Los expertos en seguridad de sitios web han identificado una ola masiva de ciberataques dirigidos a la friolera de 1,6 millones de sitios web de WordPress. La campaña aún está activa y apunta a varios complementos y temas defectuosos que permiten a los atacantes hacerse con el control del sitio de la víctima.

Los investigadores de Wordfence publicaron esta semana un informe que advierte que los piratas informáticos están apuntando a varios componentes vulnerables de WordPress que permiten a los atacantes actualizar cadenas de código de forma remota y hacerse cargo del sitio afectado.

Dirigiéndose a cuatro complementos individuales con opciones arbitrarias no autenticadas actualizan vulnerabilidades, los atacantes actualizan users_can_registeroption a "habilitado" y configuran la opción default_role en "administrador".

“Esto hace posible que los atacantes se registren en cualquier sitio como un administrador que se hace cargo efectivamente del sitio”, advierten los investigadores.

Los complementos afectados incluyen PublishPress Capabilities (versión 2.3 o anterior), Kiwi Social Plugin (versión 2.0.10 o anterior), Pinterest Automatic (4.14.3 o anterior) y WordPress Automatic (3.53.2 o anterior).

Los sitios con temas basados ​​en Epsilon Framework también se ven afectados, según el informe.

El análisis revela que 1,6 millones de sitios de WordPress se vieron afectados por 13,7 millones de ataques en 36 horas desde 16.000 direcciones IP.

Dado que hubo muy poca actividad de los atacantes que apuntaban a cualquiera de estas vulnerabilidades hasta el 8 de diciembre de 2021, los investigadores razonan que un parche reciente emitido para las Capacidades de PublishPress puede haber llevado a los atacantes a intentar explotar varias vulnerabilidades de Actualización de Opciones Arbitrarias como parte de una campaña más grande.

Se recomienda encarecidamente a los propietarios de sitios de WordPress que confían en estos componentes afectados que actualicen sus complementos o temas a la última versión (parcheada).

“Asegúrese de que sus sitios estén ejecutando una versión superior a cualquiera de los enumerados. La simple actualización de los complementos y los temas garantizará que su sitio se mantenga a salvo de cualquier compromiso contra cualquier vulnerabilidad que tenga como objetivo estas vulnerabilidades ”, señalan los investigadores.

Para determinar si su sitio ya ha sido comprometido, verifique la existencia de cuentas de usuario no autorizadas. Si su sitio está ejecutando una versión vulnerable de cualquiera de los cuatro complementos o varios temas y hay una cuenta de usuario fraudulenta presente, es probable que el sitio esté comprometido. En este caso, elimine las cuentas de usuario detectadas de inmediato y restablezca la configuración de su sitio a su estado original.

También se recomienda encarecidamente que los propietarios del sitio revoquen los derechos de administrador para los nuevos usuarios de forma predeterminada.