El equipo de WPscan ha descubierto este fallo de seguridad que permitiría que a los atacantes puedan crear administradores en WordPress
Recientemente, hackers han atacado sitios de WordPress utilizando una versión obsoleta del plugin LiteSpeed Cache, que cuenta con más de cinco millones de instalaciones.Unos atacantes comprometieron este plugin, conocido por mejorar la velocidad de carga y el SEO, aprovechando una vulnerabilidad crítica (CVE-2023-40000) presente en versiones anteriores a la 5.7.0.1. Desde la dirección IP 94.102.51.144, explotaron una vulnerabilidad de secuencias de comandos en sitios cruzados sin autenticación, lo que les permitió crear usuarios administradores fraudulentos como «wpsupp-user» o «wp-configuser». Además, inyectaron código JavaScript malicioso en archivos críticos o directamente en la base de datos.
Una forma de saber la infección es la presencia de la cadena «eval(atob(Strings.fromCharCode» en la opción «litespeed.admin_display.messages» de la base de datos.
A pesar de que muchos usuarios han actualizado a versiones seguras, aproximadamente 1.835.000 sitios siguen siendo vulnerables. Otro plugin, «Email Subscribers», también ha sido atacado recientemente mediante una vulnerabilidad crítica de inyección SQL (CVE-2024-2876), permitiendo a los hackers crear cuentas de administrador no autorizadas.
Se recomienda a los administradores de WordPress actualizar todos los plugins a sus últimas versiones, eliminar componentes innecesarios y monitorear la creación de nuevas cuentas de administrador. En caso de un ataque confirmado, se debe proceder a una limpieza exhaustiva del sitio, incluyendo la eliminación de cuentas fraudulentas, el restablecimiento de contraseñas y la restauración de datos desde copias de seguridad limpias.
WEB oficial del plugin LiteSpeed cache
