Según ha informado el propio desarrollador de WPML | WordPress Multilangual – el popular de plugin multiidioma de WordPress – el pasado 20 de enero hackearon su web dejándola fuera de servicio y comprometiendo datos de sus clientes; nombres de usuario, correo electrónico y contraseñas, aunque aseguran que no los datos de pago.
Al parecer un exempleado habría utilizado una antigua contraseña, aprovechando un exploit que él mismo habría instalado antes de dejar la compañía. Posteriormente envió un mensaje a todos los clientes advirtiendo que el plugin tenía múltiples agujeros de seguridad, extremo desmentido por WPML en su comunicado oficial:
- El plugin WPML que se ejecuta en su sitio no contiene esta vulnerabilidad.
- Su información de pago no se vio comprometida (no la almacenamos).
- El intruso tiene su nombre y correo electrónico y podría tener acceso a su cuenta en WPML.org.
- El intruso robó las claves del sitio, pero no sirven de nada.
- Las claves del sitio permiten que su sitio obtenga actualizaciones de wpml.org.
- El intruso no puede enviar ningún cambio a su sitio usando estas teclas.
Los servicios en línea de WPML han quedado restablecidos y han securizado su administración con autenticación de dos factores.
En cualquier caso, desde WPML, recomiendan que todos sus clientes renueven sus contraseñas desde su propia web y aseguran que informarán debidamente a sus clientes de futuras medidas de seguridad adicionales.
Página del plugin: WMPL.ORG
SERVICIOS RELACIONADOS
