WP File Manager: si empleas este plugin, debes actualizarlo ya
Aunque, por sí mismo, WordPress ya es un CMS muy completo, es indudable que gracias a plugins como WP File Manager, sus posibilidades crecen exponencialmente. Tanto si administras un sitio web con WordPress, como si alguna vez has sentido curiosidad y has explorado el catálogo de complementos existentes, sabrás que hablamos de una lista prácticamente interminable, y en la que es posible encontrar plugins para, prácticamente, cualquier función que se te pueda pasar por la cabeza.
Esto, no obstante, tiene un aspecto bastante menos positivo, y es que cualquier problema de seguridad en un plugin puede comprometer (y normalmente lo hace) la seguridad de todo el sitio web. Es por esto que siempre se aconseja emplear el mínimo número posible de plugins, actualizarlos de manera constante y desinstalar aquellos que ya no empleemos. Y es que, incluso desactivados, ofrecen más superficie de exposición. Unas prácticas que, por unas razones u otras, no siempre se llevan a rajatabla.
El problema es que esto es algo muy sabido por los ciberdelincuentes, que tal y como tienen conocimiento de un fallo de seguridad en un plugin, más aún si es uno popular, llevan a cabo escaneos masivos de la web, en busca de instalaciones de WordPress que tengan el plugin comprometido, con el fin de explotar esa vulnerabilidad de inmediato. Y eso es exactamente lo que está pasando con WP File Manager.
Con más de 700.000 instalaciones activas, como podemos comprobar en su página de descarga, WP File Manager es, su propio nombre lo indica, un gestor de archivos que nos permite prescindir, para muchas operaciones, del tradicional cliente de FTP que empleamos para subir y bajar archivos, modificar permisos, borrar, comprimir y descomprimir… Una herramienta muy práctica, ya que permite centralizar la gestión del sitio en el propio CMS, sin tener que utilizar herramientas adicionales.
El problema es que un fallo de seguridad, detectado en versiones anteriores del mismo, permite a un atacante subir al servidor archivos de imagen que, en realidad, contienen webshells. Así, con estos elementos ya cargados, y accediendo a los mismos de manera remota, pueden subir nuevos scripts a la carpeta de instalación de WP File Manager. Scripts con los que sí que podrán realizar acciones en otras carpetas, comprometiendo así la seguridad global del sitio.
NinTechNet, una empresa de seguridad de sitios web en Bangkok, Tailandia, fue una de las primeras en informar sobre ataques in the wild basados en esta vulnerabilidad de WP File Manager. Según su investigación, un atacante estaba explotando la vulnerabilidad para cargar un script llamado hardfork.php, que luego empleaba para inyectar código en los scripts de WordPress /wp-admin/admin-ajax.php y /wp-includes/user.php.
Puesta esta vulnerabilidad en conocimiento de los desarrolladores del plugin, estos han publicado la versión 6.9 del plugin, que corrige el fallo de seguridad, haciendo que WP File Manager vuelva a ser un complemento seguro. No se conocen, al menos de momento, parches para solucionar el problema en versiones anteriores, por lo que cualquier administrador de WordPress que emplee este plugin, debe revisar con qué versión cuenta actualmente y, de no ser la más reciente, actualizarlo de inmediato.