El plugin de inicio de sesión con número de teléfono para WordPress es vulnerable a restablecimientos de contraseña no autorizados en versiones hasta, e incluyendo, 1.7.34. Esto se debe a que el plugin genera un código de restablecimiento demasiado débil, y el código utilizado para restablecer la contraseña no tiene ningún intento o límite de tiempo. Esto hace posible que atacantes no autenticados restablezcan la contraseña de usuarios arbitrarios adivinando un código de restablecimiento numérico de 6 dígitos.
Los usuarios afectados por este problema deben tomar medidas inmediatas para proteger sus cuentas. Para subsanar este problema, se recomienda desactivar temporalmente el plugin hasta que se publique una actualización que corrija esta vulnerabilidad. Mientras tanto, se puede implementar la autenticación de dos factores para añadir una capa adicional de seguridad a las cuentas de los usuarios. Es importante ser diligente al elegir y gestionar las contraseñas para evitar vulnerabilidades adicionales.
Es fundamental que los propietarios de sitios web de WordPress estén al tanto de estas vulnerabilidades de seguridad y tomen medidas proactivas para proteger sus sitios y usuarios. Mantenerse informado sobre las actualizaciones de seguridad y seguir las mejores prácticas de seguridad cibernética puede contribuir significativamente a mitigar los riesgos de ataques cibernéticos.