Sí, normalmente funciona a la inversa. Wordpress tiene un complemento inseguro instalado que permite cargar y ejecutar un script php. Esto se puede usar para atacar el lado de Magento, como la descarga de las credenciales de la base de datos de Magento, la inyección de cuentas de administrador personalizadas en la base de datos de Magento, la instalación del módulo de administración de archivos de Magepleasure y los scripts de recolección de información de la tarjeta.
Por supuesto, esta es una calle de dos vías. Si Magento no está parcheado para el error de robo de tiendas, el atacante puede usar una transacción POST para inyectar directamente una cuenta de administrador en la base de datos de Magento sin tener las credenciales de Magento. Descargue Magento y luego instale el módulo de administración de archivos Magepleasure y, una vez más, haga lo que desee en la cuenta de usuario.
Depende totalmente de lo que el atacante quiera hacer, la infección en la computadora probablemente se logra mejor a través de un blog popular, aunque el último golpe en Magento estaba usando el error de robo de tiendas SUPEE-5344 previamente inyectado creado cuentas de administrador o las instalaciones de Magento aún no están parcheadas correctamente las diversas vulnerabilidades para inyectar el paquete de infección GuruIncSite en el pie de página de Magento. Magento es, por supuesto, de interés directo para el robo de información de clientes antiguos y de tarjetas de crédito.
Para reiterar, si un módulo de complemento para O Wordpress o Magento es vulnerable a un ataque, ambas aplicaciones pueden verse comprometidas.