El equipo de WPscan ha descubierto este fallo de seguridad que permitiría que a los atacantes puedan crear administradores en WordPress
Recientemente, hackers han atacado sitios de WordPress utilizando una versión obsoleta del plugin LiteSpeed Cache, que cuenta con más de cinco millones de instalaciones. Este plugin, conocido por mejorar la velocidad de carga y el SEO, ha sido comprometido debido a una vulnerabilidad crítica (CVE-2023-40000) presente en versiones anteriores a la 5.7.0.1. El fallo, una vulnerabilidad de secuencias de comandos en sitios cruzados sin autenticación, ha sido explotado desde una dirección IP específica, 94.102.51.144, resultando en la creación de usuarios administradores fraudulentos como «wpsupp-user» o «wp-configuser». Los atacantes también inyectan código JavaScript malicioso en archivos críticos o la base de datos.
Una forma de saber la infección es la presencia de la cadena «eval(atob(Strings.fromCharCode» en la opción «litespeed.admin_display.messages» de la base de datos.
A pesar de que muchos usuarios han actualizado a versiones seguras, aproximadamente 1.835.000 sitios siguen siendo vulnerables. Otro plugin, «Email Subscribers», también ha sido atacado recientemente mediante una vulnerabilidad crítica de inyección SQL (CVE-2024-2876), permitiendo a los hackers crear cuentas de administrador no autorizadas.
Se recomienda a los administradores de WordPress actualizar todos los plugins a sus últimas versiones, eliminar componentes innecesarios y monitorear la creación de nuevas cuentas de administrador. En caso de un ataque confirmado, se debe proceder a una limpieza exhaustiva del sitio, incluyendo la eliminación de cuentas fraudulentas, el restablecimiento de contraseñas y la restauración de datos desde copias de seguridad limpias.