El plugin Limit Login Attempts (Spam Protection) para WordPress es vulnerable a IP Address Spoofing en versiones hasta, e incluyendo, la 5.3. Esto se debe a restricciones insuficientes en donde se está recuperando la información de la dirección IP para el registro de solicitudes y restricciones de inicio de sesión. Los atacantes pueden suministrar el encabezado X-Forwarded-For con una dirección IP diferente que será registrada y puede ser utilizada para evadir configuraciones que podrían haber bloqueado una dirección IP o país para iniciar sesión.
Se recomienda a los usuarios del plugin Limit Login Attempts (Spam Protection) que actualicen a la versión más reciente disponible lo antes posible para mitigar este riesgo de seguridad. Además, se sugiere revisar la configuración de seguridad del sitio web y limitar el acceso al panel de administración solo a usuarios autorizados para reducir la exposición a posibles ataques.
Es fundamental mantener tanto el plugin como WordPress actualizados y seguir buenas prácticas de seguridad para protegerse de posibles vulnerabilidades como esta. La seguridad de un sitio web es responsabilidad de todos los involucrados, desde los desarrolladores hasta los usuarios finales.