Alerta: Estafas por suplantación de identidad del equipo de seguridad de WordPress


El equipo de seguridad de WordPress está al tanto de múltiples estafas de phishing en curso que se hacen pasar tanto por el «equipo de WordPress» como por el «equipo de seguridad de WordPress» en un intento de convencer a los administradores de que instalen un plugin en su web que contiene malware.

El equipo de seguridad de WordPress nunca te enviará un correo electrónico solicitándote que instales un plugin o tema en tu sitio, y nunca te solicitará un nombre de usuario y contraseña de administrador.

Si recibes un correo electrónico no solicitado que dice ser de WordPress con instrucciones similares a las descritas anteriormente, ignora los correos electrónicos e indica a tu proveedor de correo electrónico que el correo electrónico es una estafa.

Estos correos electrónicos enlazan a un sitio de phishing que parece ser el repositorio de plugins de WordPress en un dominio que no es propiedad de WordPress ni de una entidad asociada. Tanto Patchstack como Wordfence han escrito artículos que detallan más sobre esta estafa.

Los correos electrónicos oficiales del proyecto WordPress siempre serán:

  • Proveniente de un dominio @wordpress.org@wordpress.net.
  • También debe decir «Firmado por: wordpress.org» en la sección de detalles del correo electrónico.

Aquí tienes un ejemplo de correo electrónico legítimo de WordPress:

El equipo de seguridad de WordPress solo se comunicará con los usuarios de WordPress desde las siguientes ubicaciones:

El equipo de plugins de WordPress nunca se comunicará directamente con los usuarios de un plugin, pero puede enviar correos electrónicos al personal de soporte, propietarios y contribuyentes del plugin. Estos correos electrónicos se enviarán desde plugins@wordpress.org y estarán firmados como se indica anteriormente.

El repositorio oficial de plugins de WordPress se encuentra en wordpress.org/plugins con versiones internacionalizadas en subdominios, como es.wordpress.org/plugins , pt.wordpress.org/plugins , etc. Un subdominio puede contener un guión, sin embargo, un El punto siempre aparecerá antes de wordpress.org.

Los administradores de un sitio WordPress también pueden acceder al repositorio de plugins a través del menú de plugins en el escritorio de WordPress.

Como WordPress es el CMS más utilizado, este tipo de estafas de phishing ocurrirán ocasionalmente. Estate atento a los correos electrónicos inesperados que te soliciten que instales un tema, un plugin o con un enlace a un formulario de inicio de sesión.

El sitio web Scamwatch tiene algunos consejos para identificar correos electrónicos y mensajes de texto que probablemente sean estafas .

Como siempre, si crees que ha descubierto una vulnerabilidad de seguridad en WordPress, sigue las políticas de seguridad del proyecto e informa del problema de manera privada y responsable directamente al equipo de seguridad de WordPress a través de la página oficial de HackerOne del proyecto.

Gracias, y que sigas disfrutando de un WordPress seguro.

Deja una respuesta