El plugin oficial de Chat de Facebook para WordPress es un complemento para los propietarios de un sitio web que al incorporarlo permite a los usuarios comunicarse fácilmente a través de la red social sin necesidad de que el usuario ingrese a la página de Facebook oficial del sitio o que habra Messenger. Además, ofrece funcionalidades adicionales como la posibilidad de configurar respuestas automáticas y respuestas a preguntas frecuentes (FAQ) para brindar información útil al usuario. Este plugin, que tiene más de 80.000 usuarios activos, fue actualizado hace dos días a la versión 1.6, dado que investigadores descubrieron en junio de este año que la anterior versión (1.5) presentaba un fallo de seguridad que permite a un atacante interceptar los mensajes enviados por los usuarios al cambiar la cuenta de Facebook asociada al plugin por una controlada por el atacante.
El fallo radica en la incapacidad de verificar que una solicitud proviene de un administrador autenticado, “permitiendo a cualquier usuario autenticado, incluyendo cuentas de nivel suscriptor, enviar una solicitud para actualizar las opciones y sustituir la cuenta de Facebook asociada”, explica el sitio Wordfence. De esta manera, un atacante puede asociar su propia cuenta de Facebook Messenger al actualizar el ID de la página en cualquier sitio con solo tener la capacidad de registrarse en el sitio y acceder al panel de wp-admin. En este sentido, el equipo de Wordfence agrega como recordatorio que “por defecto, todas las cuentas de usuario pueden acceder al área de wp-admin de un sitio creado en WordPress”. Una vez asociada al plugin la cuenta de Facebook Messenger del atacante, este recibirá cualquier mensaje enviado a través del Chat de Messenger y el propietario del sitio y de la cuenta de Facebook dejará de recibir mensajes.
Los investigadores aseguran que una vulnerabilidad como esta puede ser fácilmente aprovechada como parte de ataques de ingeniería social en el que se solicita a los usuarios información personalmente identificable o sensible. Por otra parte, un actor malicioso podría afectar la reputación de una marca al tener la posibilidad de interactuar con usuarios/clientes que crean que se están comunicando a través del Chat oficial de Facebook de la empresa o marca.
Se recomienda a los propietarios de un sitio web en WordPress que utilicen este plugin que actualicen a la versión 1.6 que repara el fallo.
Créditos imagen: Phil Oakley/Flickr