Vulnerabilidad Crítica en el Plugin Limit Login Attempts ✘ |
您所在的位置:网站首页 › limit login attempts › Vulnerabilidad Crítica en el Plugin Limit Login Attempts ✘ |
Vulnerabilidad Crítica en el Plugin Limit Login Attempts ✘
|
Vulnerabilidad Crítica en el Plugin Limit Login Attempts de WordPressCategorias: Wordpress
Limit Login Attempts es un plugin de WordPress muy utilizado para evitar los ataques de fuerza bruta. Se ha descubierto una vulnerabilidad que puede provocar graves consecuencias para todos los sitios WordPress que tengan instalada una versión del plugin no parcheada. Si tienes instalado Limit Login Attempts en tu WordPress, debes revisar qué versión tienes instalada para comprobar que no es una de las vulnerables, lo antes posible. Para qué Sirve el Plugin Limit Login Attempts WordPress es el sistema de gestión de contenidos (CMS) más popular del mundo, con más de 40% de los sitios web que lo utilizan en todo Internet. Sin embargo, esto también lo convierte en un objetivo frecuente de ataques de hackers que buscan explotar sus vulnerabilidades o la de cualquiera de los plugins que se suelen instalar. Una de las formas más comunes de proteger un sitio web de WordPress es limitar el número de intentos de inicio de sesión fallidos que puede realizar un usuario o una dirección IP. Esto ayuda a prevenir los ataques de fuerza bruta, que consisten en probar múltiples combinaciones de nombres de usuario y contraseñas hasta encontrar la correcta. Para ello, muchos usuarios de WordPress recurren al plugin Limit Login Attempts, que permite configurar el número máximo de intentos de inicio de sesión permitidos, el tiempo de bloqueo entre intentos y el mensaje de error que se muestra al superar el límite. Sin embargo, recientemente se ha descubierto una vulnerabilidad crítica en este plugin que podría poner en riesgo la seguridad de más de 600.000 sitios web que lo utilizan. Vamos a ver en qué consiste esta vulnerabilidad, cómo afecta a tu sitio web y qué debes hacer para solucionarla. Plugin Limit Login AttemptsCómo Afecta la Vulnerabilidad al Plugin Limit Login Attempts La vulnerabilidad del plugin Limit Login Attempts fue descubierta por los investigadores de seguridad de empresas especializadas en la protección de sitios web de WordPress. Según sus informes, la vulnerabilidad se debe a un error en la forma en que el plugin gestiona las cookies que utiliza para identificar a los usuarios y las direcciones IP que han superado el límite de intentos de inicio de sesión. El plugin utiliza una función llamada setcookie para crear una cookie con el nombre limit_login_lockout y un valor que contiene la dirección IP del usuario y el tiempo de bloqueo. Sin embargo, esta función no valida ni escapa adecuadamente el valor de la cookie, lo que permite a un atacante inyectar código malicioso en ella. De esta forma, un atacante podría enviar una solicitud HTTP con una cookie manipulada al sitio web vulnerable y ejecutar código malicioso en el servidor. Esto podría permitirle, por ejemplo, crear un usuario administrador, modificar archivos o bases de datos, instalar malware o redirigir el tráfico a otros sitios maliciosos. La vulnerabilidad afecta a todas las versiones del plugin Limit Login Attempts anteriores a la 1.7.1 (incluida) y aunque se requiere cierta configuración especial para que un atacante pueda explotarla, es importante asegurarse de que estamos utilizando una versión parcheada Cómo Saber si Tengo una Versión Vulnerable de Limit Login Attempts Para saber si tu sitio web está afectado por la vulnerabilidad del plugin Limit Login Attempts, debes comprobar qué versión del plugin tienes instalada. Sólo tienes que acceder a tu WordPress y en la sección de plugins buscar el plugin en la sección Plugins Instalados. En seguida verás la versión que tienes y un aviso de que existe una nueva versión disponible.
Si la versión que tienes es la 1.7.1 o anterior, es una versión del plugin vulnerable. Cómo Solucionar la Vulnerabilidad del Plugin Limit Login Attempts La forma más sencilla y efectiva de solucionar la vulnerabilidad del plugin Limit Login Attempts es actualizarlo a la última versión disponible, que en el momento de escribir este artículo, es la 1.7.2. La versión 1.7.2 del plugin Limit Login Attempts es segura. Ya está corregido el problema y puedes usarlo sin problemas. Cualquier versión superior a la 1.7.2, también será segura y puedes usarla sin problemas, al menos, para la vulnerabilidad de la que estamos hablando. Tan sólo tienes que hacer click en el botón Actualízalo ahora desde el propio panel de plugins y el plugin se actualizará en un instante.
Como siempre, te recomendamos tener una copia de seguridad actualizada a mano para antes de actualizar nada. Programar la Actualizaciones Automáticas del Plugin Limit Login Attempts Si quieres, puedes activar las actualizaciones automáticas en este plugin o en cualquier otro. Esto tiene una ventaja y una desventaja. La ventaja es que soluciona el problema que hemos visto en este artículo, en cuanto sale una versión del plugin nueva, esta se actualiza sin que tengas que hacer nada más. Es una buena solución para tener siempre los plugins actualizados con los nuevos parches de seguridad que el desarrollador libere. La desventaja es que, si la actualización del plugin es incompatible con algún otro elemento instalado en WordPress, puede causar problemas en la web. Actualizándolo de forma manual no solucionaría el error, pero sí serías consciente de cuál es el plugin que ha provocado el problema. En cualquier caso, si quieres activar las actualizaciones automáticas del plugin es muy sencillos, sólo tienes que hacer click en el enlace que encontrarás a la derecha del plugin.
Con esta acción se activan las actualizaciones automáticas de ese plugins en particular, pero puedes hacer lo mismo con cualquiera de los plugins que tienes instalados en tu WordPress. Cosas a Tener en Cuenta Es importante tener en cuenta que las vulnerabilidades en los plugins de WordPress no son infrecuentes y que los propietarios de sitios web deben tomar medidas preventivas para garantizar la seguridad de su sitio web. Esto incluye mantener todos los plugins y temas actualizados a las últimas versiones, también del propio WordPress. Muchos administradores son reacios a actualizar WordPress o los plugins para evitar posibles problemas, pero eso es un problema de seguridad que debes evitar. Hosting WordPress con Detector de Malware En Hostinet no tenemos la posibilidad de evitar la vulnerabilidad de un plugin, pero si un hacker consigue añadir malware en tu hosting, lo detectamos y lo ponemos en cuarentena. De esta forma te dará tiempo a tomar las medidas necesarias, sin que el atacante pueda sacar partido de su acción maliciosos. Esta medida de seguridad está incluida en todos los hosting con WordPress que ofrecemos en Hostinet HostingWordPress 13´99 / mesCaracterísticas DestacadasCaracterísticas generalesServicios CMSServicios relacionados con dominiosServicios de correo electrónicoFuncionalidades hostingSoporte programación y Bases de DatosServicios adicionales incluidosCopias de SeguridadContrataciónHosting especializado en WordPress con discos SSDWordPress 55´99 / mesCaracterísticas DestacadasCaracterísticas generalesServicios CMSServicios relacionados con dominiosServicios de correo electrónicoFuncionalidades hostingSoporte programación y Bases de DatosServicios adicionales incluidosCopias de SeguridadContrataciónHosting especializado en WordPress con discos SSDWordPress 107´99 / mesCaracterísticas DestacadasCaracterísticas generalesServicios CMSServicios relacionados con dominiosServicios de correo electrónicoFuncionalidades hostingSoporte programación y Bases de DatosServicios adicionales incluidosCopias de SeguridadContrataciónHosting especializado en WordPress con discos SSDWordPress 5011´99 / mesCaracterísticas DestacadasCaracterísticas generalesServicios CMSServicios relacionados con dominiosServicios de correo electrónicoFuncionalidades hostingSoporte programación y Bases de DatosServicios adicionales incluidosCopias de SeguridadContrataciónHosting especializado en WordPress con discos SSDWordPress 7513´99 / mesCaracterísticas DestacadasCaracterísticas generalesServicios CMSServicios relacionados con dominiosServicios de correo electrónicoFuncionalidades hostingSoporte programación y Bases de DatosServicios adicionales incluidosCopias de SeguridadContrataciónHostingWordPress 13´99/mesHosting especializado en WordPress con discos SSDWordPress 55´99/mesHosting especializado en WordPress con discos SSDWordPress 107´99/mesHosting especializado en WordPress con discos SSDWordPress 5011´99/mesHosting especializado en WordPress con discos SSDWordPress 7513´99/mesCaracterísticas DestacadasUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Características generalesAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDEl espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.Ideado para sacar el máximo partido a tu WordPressAumenta la velocidad de tu web + InfoTras evaluación de nuestro equipo de migracionesTe ayudamos vía email y teléfono en todas tus consultas sobre hosting webElige la versión de PHP que necesitesCertificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUIContrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetServicios CMSIdeado para sacar el máximo partido a tu WordPressTe ayudamos vía email y teléfono en todas tus consultas sobre hosting webHosting específicamente preparado para sacar el máximo rendimiento a tu WordpressServicios relacionados con dominiosContrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Cada dominio alojado muestra un contenido único y diferente del restoAparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.Servicios de correo electrónicoCuentas de correo gestionables a través de POP, IMAP y servicio WebmailTus buzones de correo y mails limpios de virus y con un potente filtro antispamFuncionalidades hostingCentro de datos en Madrid (España)Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIOpción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUISoporte programación y Bases de DatosBases de datos MySQL disponibles para su uso en cada alojamiento webSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamiento¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting. ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordarServicios adicionales incluidosTe ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!Copias de SeguridadCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webContrataciónPrecio para nuevas altas. Contratación anual.Artículos relacionados:Cómo Modificar WordPress como «Marca Blanca» con White Label CMS Los Mejores Sitios para Descargar Temas de WordPress Gratis Emergency Password Reset Script para WordPress – Recuperar Contraseña Administrador Cuánto Cuesta Crear una Web: Consejos para que no te Timen Primeros Pasos para Crear un Blog en WordPress |
【本文地址】
今日新闻 |
推荐新闻 |