Demostración de FacetWP
La intención de este artículo es resolver las dudas de aquellos que han contratado un alojamiento con un VPS de Arsys y se han encontrado con la sorpresa de que no está documentado cómo alojar su web y ponerla online.
Cuando accedemos, en la página de Arsys, a la sección de alojamiento de servidores virtuales, VPS, debemos elegir la ubicación del servidor, Europa o América, el sistema operativo, Linux o Windows, la versión del sistema operativo y si queremos que se instale Plesk. Obviamente plesk es una herramienta imprescindible para la administración de los sitios web alojados en un servidor y no debemos olvidar marcar la casilla VPS con Plesk incluido, de lo contrario deberemos realizar todas las tareas administrativas desde la línea de comandos del servidor, y es algo muy tedioso.
Yo recomiendo Linux, aunque no estés familiarizado con el sistema operativo, por su fiabilidad y comportamiento. Incluso si no tienes ni idea de Linux, no te preocupes, no debes tocarlo para nada, todo se hará desde Plesk o desde el panel de control del VPS.
Versión de PHP en Plesk (Obsidian)
A principios de septiembre, los expertos informaron de que los hackers estaban explotando activamente una vulnerabilidad crítica de ejecución remota de código en el plugin File Manager WordPress que podría ser explotada por atacantes no autentificados para cargar scripts y ejecutar código arbitrario en sitios WordPress que ejecutan versiones vulnerables del plugin.
La vulnerabilidad fue descubierta por primera vez por Gonzalo Cruz de Arsys, el investigador también confirmó que los actores de la amenaza ya están explotando la falla para cargar archivos PHP maliciosos en sitios vulnerables.
Cruz compartió sus hallazgos con la empresa de seguridad de WordPress, Wordfence, y le proporcionó una prueba de concepto del fallo. La empresa de seguridad confirmó el ataque en curso, su Firewall de Aplicaciones Web bloqueó más de 450.000 intentos de explotación durante los últimos días.
“El firewall de Wordfence ha bloqueado más de 450.000 intentos de explotación dirigidos a esta vulnerabilidad durante los últimos días. Estamos viendo que los atacantes intentan inyectar archivos aleatorios, todos los cuales parecen comenzar con la palabra “hard” o “x””. Dijo Wordfence.
Hospedaje
Esta mañana se ha publicado un parche para el 1 de septiembre de 2020. Estamos viendo que esta vulnerabilidad está siendo explotada activamente en la naturaleza, por lo tanto, instamos a los usuarios a actualizar a la última versión, 6.9, inmediatamente ya que contiene un parche para esta vulnerabilidad y le mantendrá protegido.
File Manager es un plugin diseñado para ayudar a los administradores de WordPress a gestionar los archivos de sus sitios. El plugin contiene una librería adicional, elFinder, que es un gestor de archivos de código abierto diseñado para crear una interfaz sencilla de gestión de archivos y proporciona la funcionalidad principal detrás del gestor de archivos. El plugin del gestor de archivos utilizaba esta biblioteca de forma que introducía una vulnerabilidad.
El núcleo del problema comenzó con el plugin del Administrador de Archivos que renombró la extensión del archivo connector.minimal.php.dist de la biblioteca elFinder a .php para que pudiera ejecutarse directamente, aunque el archivo del conector no fuera utilizado por el propio Administrador de Archivos. Estas bibliotecas suelen incluir archivos de ejemplo que no están pensados para ser utilizados “tal cual” sin añadir controles de acceso, y este archivo no tenía restricciones de acceso directo, lo que significa que cualquiera podía acceder al archivo. Este archivo podía utilizarse para iniciar un comando de elFinder y estaba conectado al archivo elFinderConnector.class.php.
Plesk + Instalador automático Softaculous
Cada vez que hago una conferencia o un curso, me miro las webs de los asistentes. Para ello, la organización del evento me envía una lista de sus URL y las abre en el mismo navegador pero en diferentes pestañas. Desgraciadamente, cuando he abierto las páginas y puedo ver favicons por todo el mundo, observo que una gran parte de ellos son favicons del CMS que utiliza para construir sus páginas web (normalmente Joomla o WordPress), no un favicon corporativo, que es lo que debería ser.
Un favicon es un pequeño icono (normalmente de 16×16 píxeles o 32×32 px) que se utiliza para identificar un sitio web en una pestaña del navegador, en una lista de favoritos o en cualquier otro lugar que requiera una pequeña identificación. De hecho, favicon significa “icono de favoritos”. Es el elemento creado para identificar nuestra página web cuando alguien la incluye en una lista de favoritos.
Algunos gestores de contenidos como WordPress tienen una sección en el panel de administración para que indiques la URL exacta del favicon… aunque sigue funcionando si no indicas nada ahí pero tienes un favicon en tu directorio raíz.