El plugin WPS Hide Login para WordPress es vulnerable a la revelación de la ubicación de la página de inicio de sesión en todas las versiones hasta, e incluyendo, la 1.9.11. Esto permite que atacantes no autenticados eludan una restricción de seguridad diseñada para prevenir intentos de autenticación por fuerza bruta en instalaciones de múltiples sitios.
El plugin WPS Hide Login para WordPress es utilizado por muchos administradores de sitios para ocultar la ubicación predeterminada de la página de inicio de sesión. Sin embargo, una falla en el mecanismo de protección permite revelar la ubicación de la página de inicio de sesión oculta.
Los atacantes no autenticados pueden aprovechar esta vulnerabilidad para encontrar la ubicación exacta de la página de inicio de sesión y, potencialmente, realizar intentos de autenticación por fuerza bruta. Esto puede comprometer la seguridad de sitios de WordPress que utilizan este plugin.
Para subsanar este problema, se recomienda desactivar o eliminar el plugin WPS Hide Login y buscar alternativas más seguras para ocultar la página de inicio de sesión. Además, se aconseja mantener actualizado el software de WordPress y todos sus plugins para evitar vulnerabilidades conocidas.
La vulnerabilidad de revelación de la ubicación de la página de inicio de sesión oculta en el plugin WPS Hide Login para WordPress representa una amenaza significativa para la seguridad de sitios web. Es crucial que los administradores de sitios tomen medidas para mitigar este riesgo, como desactivar el plugin y buscar soluciones alternativas más seguras. Además, se recomienda mantener un enfoque proactivo para mantener actualizado el software de WordPress y todos sus plugins, para protegerse contra futuras vulnerabilidades conocidas.