El mayor ciberataque a WordPress ha encendido las alarmas entre miles de dueños de sitios web, y con razón. Más de 4 millones de páginas webs elaboradas con WordPress se han visto afectadas por este ciberataque. Si usas WordPress para tu blog, tu tienda online o cualquier otro proyecto, este tema te interesa, y mucho.
El problema se encontró en el plugin de seguridad Really Simple Security, antes conocido como Really Simple SSL. Este complemento, súper popular entre los usuarios de WordPress, permitió que los atacantes se colaran en los sitios afectados, incluso si estos tenían medidas avanzadas como la autenticación en dos pasos.
Este caso deja claro lo expuestos que están los sitios basados en WordPress, la plataforma que, por cierto, impulsa el 43% de las páginas web en todo el mundo. Los hackers aprovecharon esta brecha para saltarse las medidas de seguridad, tomar control total de las webs, alterar contenido e incluso robar información sensible.
La falla en el plugin Really Simple Security ha sido catalogada como una de las más graves en la historia de WordPress. Básicamente, los atacantes encontraron una vulnerabilidad que les permitió desactivar otras medidas de seguridad y colarse sin permiso en los sitios afectados. Según Sancho Lerena, CEO de Pandora FMS, "cualquier dato es valioso para robar, por muy pequeña que sea la web". Y tiene toda la razón: no importa si tu página es un pequeño blog o un sitio de una gran empresa, si hay una brecha, los hackers la aprovecharán.
La vulnerabilidad identificada como CVE-2024–10924, con una alarmante puntuación de 9.8 en la escala CVSS, ha puesto en jaque tanto a la versión gratuita como a la premium de un plugin ampliamente usado en WordPress. Estamos hablando de un complemento instalado en más de 4 millones de sitios web, lo que deja claro el alcance potencial de este problema.
El fallo permite a los atacantes explotar scripts para lanzar ataques automatizados a gran escala, convirtiendo cualquier sitio WordPress que use este plugin en un blanco fácil. Aunque el problema fue descubierto el 6 de noviembre de 2024, la solución llegó apenas una semana después con la versión 9.1.2 del plugin. Dado el riesgo crítico, los desarrolladores del complemento, junto con WordPress, implementaron una actualización forzada para minimizar el impacto antes de que los detalles de la vulnerabilidad se hicieran públicos.
El error, que afecta a las versiones 9.0.0 a 9.1.1.1, se encuentra en la función "check_login_and_get_user", que no gestionaba correctamente los procesos de verificación de usuarios. En pocas palabras, este fallo permitía que cualquier atacante no autenticado iniciara sesión como si fuera cualquier usuario, incluido el administrador, incluso si el sitio tenía activada la autenticación en dos pasos.
Por si fuera poco, la implementación de la autenticación en dos factores también tenía su propio problema: una configuración insegura que hacía posible que los hackers se saltaran esta medida con una simple solicitud al sistema. En manos de un atacante, esto significaba acceso total a cualquier cuenta, y lo que es peor, al control completo del sitio.
Por desgracia, este tipo de ataques no son nada nuevo. En los últimos años, los ciberataques han aumentado considerablemente, especialmente durante la pandemia, cuando todos dependíamos más que nunca de los sistemas digitales. Las brechas de seguridad se convirtieron en la puerta perfecta para los ciberdelincuentes, tanto en empresas como en proyectos personales.
Un ejemplo reciente que sigue siendo recordado es el ataque informático que paralizó las operaciones de Damm, demostrando que ni siquiera las grandes empresas están a salvo. Este tipo de incidentes nos deja una lección clara: la ciberseguridad no es opcional, y esperar a que pase algo para tomar medidas nunca es buena idea.
En el caso de WordPress, esta brecha refuerza la importancia de diversificar y fortalecer las herramientas de seguridad que usamos en nuestros sitios. No basta con instalar un plugin y olvidarte; se necesitan sistemas que monitoreen continuamente tu página y actualizaciones constantes para prevenir este tipo de vulnerabilidades.
Las empresas y los particulares también deben tomar decisiones más proactivas: analizar sus necesidades de ciberseguridad, instalar medidas personalizadas y, sobre todo, no descuidar los complementos que instalan en sus sitios web. No hacerlo puede convertirlos en el próximo blanco de los atacantes.
Con los ciberataques en aumento y los hackers cada vez más sofisticados, este incidente nos deja una advertencia importante: la ciberseguridad no solo protege datos sensibles, también salvaguarda la confianza de los usuarios y la estabilidad de nuestras operaciones online. Es hora de priorizarla como nunca antes.
Te podrá interesar leer: Protegiendo tu Sitio Web: Seguridad en WordPress
Esta falla crítica en WordPress dejó expuestos a millones de sitios en todo el mundo, incluyendo varios portales gubernamentales importantes de México. Desde páginas municipales hasta instituciones estatales, muchos de estos sitios estuvieron en riesgo de ataques debido a la falta de actualizaciones necesarias. Entre los sitios que potencialmente estarían en riesgo se encuentran: