{"id":854349,"date":"2023-07-14T17:25:53","date_gmt":"2023-07-14T17:25:53","guid":{"rendered":"https:\/\/teknomers.com\/es\/complemento-de-wordpress-para-aios-se-enfrenta-a-una-reaccion-violenta-por-almacenar-contrasenas-de-usuario-en-texto-sin-formato\/"},"modified":"2023-07-14T17:25:56","modified_gmt":"2023-07-14T17:25:56","slug":"complemento-de-wordpress-para-aios-se-enfrenta-a-una-reaccion-violenta-por-almacenar-contrasenas-de-usuario-en-texto-sin-formato","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/complemento-de-wordpress-para-aios-se-enfrenta-a-una-reaccion-violenta-por-almacenar-contrasenas-de-usuario-en-texto-sin-formato\/","title":{"rendered":"Complemento de WordPress para AIOS se enfrenta a una reacci\u00f3n violenta por almacenar contrase\u00f1as de usuario en texto sin formato"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">14 de julio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Seguridad de contrase\u00f1a \/ WordPress<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>All-In-One Security (AIOS), un complemento de WordPress instalado en m\u00e1s de un mill\u00f3n de sitios, emiti\u00f3 una actualizaci\u00f3n de seguridad despu\u00e9s de que un error introducido en la versi\u00f3n 5.1.9 del software causara que las contrase\u00f1as de los usuarios se agregaran a la base de datos en formato de texto sin formato.<\/p>\n<p>&#8220;Un administrador del sitio malicioso (es decir, un usuario que ya inici\u00f3 sesi\u00f3n en el sitio como administrador) podr\u00eda haberlos le\u00eddo&#8221;, UpdraftPlus, los mantenedores de AIOS, <a rel=\"nofollow noopener\" href=\"https:\/\/aiosplugin.com\/all-in-one-security-aios-wordpress-security-plugin-release-5-2-0\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;Esto ser\u00eda un problema si esos administradores del sitio probaran esas contrase\u00f1as en otros servicios donde sus usuarios podr\u00edan haber usado la misma contrase\u00f1a. Si los inicios de sesi\u00f3n de esos otros servicios no est\u00e1n protegidos por autenticaci\u00f3n de dos factores, esto podr\u00eda ser un riesgo para el sitio web afectado&#8221;.<\/p>\n<p>El problema surgi\u00f3 hace casi tres semanas cuando un usuario del complemento <a rel=\"nofollow noopener\" href=\"https:\/\/wordpress.org\/support\/topic\/cleartext-passwords-written-to-aiowps_audit_log\/\" target=\"_blank\">reportado<\/a> el comportamiento, afirmando que estaban &#8220;absolutamente sorprendidos de que un complemento de seguridad est\u00e9 cometiendo un error de seguridad 101 tan b\u00e1sico&#8221;.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>AIOS tambi\u00e9n se\u00f1al\u00f3 que las actualizaciones eliminan los datos registrados existentes de la base de datos, pero enfatiz\u00f3 que la explotaci\u00f3n exitosa requiere que un actor de amenazas ya haya comprometido un sitio de WordPress por otros medios y tenga privilegios administrativos, o haya obtenido acceso no autorizado a copias de seguridad del sitio sin cifrar.<\/p>\n<p>&#8220;Como tal, la oportunidad de que alguien obtenga privilegios que a\u00fan no ten\u00eda, es peque\u00f1a&#8221;, dijo la compa\u00f1\u00eda.  &#8220;La versi\u00f3n parcheada evita que se registren las contrase\u00f1as y borra todas las contrase\u00f1as guardadas anteriormente&#8221;.<\/p>\n<p>Como precauci\u00f3n, se recomienda que los usuarios habiliten la autenticaci\u00f3n de dos factores en WordPress y cambien las contrase\u00f1as, especialmente si se han usado las mismas combinaciones de credenciales en otros sitios.<\/p>\n<p>La divulgaci\u00f3n se produce cuando Wordfence revel\u00f3 una falla cr\u00edtica que afecta a WPEverest <a rel=\"nofollow noopener\" href=\"https:\/\/wordpress.org\/plugins\/user-registration\/\" target=\"_blank\">registro de usuario<\/a> complemento (CVE-2023-3342, puntaje CVSS: 9.9) que tiene m\u00e1s de 60,000 instalaciones activas.  La vulnerabilidad se solucion\u00f3 en la versi\u00f3n 3.0.2.1.<\/p>\n<p>&#8220;Esta vulnerabilidad hace posible que un atacante autenticado con permisos m\u00ednimos, como un suscriptor, cargue archivos arbitrarios, incluidos archivos PHP, y logre la ejecuci\u00f3n remota de c\u00f3digo en el servidor de un sitio vulnerable&#8221;, dijo el investigador de Wordfence Istv\u00e1n M\u00e1rton. <a rel=\"nofollow noopener\" href=\"https:\/\/www.wordfence.com\/blog\/2023\/07\/interesting-arbitrary-file-upload-vulnerability-patched-in-user-registration-wordpress-plugin\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/aios-wordpress-plugin-faces-backlash.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80214 de julio de 2023\ue804THNSeguridad de contrase\u00f1a \/ WordPress All-In-One Security (AIOS), un complemento de WordPress instalado en<\/p>\n","protected":false},"author":1,"featured_media":854350,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,174227,36272,4661,4664,51458,13382,6497,4662,21266,4668,4667,4654,4658,4659,4653,4655,18,231,4663,8377,4666,4665,1030,13155,158,8081,7076,4660,51459],"class_list":["post-854349","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aios","tag-almacenar","tag-ataques-ciberneticos","tag-como-hackear","tag-complemento","tag-contrasenas","tag-enfrenta","tag-filtracion-de-datos","tag-formato","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-por","tag-programa-malicioso-ransomware","tag-reaccion","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sin","tag-texto","tag-una","tag-usuario","tag-violenta","tag-vulnerabilidad-de-software","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/854349","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=854349"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/854349\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/854350"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=854349"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=854349"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=854349"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}