WordPress es el CMS más popular entre la población, usado por casi el 60% de todos los sitios web, lo que significa un total de más de 22 millones de websites. Debido a ello, no está exenta de problemas; de hecho presenta fallas que disminuyen su seguridad. Casi todas las vulnerabilidades suscitadas por WordPress (un 98%) se relacionan con los plugins, los cuales extienden el funcionamiento correcto y las características que posee una página web.
Los reportes de las vulnerabilidades de WordPress se han elevado en un 30% en el último año, lo que representa una cifra mayor a cualquier otra CMS que se conozca. Más de la mitad de dichas fragilidades (que representan el 54%) posee una vulnerabilidad pública disponible para los molestos piratas informáticos o hackers. Y más de un tercio (el 38%) no tiene solución alguna en cuanto a actualizaciones de software o parches, lo cual es negativo para sus usuarios.
Respecto de los plugins de la plataforma, cualquier usuario puede crearlos y publicarlos, debido a que WordPress es de código abierto y no se le aplican estándares mínimos en cuanto a seguridad, lo cual la hace propensa a las vulnerabilidades. El lento crecimiento de los plugins y el rápido aumento de las vulnerabilidades de WordPress pueden deberse a su uso generalizado, pues los atacantes o piratas pueden estar más motivados a desarrollar herramientas pensadas para buscar agujeros dentro del código de la plataforma. Además, tiene dos vulnerabilidades que fueron la razón de violaciones de seguridad en miles de servidores web del año 2018.
Tales debilidades dieron pie a los hackers para insertar de manera remota un código con malas intenciones y ejecutarlo en las instalaciones predeterminadas o comunes de Drupal, y luego dejar que los agresores web tengan conexión a bases de datos, que escaneen e infecten redes internas, consigan la extracción de criptomonedas y además contagien a los usuarios con troyanos o virus. A continuación te mostraremos una lista de los 11 plugins con mayores vulnerabilidades en WordPress durante 2018:
1- Event Calendar WD:
El plugin de WordPress «Event Calendar WD» contiene una vulnerabilidad de cross-site scripting. Se puede ejecutar un script arbitrario en el navegador web del usuario que ha iniciado sesión.
2- Ultimate Member:
Una gran cantidad de sitios en WordPress estaban siendo comprometidos mediante una puerta trasera de PHP. Una vez instalada la puerta trasera, el atacante utilizaba su acceso para inyectar un código que redirige a los visitantes del sitio a páginas web bajo el control de los atacantes.
3- Coming Soon Page:
Vulnerabilidad que permite obtener la cookie del administrador fácilmente, o causar un daño mayor cuando se visita una pagina HTML infectada.
4- GD Rating System:
Es posible que se lleve a cabo la modificación de algunos archivos o información del sistema, pero el atacante no tiene control sobre lo que se puede modificar, o el alcance de lo que puede afectar es limitado. No se requiere autenticación para explotar la vulnerabilidad.
5- Contact Form by WD:
Se ha detectado una vulnerabilidad recientemente, no se ha reportado información adicional.
6- WPGlobus:
La vulnerabilidad encontrada permite modificar algunos archivos o información del sistema, pero el atacante no tiene control sobre lo que se puede modificar o el alcance de lo que puede afectar es limitado. La vulnerabilidad requiere que un atacante inicie sesión en el sistema (como en una línea de comandos, o mediante una sesión de escritorio o una interfaz web).
7- Form Maker by WD:
El atacante ejecuta un exploit via SQL Injection.
8- Ninja Forms:
La vulnerabilidad de la inyección de SQL en el plugin “Ninja Forms“ de WordPress permite a los atacantes ejecutar comandos SQL arbitrarios a través de vectores no especificados.
9- Affiliates Manager:
Se descubrió una vulnerabilidad de cross-site scripting (XSS) en relación con el filtrado de referencias en el administrador.
10- Duplicator Pro:
Se trata de una vulnerabilidad de ejecución remota de código (RCE). El código JavaScript arbitrario se puede ejecutar en el navegador si se engaña a un usuario para que haga clic en un enlace, o para que navegue por una URL bajo el control del atacante.
11- GDPR Compilance:
Lo que hace este plugin es añadir una funcionalidad para monitorear el cumplimiento de la normativa por otros plugins que manejan datos de los usuarios, y que son muy utilizados en sitios web realizados en WordPress.
Los atacantes descubrieron una vulnerabilidad en este plugin que comenzaron a explotar para acceder a sitios en WordPress e instalar scripts de backdoors.
Según lo que detectaron los especialistas, son dos los tipos de ataque que procuran aprovecharse del bug. El primero es un ataque que permite a los cibercriminales crear una nueva cuenta de usuario (usualmente llamada “t2trollherten.”), asignarle privilegios de administración y luego modificar la configuración para volverla a la normalidad e instalar plugins maliciosos o “temas” para WordPress que contengan algún malware.
El segundo ataque provee al atacante con un backdoor persistente que puede ser reemplazado si es descubierto o si es eliminado. Este ataque aprovecha el bug de WP GDPR Compliance para agregar una nueva tarea maliciosa al WP-Cron shedule de un sitio. Lo que hace es explotar una tecnología que permite a un sitio web ejecutar tareas programadas, como revisar actualizaciones o la publicación de un nuevo contenido. Los atacantes utilizaron el WP-Cron para descargar e instalar el 2MB Autocode plugin, el cual luego sería utilizado para subir al sitio el script de otro backdoor.
No obstante, hay advertencias en cuanto a esta información del reporte. En primer lugar hay que recalcar que no porque aparezcan en el listado quiere decir que sean los plugins con más ataques. En algunos casos, los problemas que se hallaron no ponen a los usuarios en riesgo de ser agredidos online, debido a que solo pueden ser atacados por usuarios que posean acceso administrativo completo en el sitio.