WP Cerber expulsado

Implementador WordPress y VPS
Implementador WordPress y VPS
WP Cerber expulsado
icon loader
/

Recibo un mensaje de Miguel Alanís preguntándome sobre WP Cerber y su expulsión del repositorio de plugins de WordPress… ¿El qué? ¿Cómo? Nooooo WP Cerber nooooooo.
Al estar fuera de casa me tocó tirar de celular y medio ver que ha pasado, pero al llegar, me puse a tirar del hilo y hay varias cosas que quiero compartirte en caso que seas usuario de este plugin.

WPCerber expulsado
  • Lo primero… Y muy importante
  • Desde este enlace:
  • Descarga la versión 9.1 del plugin
  • Y actualiza manualmente IN-ME-DIA-TA-MENTE
  • ¿Tiene un problema grave de seguridad?
    • No
  • ¿Es recomendable seguir usandolo?
    • Si, pero hay que actualizar a la versión 9.1
  • ¿Por qué en varios hilos y en la comunidad WordPress se dice que el error es grave y que es mejor quitarlo?
  • Vamos por partes…
  • Muchos dentro de la comunidad y en las diferentes redes
  • Se han quedado con los avisos que lanzó Wordfence:

The Plugin “WP Cerber Security, Anti-spam & Malware Scan” has been removed from wordpress.org.
Type: Plugin Removed
Issue Found August 21, 2022 3:32 am
Critical

Wordfence Vulnerability Advisories

Plugin Name: WP Cerber Security, Anti-spam & Malware Scan
Current Plugin Version: 9.0
Details: It has unpatched security issues and may have compatibility problems with the current version of WordPress. Get more information.

Wordfence Vulnerability Advisories
  • Y claro… al leer:
    • Removido del repositorio
    • Problema crítico encontrado
    • Tiene problemas de seguridad sin parchear
    • Puede tener problemas de compatibilidad con la versión actual de WordPress
  • Han saltado muchas alarmas
  • Y todo mundo esta recomendado
  • Que se elimine el plugin
  • Pero vamos por partes…
  • El problema de seguridad
  • En la versión 9.0 y posterior
  • Es grave… pero no critico
    • WP Cerber al usar una validación incorrecta del parámetro autor
    • El plugin no bloquea el listado si se tiene caracteres no numéricos
    • Es decir que un cyber criminal
    • Podía aprovechar este error de seguridad
    • Para recopilar información sobre los usuarios del WordPress
    • Y esa información utilizarla para otro tipos de ataques
    • Como un ataque de fuerza bruta
    • Porque ya tiene la mitad del trabajo hecho
    • Ya sabe el nombre del usuario
    • Solo le falta adivinar la contraseña
  • ¿Esto es grave?
  • ¿Esto suena muy mal?
  • Pero sabías que WordPress
  • Ya hace esto ¡DE SERIE!
  • Vas a un WordPress y ponés:
    • /?author=1
  • Después del dominio
  • ¿Y adivina qué va a pasar?
  • Va a mostrar el nombre del usuario
  • Y todo el contenido que ha publicado
  • Si en lugar del 1 ponés el 2
  • Vas a tener información del segundo usuario
  • Y así…
usuario wordpress
Tu WordPress en producción no debe de mostrar ¡nada! De información a tus usuarios.
  • Es decir, que el error de WP Cerber
    • Al facilitar la numeración de los usuarios
    • Es grave porque no hace lo que debería hacer
  • Esto se ha corregido en al versión 9.1
  • Que te recomiendo instalar al inicio
  • Pero, pero, pero…
  • Al enviar WP Cerber la versión 9.1
  • Al repositorio
  • El equipo del repositorio detecto otros detalles
  • Que se habían pasado por alto
  • Pero que hoy si se fijaron y le dijeron a WP Cerber que no
    • O lo demás bien
    • O al repositorio no vuelve
  • Y así muchos usuarios que estábamos en 9.0
  • No recibimos el aviso del repositorio
  • De la actualización a la versión 9.1
  • Porque el plugin esta desabilitado en el repositorio
    • Muchos ven la alerta de Wordfence
    • Van al repositorio
    • Ven el aviso: Este plugin ha sido cerrado el 18 de agosto de 2022 y no está disponible para descargar. Este cierre es temporal, pendiente de una revisión completa.
    • Y claro: ¡histeria! ¡pánico! ¡niños y mujeres primero!
  • ¿Y qué pasa dentro del repositorio?
  • ¿Por qué no aceptan la versión 9.1?
  • En el aviso del repositorio es importante retomar lo siguiente:
    • pendiente de una revisión completa
  • Es decir que ahora están viendo con lupa
  • Todo el código del plugin
  • En busca del minimo detalle
  • Y como han encontrado muchísimos detalles
  • El plugin no ha pasado la revisión completa
  • Además dentro del repositorio
  • Recientemente se ha aplicado
  • Una nueva directriz interna de inspección
  • Y esto va a forzar a muchos desarrolladores a re-escribir muchos plugins
  • Que en su momento
  • Se dejaron pasar
  • Pero que ahora gracias a las nuevas políticas y limitaciones
  • Lo van a querer todo perfecto
  • O no van a permitir el plugin en el repositorio
  • José Conti
  • Es resumén… o lo re-escriben y que quede todo perfecto
  • O no lo aceptan el repositorio
  • ¿Lo raro en todo esto?
  • Que los señores de Wordfence sueltan “la bomba”
  • El viernes 2 de septiembre
  • Cuando el cierre del plugin en el repositorio viene desde el 18 de agosto
  • Y ya esta disponible la versión 9.1
  • Pero el repositorio no la acepta
  • Hasta que cumpla con las nuevas políticas y directrices
  • ¿No te huele raro?
  • Yo siento que están aprovechando el momento
  • Para tratar de manchar la credibilidad del plugin que directamente les hace competencia
  • Y en lugar de dar la información correcta
  • Dicen lo que les conviene como les conviene
    • Y cuando les conviene
  • Pero bueno…
  • El líder del equipo de desarrollo WP Cerber
  • Ha estado respondiendo en el foro del plugin dentro del repositorio
  • Y como era de esperar
    • Confirma lo de la revisión completa
    • Recomienda actualiza manualmente a la 9.1
    • Confirma que WP Cerber
    • No tiene vulnerabilidades ni problemas de seguridad
    • Que ha sido retirado temporalmente
    • Mientras refactorizan el código
    • Para cumplir las nuevas directrices y políticas
    • Y volver al repositorio

¿Qué podemos hacer?

  • La opción más simple y más relajada:
    • Borra el plugin e instala otro mientras esta movida se resuelve
  • La opción simple pero PRO:
    • Exporta los ajustes de tu configuración de WP Cerber
    • Borra el plugin e instala otro mientras esta movida se resuelve
    • Al resolverse la movida
    • Volvés a instalar WP Cerber
    • E importás tu configuración
    • Así te queda todo como lo tenías
  • La opción atenta y vigilante:
    • Actualiza manualmente a la versión 9.1
    • Activa en notificaciones de una nueva versión
    • WP Cerber -> Escritorio ->Notificaciones -> Nueva versión disponible
  • Un detalle… ya me dirás si te ha pasado
  • Al actualizar a la versión 9.1
  • Marca un error el plugin SMTP
  • Porque se esta usando la función wp_mail_
  • Pero al borrar caché y recargar la web
  • El SMTP funciona y no vuelve a aparecer este aviso
  • Extraño…
error smtp
Error de plugin SMTP 🤔

Sin lugar a dudas, se espera mucho de un plugin de seguridad. Y yo estoy seguro que el equipo de WP Cerber van a estar a la altura y saldrán de esta con la frente en alto y con el visto bueno de todas las nuevas directrices que el repositorio ha incorporado.

Si querés ponerte en contacto conmigo, podes escribirme en mi Formulario de contacto aquí en la web 😉

Deja un comentario

Tu dirección de correo electrónico no será publicada.