Una vulnerabilidad de día cero en el plugin para WordPress WP Marketplace de comercio electrónico ha sido aprovechada por los ciberdelincuentes para cargar puertas traseras
El escenario ideal para los piratas informáticos con fines de lucro es encontrar y explotar agujeros de seguridad en los plugins instalados en cientos de miles o millones de sitios web.
La semana pasada, los investigadores de "Fir Design" comenzaron a ver las solicitudes de un archivo asociado a WP Marketplace. Se determinó rápidamente que los atacantes fueron muy probablemente tratando de encontrar sitios que tienen WP Marketplace en un intento de explotar una vulnerabilidad de carga de archivos arbitrarios.
Sucuri también ha observado intentos de ataque en la naturaleza. De acuerdo con la empresa de seguridad, los ciberdelincuentes han sido explotando la vulnerabilidad para cargar una puerta trasera de uso común.
"Por supuesto, no es tan valioso para los hackers como vulnerabilidades en plugins populares instalados en cualquier otro sitio, pero si su caja de herramientas consta de cientos de vulnerabilidades más pequeños, la tasa de éxito será comparable", segun Denis de Sucuri Sinegubko. "Es por eso que los desarrolladores de plugins no debe descuidar las mejores prácticas de seguridad incluso cuando el desarrollo de pequeños complementos."
WP Marketplace , que no se ha actualizado en los últimos 8 meses, se retiró la semana pasada desde el directorio de plugins de WordPress oficial. White Fir Diseño señaló que sus desarrolladores también ofrecen varios otros plugins de WordPress, incluyendo administrador de descargas, que tiene decenas de miles de instalaciones activas. Sin embargo, la seguridad no parece ser una prioridad. Una falla de carga de archivos descubiertos por White Fir Design hace casi cuatro meses en el Administrador de descargas de WordPress está todavía sin parchear.
Webs de comercio electrónico se dirigen cada vez más por los ciberdelincuentes. Los expertos descubrieron recientemente miles de tiendas en línea comprometidos configurados para robar información de tarjetas de pago de los usuarios.
UNA EXCELENTE ALTERNATIVA DE CARRITO DE COMPRA EL WC MARKETPLACE
A pesar de que el titulo del plugin es muy parecido no tiene nada que ver con lo anteriormente descrito en el articulos.
¿Como instalar el plugin wc marketplace?
WC MARKETPLACE es una extensión de WooCommerce, por lo que el plugin WooCommerce debe estar instalado y activado en su sitio de WordPress para este plugin funcione correctamente.
- Descargar e instalar el plug-in WC mercado utilizando el instalador incorporado en WordPress. Si descarga el plugin WC marketplace manualmente, asegúrese de que se carga
/wp-content/plugins/y activar el plugin a través del menu de Plugins en WordPress. O siga los siguientes pasos:Plug-ins/Agregar nuevo/Cargar plug-in/. Subirdc-woocommerce-multi-vendor.zipe instalar ahoray para finalizar Activar Plugin.
Personalizar las notificaciones de correo electrónico de WooCommerce/Configuración.
Ver Comisiones bajo WooCommerce/Comisiones.
Ver informes WooCommerce/Informes/DC vendedores.
