Estafa de seguridad de WordPress

Category: Seguridad 17 0

Las estafas en la web son legión, desde los nigerianos hasta los vendedores de sueños…. Un nuevo tipo de estafa parece estar surgiendo y concierne a WordPress!

El diálogo que leerás a continuación es un extracto parcial de un chat que tuvimos sobre el soporte de WP Server… Un cierto “Alexander” se presenta como un experto en seguridad ofensiva para WordPress…

Alexandre No soy un cliente sino un experto en seguridad ofensiva especializado en WordPress He notado muchos agujeros de seguridad en su sitio WPSERVEUR en varios plugins. Puede ser una buena idea reportar el problema a su departamento técnico!

SQL, XSS y otras vulnerabilidades… ¿Tienes 5 minutos para dedicarme?

Celine de WPS ¿Sobre qué plugins? porque usamos muy pocos plugins

Alexandre, te diré cuáles en 5 minutos

Celine de WPS ¿Puedes dejarme tu información de contacto?

Alexandre te hago el listado

Celine de WPS Dame tus datos de contacto, Fabrice se pondrá en contacto contigo al final de su cita

Alexandre puedo esperar, no te preocupes, no soy un hacker, ayudo a los webmasters a proteger las instalaciones de WordPress

Fabrice de WPS Bonjour Alexandre, Céline compartió conmigo sus comentarios sobre las vulnerabilidades de algunos de nuestros plugins de WordPress?

Alexandre Sí, ¿eres el gerente de WPServeur?

WPS Fabricator Sí, absolutamente

Alexandre ¡Muy bien, perfecto! Así que como le decía a Celine, no teniendo miedo, no soy un hacker

Fabrice de WPS Rara vez estoy preocupado, probablemente curioso pero no preocupado

Alexandre En Internet, hay que tener cuidado! Estoy terminando las pocas comprobaciones de los plugins aquí. ¿Utiliza Divi 2.4 como tema?

WPS maker no!

Alexandre Daccord Usted es el MOTOR WP a la francesa;)

Fabrice de WPS en essaie

Alexandre ¡Eso es bueno! ¿Tienes una conexión con WPFORMATION?

Fabrice de WPS Estamos muy cerca… ¡Sic!

Alexandre Okay, vi un anuncio por eso

WPS Fabrice ¿No tenías que decirnos qué plugins eran problemáticos? Esto es bastante sorprendente porque usamos muy pocos de ellos y nuestro experto en seguridad ya los ha revisado.

Alexandre Si ya casi termino aquí, ¿utilizas el plugin BlogVault versión 1.05?

Fabricante de WPS ¡No!

Alexandre Está de acuerdo así que si usted está en 1.17 el defecto CSRF ha sido corregido Usted también utiliza el Formulario de Contacto 7?

Fabricante de WPS También sí, pero al día

¿Alexander por encima de 3.7.2?

Fabricante de WPS Sí

Alexandre Bueno, ¿está tu plugin Jetpack versión 2.9.3 o superior?

WPS maker Nuestros plugins están todos actualizados!

Alexandre La lista que te doy me dice que algunos de tus plugins no están todos actualizados

WPS Fabrice Este es su script que no debe estar actualizado en ese momento;)

Alexandre El error es humano pero hay un montón de cosas que finalmente son buenas para la seguridad de su sitio

Fabrice de WPS Me parece que hasta ahora no me ha dado ni una sola cosa explotable ni un solo defecto, ¿verdad?

Alexandre Les plugins défectueux!

Fabrice de WPS ¿Cuáles?

Alexandre Ceux que je viens de vous communiquer

Fabrice de WPS No son y están actualizados!

Alexandre Pero no voy a hacerte perder el tiempo, tienes un experto en seguridad que creo que trabaja en la seguridad de todos los plugins que componen tu sitio, te deseo un buen día!

Fabrice de WPS Si tienes algo concreto, no dudes en contactarme!

Alexandre Du concret siempre es posible tener algunos tanto en la web como en la máquina pero tengo una cierta ética y sólo trabajo con contratos que me permiten tener acuerdos sobre la penetración de un sistema

Fabrice de WPS Su enfoque es muy sorprendente para alguien que tiene una ética, sin identidad, usted busca defectos y luego anuncia que hay problemas, sin citar uno solo ^^

Alexandre, acabo de mencionar los plugins defectuosos, me dices que están todos actualizados. Por qué no

Fabrice de WPS y son…

Alexandre te dejo trabajar, Buenos días

Y así es como nos deja nuestro experto…. Como es una lástima, habría extendido este diálogo tan instructivo…

El principio es simple, este Alexandre mientras me hablaba estaba escaneando lesites, estaba intentando conseguir la lista de plugins instalados. También encontré rastros de sus escaneos en wpformation, wpserver y algunos otros sitios (por cierto, aquí está su ip77.150.172.118 para información).

La siguiente idea es anunciar que algunos plugins contienen vulnerabilidades de seguridad mayores, y ofrecer sus servicios como experto en seguridad ofensiva para ayudarnos, por un precio, a asegurar nuestro sitio de WordPress! Bueno, veamos;)

Usted notará que en ningún momento el experto da un nombre, un sitio o un número de teléfono, y no es por falta de haberle preguntado! Intenté empujar este dial tanto como pude, sabiendo desde la primera pregunta (la de DIVI) que el experto era principalmente un experto en pipotaje y que estaba tratando con un buen intento de estafa.

Sin embargo, ¿qué le hubiera dado este dial a un usuario de WordPress principiante o con menos experiencia, así que sin ser alarmista, manténgase alerta?)

5.002

Related Articles