Especialista en servidores y Hosting VPS
WP Cerber expulsado
Recibo un mensaje de Miguel Alanís preguntándome sobre WP Cerber y su expulsión del repositorio de plugins de WordPress… ¿El qué? ¿Cómo? Nooooo WP Cerber nooooooo.
Al estar fuera de casa me tocó tirar de celular y medio ver que ha pasado, pero al llegar, me puse a tirar del hilo y hay varias cosas que quiero compartirte en caso que seas usuario de este plugin.
- Lo primero… Y muy importante
- Desde este enlace:
- Descarga la versión 9.1 del plugin
- Y actualiza manualmente IN-ME-DIA-TA-MENTE
- ¿Tiene un problema grave de seguridad?
- No
- ¿Es recomendable seguir usandolo?
- Si, pero hay que actualizar a la versión 9.1
- ¿Por qué en varios hilos y en la comunidad WordPress se dice que el error es grave y que es mejor quitarlo?
- Vamos por partes…
- Muchos dentro de la comunidad y en las diferentes redes
- Se han quedado con los avisos que lanzó Wordfence:
The Plugin «WP Cerber Security, Anti-spam & Malware Scan» has been removed from wordpress.org.
Wordfence Vulnerability Advisories
Type: Plugin Removed
Issue Found August 21, 2022 3:32 am
Critical
Plugin Name: WP Cerber Security, Anti-spam & Malware Scan
Wordfence Vulnerability Advisories
Current Plugin Version: 9.0
Details: It has unpatched security issues and may have compatibility problems with the current version of WordPress. Get more information.
- Y claro… al leer:
- Removido del repositorio
- Problema crítico encontrado
- Tiene problemas de seguridad sin parchear
- Puede tener problemas de compatibilidad con la versión actual de WordPress
- Han saltado muchas alarmas
- Y todo mundo esta recomendado
- Que se elimine el plugin
- Pero vamos por partes…
- El problema de seguridad
- En la versión 9.0 y posterior
- Es grave… pero no critico
- WP Cerber al usar una validación incorrecta del parámetro autor
- El plugin no bloquea el listado si se tiene caracteres no numéricos
- Es decir que un cyber criminal
- Podía aprovechar este error de seguridad
- Para recopilar información sobre los usuarios del WordPress
- Y esa información utilizarla para otro tipos de ataques
- Como un ataque de fuerza bruta
- Porque ya tiene la mitad del trabajo hecho
- Ya sabe el nombre del usuario
- Solo le falta adivinar la contraseña
- ¿Esto es grave?
- ¿Esto suena muy mal?
- Pero sabías que WordPress
- Ya hace esto ¡DE SERIE!
- Vas a un WordPress y ponés:
- /?author=1
- Después del dominio
- ¿Y adivina qué va a pasar?
- Va a mostrar el nombre del usuario
- Y todo el contenido que ha publicado
- Si en lugar del 1 ponés el 2
- Vas a tener información del segundo usuario
- Y así…
- Es decir, que el error de WP Cerber
- Al facilitar la numeración de los usuarios
- Es grave porque no hace lo que debería hacer
- Esto se ha corregido en al versión 9.1
- Que te recomiendo instalar al inicio
- Pero, pero, pero…
- Al enviar WP Cerber la versión 9.1
- Al repositorio
- El equipo del repositorio detecto otros detalles
- Que se habían pasado por alto
- Pero que hoy si se fijaron y le dijeron a WP Cerber que no
- O lo demás bien
- O al repositorio no vuelve
- Y así muchos usuarios que estábamos en 9.0
- No recibimos el aviso del repositorio
- De la actualización a la versión 9.1
- Porque el plugin esta desabilitado en el repositorio
- Muchos ven la alerta de Wordfence
- Van al repositorio
- Ven el aviso: Este plugin ha sido cerrado el 18 de agosto de 2022 y no está disponible para descargar. Este cierre es temporal, pendiente de una revisión completa.
- Y claro: ¡histeria! ¡pánico! ¡niños y mujeres primero!
- ¿Y qué pasa dentro del repositorio?
- ¿Por qué no aceptan la versión 9.1?
- En el aviso del repositorio es importante retomar lo siguiente:
- pendiente de una revisión completa
- Es decir que ahora están viendo con lupa
- Todo el código del plugin
- En busca del minimo detalle
- Y como han encontrado muchísimos detalles
- El plugin no ha pasado la revisión completa
- Además dentro del repositorio
- Recientemente se ha aplicado
- Una nueva directriz interna de inspección
- Y esto va a forzar a muchos desarrolladores a re-escribir muchos plugins
- Que en su momento
- Se dejaron pasar
- Pero que ahora gracias a las nuevas políticas y limitaciones
- Lo van a querer todo perfecto
- O no van a permitir el plugin en el repositorio
- José Conti
- Ayer avisó en su cuenta de Twitter
- Sobre la situación de WP Cerber
- Y entre las respuestas
- Comentó lo siguiente:
- Es resumén… o lo re-escriben y que quede todo perfecto
- O no lo aceptan el repositorio
- ¿Lo raro en todo esto?
- Que los señores de Wordfence sueltan “la bomba”
- El viernes 2 de septiembre
- Cuando el cierre del plugin en el repositorio viene desde el 18 de agosto
- Y ya esta disponible la versión 9.1
- Pero el repositorio no la acepta
- Hasta que cumpla con las nuevas políticas y directrices
- ¿No te huele raro?
- Yo siento que están aprovechando el momento
- Para tratar de manchar la credibilidad del plugin que directamente les hace competencia
- Y en lugar de dar la información correcta
- Dicen lo que les conviene como les conviene
- Y cuando les conviene
- Pero bueno…
- El líder del equipo de desarrollo WP Cerber
- Ha estado respondiendo en el foro del plugin dentro del repositorio
- Y como era de esperar
- Confirma lo de la revisión completa
- Recomienda actualiza manualmente a la 9.1
- Confirma que WP Cerber
- No tiene vulnerabilidades ni problemas de seguridad
- Que ha sido retirado temporalmente
- Mientras refactorizan el código
- Para cumplir las nuevas directrices y políticas
- Y volver al repositorio
¿Qué podemos hacer?
- La opción más simple y más relajada:
- Borra el plugin e instala otro mientras esta movida se resuelve
- La opción simple pero PRO:
- Exporta los ajustes de tu configuración de WP Cerber
- Borra el plugin e instala otro mientras esta movida se resuelve
- Al resolverse la movida
- Volvés a instalar WP Cerber
- E importás tu configuración
- Así te queda todo como lo tenías
- La opción atenta y vigilante:
- Actualiza manualmente a la versión 9.1
- Activa en notificaciones de una nueva versión
- WP Cerber -> Escritorio ->Notificaciones -> Nueva versión disponible
- Un detalle… ya me dirás si te ha pasado
- Al actualizar a la versión 9.1
- Marca un error el plugin SMTP
- Porque se esta usando la función wp_mail_
- Pero al borrar caché y recargar la web
- El SMTP funciona y no vuelve a aparecer este aviso
- Extraño…
- Para terminar te comparto varios enlaces
- El hilo de José Conti donde nos avisa de la situación
- El hilo del foro de soporte del plugin donde el líder de desarrollo da detalles de la situación
- La página donde siempre vas a encontrar la ultima versión de WP Cerber
- Y el reporte de vulnerabilidad de Wordfence… por si te interesa darle un repaso
Sin lugar a dudas, se espera mucho de un plugin de seguridad. Y yo estoy seguro que el equipo de WP Cerber van a estar a la altura y saldrán de esta con la frente en alto y con el visto bueno de todas las nuevas directrices que el repositorio ha incorporado.