Se ha descubierto que la página duplicada en WordPress tiene una vulnerabilidad de inyección SQL peligrosa. Este tipo de ataque consiste en modificar el lenguaje de consulta estructurado (SQL) de una página o aplicación web a través de un código malicioso donde pueden quedar expuestos los datos ocultos.

Los plugins que han sido afectados son muy populares:

  • Uno de ellos, es el más popular para configurar una cuenta SMTP en WordPress Easy WP SMTP
  • El otro, para duplicar páginas y contenidos denominado Duplicate Page

A través de una inyección SQL, los hackers pueden crear, modificar, eliminar o leer los datos guardados en la base de datos para acceder a información confidencial como los números de las tarjetas de créditos, información financiera o números de la seguridad social.

Por el momento, ha afectado a 800.000 sitios webs. Duplicate-Page es un complemento de WordPress que facilita la duplicación de páginas en un sitio. El estado actual de la vulnerabilidad es que se ha corregido con la nueva versión 3.4, en el caso de que, un usuario esté usando la versión anterior, debe actualizar lo antes posible para protegerse de la inyección SQL.

Debido a la rapidez de reacción y la explotación exitosa, el error ha podido corregirse antes de que los atacantes pudieran llegar a la información confidencial de los usuarios. A partir del 1 de abril, la solución de esta vulnerabilidad se encuentra disponible en wordpress.org.

Por lo tanto, es necesario que todas las personas que utilicen esta función de WordPress, actualicen rápidamente para que la inyección SQL no les afecte y sus datos confidenciales queden alejados de los atacantes.