puerta trasera convencional en la estructura del archivo, la combinaci\u00f3n de un complemento leg\u00edtimo y un cuentagotas de puerta trasera en una publicaci\u00f3n de WordPress les permite volver a infectar f\u00e1cilmente el sitio web y permanecer oculto. Todo lo que el atacante debe hacer es visitar una de las publicaciones o p\u00e1ginas infectadas y la puerta trasera se inyectar\u00e1n en la estructura del archivo&#8221;.<\/p>\n<p>Sucuri dijo que detect\u00f3 m\u00e1s de 6000 instancias de esta puerta trasera en sitios web comprometidos en los \u00faltimos 6 meses, y describi\u00f3 el patr\u00f3n de insertar el malware directamente en la base de datos como un &#8220;desarrollo nuevo e interesante&#8221;.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust.  \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Guardar mi asiento!<\/a><\/div>\n<p>La cadena de ataque implica la instalaci\u00f3n del complemento Eval PHP en sitios comprometidos y su uso indebido para establecer puertas traseras persistentes en m\u00faltiples publicaciones que a veces tambi\u00e9n se guardan como borradores.<\/p>\n<p>&#8220;La forma en que funciona el complemento Eval PHP es suficiente para guardar una p\u00e1gina como borrador para ejecutar el c\u00f3digo PHP dentro del [evalphp] <a rel=\"nofollow noopener\" href=\"https:\/\/codex.wordpress.org\/Shortcode_API\" target=\"_blank\">c\u00f3digos cortos<\/a>&#8220;, explic\u00f3 Martin, y agreg\u00f3 que las p\u00e1ginas no autorizadas se crean con un administrador de sitio real como autor, lo que sugiere que los atacantes pudieron iniciar sesi\u00f3n con \u00e9xito como un usuario privilegiado.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1682367808_331_Los-piratas-informaticos-explotan-el-complemento-obsoleto-de-WordPress-para.png\" alt=\"\" border=\"0\" data-original-height=\"411\" data-original-width=\"728\"\/><\/div>\n<p>Una vez m\u00e1s, el desarrollo se\u00f1ala c\u00f3mo los actores maliciosos est\u00e1n experimentando con diferentes m\u00e9todos para mantener su punto de apoyo en entornos comprometidos y evadir los escaneos del lado del servidor y el monitoreo de la integridad de los archivos.<\/p>\n<p>Se recomienda a los propietarios del sitio que aseguren la <a rel=\"nofollow noopener\" href=\"https:\/\/wordpress.com\/support\/dashboard\/\" target=\"_blank\">Panel de administraci\u00f3n de WP<\/a> as\u00ed como estar atento a cualquier inicio de sesi\u00f3n sospechoso para evitar que los actores de amenazas obtengan acceso de administrador e instalen el complemento.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/04\/hackers-exploit-outdated-wordpress.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80224 de abril de 2023\ue804Ravie Lakshman\u00e1nSeguridad del servidor \/ WordPress Se ha observado a los actores de amenazas<\/p>\n","protected":false},"author":1,"featured_media":721362,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,51458,8513,4662,6214,4668,4667,36,883,4654,4658,4659,4653,4655,126284,18,6213,4663,1732,4666,4665,3260,7157,4660,51459],"class_list":["post-721361","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-complemento","tag-explotan","tag-filtracion-de-datos","tag-informaticos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-miles","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-obsoleto","tag-para","tag-piratas","tag-programa-malicioso-ransomware","tag-puerta","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sitios","tag-trasera","tag-vulnerabilidad-de-software","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/721361","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=721361"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/721361\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/721362"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=721361"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=721361"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=721361"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}