El equipo de seguridad de WordPress está al tanto de múltiples estafas de phishing en curso que suplantan tanto al “equipo de WordPress” como al “Equipo de Seguridad de WordPress” en un intento de convencer a los administradores de instalar un plugin en su sitio web que contiene malware.
El equipo de seguridad de WordPress nunca le enviará un correo electrónico solicitando que instale un plugin o tema en su sitio, y nunca pedirá un nombre de usuario y contraseña de administrador.
Si recibe un correo electrónico no solicitado que afirma ser de WordPress con instrucciones similares a las descritas anteriormente, por favor ignore los correos electrónicos e indique que el correo electrónico es una estafa a su proveedor de correo electrónico.
Estos correos electrónicos enlazan a un sitio de phishing que parece ser el repositorio de plugins de WordPress en un dominio que no es propiedad de WordPress o de una entidad asociada. Tanto Patchstack como Wordfence han escrito artículos que detallan más al respecto.
Los correos electrónicos oficiales del proyecto de WordPress siempre:
- Provendrán de un dominio @wordpress.org o @wordpress.net.
- También deberían decir “Firmado por: wordpress.org” en la sección de detalles del correo electrónico.
El equipo de seguridad de WordPress solo se comunicará con los usuarios de WordPress en los siguientes lugares:
- el blog de Haciendo Seguro a WordPress en make.wordpress.org/security
- el sitio principal de Noticias de WordPress en wordpress.org/news
El equipo de plugins de WordPress nunca se comunicará directamente con los usuarios de un plugin, pero puede enviar correos electrónicos al personal de soporte del plugin, propietarios y colaboradores. Estos correos electrónicos se enviarán desde plugins@wordpress.org y estarán firmados como se indicó anteriormente.
El repositorio oficial de plugins de WordPress se encuentra en wordpress.org/plugins con versiones internacionalizadas en subdominios, como fr.wordpress.org/plugins, en-au.wordpress.org/plugins, etc. Un subdominio puede contener un guion, sin embargo, un punto siempre aparecerá antes de wordpress.org.
Los administradores de un sitio de WordPress también pueden acceder al repositorio de plugins a través del menú de plugins en el panel de WordPress.
Dado que WordPress es el CMS más utilizado, este tipo de estafas de phishing ocurrirán ocasionalmente. Por favor, esté atento a correos electrónicos inesperados que le pidan que instale un tema, un plugin o que enlacen a un formulario de inicio de sesión.
El sitio web Scamwatch tiene algunos consejos para identificar correos electrónicos y mensajes de texto que probablemente sean estafas.
Como siempre, si cree que ha descubierto una vulnerabilidad de seguridad en WordPress, por favor siga las políticas de seguridad del proyecto al revelar de manera privada y responsable el problema directamente al equipo de seguridad de WordPress a través de la página oficial de HackerOne del proyecto.
Fuente: WordPress