WordPress es el sistema de gestión de contenidos (CMS) más utilizado a nivel mundial. Como destacan sus creadores, más del 40% de las páginas web se construyen utilizando WordPress. No obstante, su popularidad también trae consigo un desafío significativo: la gran cantidad de sitios que utiliza WordPress atrae a actores malintencionados. Por esta razón, los expertos en ciberseguridad dedican especial atención a este CMS, informando periódicamente sobre distintos problemas de seguridad que surgen en él.
A menudo se comenta que WordPress tiene múltiples problemas de seguridad. Sin embargo, esta constante vigilancia también tiene un aspecto positivo: la mayoría de las amenazas y sus soluciones son ampliamente conocidas, facilitando así la protección de los sitios WordPress. En este artículo nos enfocaremos en esas medidas de seguridad.
Los problemas de seguridad más recurrentes en las listas de vulnerabilidades de WordPress incluyen ataques XSS (Cross-Site Scripting), SQLi (Inyección SQL) y CSRF (Cross-Site Request Forgery). Estos problemas surgen debido a fallos en el núcleo de WordPress, sus plugins o temas.
Es relevante mencionar que solo una pequeña proporción de estas vulnerabilidades se encuentra en el núcleo de WordPress. Durante el 2022, solo se detectaron 23 fallos en el núcleo, representando el 1,3% del total de 1779 vulnerabilidades halladas en WordPress ese año. Los temas contaron con 97 errores (5,45%), y la mayoría de las fallas, 1659 (93,25%), se encontraron en los plugins.
A pesar de estas cifras, no se debe evitar el uso de WordPress por miedo a estas vulnerabilidades. Es más común encontrar fallos en el software más utilizado.
Te podrá interesar leer: GootBot, la Variante de Gootloader que Revoluciona el Malware
El segundo importante problema de seguridad en WordPress está relacionado con la piratería de sitios web a través de métodos como la adivinanza de contraseñas (fuerza bruta) o el uso de nombres de usuario y contraseñas previamente comprometidos (relleno de credenciales) obtenidos de bases de datos filtradas de terceros.
Si una cuenta con privilegios elevados se ve comprometida, los atacantes pueden tomar el control de tu sitio de WordPress y utilizarlo con diversos propósitos maliciosos, como robar datos, insertar enlaces de manera discreta a recursos que promueven (spam SEO), instalar malware (incluyendo web skimmers), utilizar tu sitio para hospedar páginas de phishing, entre otros.
Te podrá interesar: Ataques de Relleno de Credenciales: El Punto Débil
Este problema está estrechamente relacionado con el anterior: en muchas ocasiones, los administradores de sitios de WordPress no gestionan con la debida precaución los permisos de los usuarios de WordPress, lo que aumenta significativamente el riesgo en caso de que una cuenta de usuario sea pirateada.
Ya hemos analizado las posibles consecuencias de que una cuenta con permisos elevados sea comprometida, incluyendo aquellos permisos otorgados por error o con la intención de "crecer": inyección de spam SEO en el contenido, acceso no autorizado a datos, instalación de malware, creación de páginas de phishing, entre otros.
Te podrá interesar: Control de Acceso Basado en Roles (RBAC)
Además de las extensiones que simplemente presentan vulnerabilidades, también existen aquellas que son abiertamente maliciosas. Por ejemplo, hace poco, los investigadores descubrieron una extensión de WordPress que se disfrazaba como una herramienta de almacenamiento en caché de páginas, pero en realidad, era una puerta trasera completa. Su principal función era crear cuentas de administrador ilegales y obtener control total sobre los sitios infectados.
A principios de este año, los investigadores encontraron otra extensión maliciosa de WordPress que originalmente era legítima, pero que los desarrolladores habían abandonado hace más de una década. Algunos individuos malintencionados la tomaron y la convirtieron en una puerta trasera, lo que les permitió tomar el control de miles de sitios de WordPress.
Otra vulnerabilidad específica de WordPress se relaciona con el protocolo XML-RPC. Originalmente diseñado para facilitar la comunicación entre WordPress y programas de terceros, este protocolo ha quedado en segundo plano desde que, en 2015, WordPress introdujo el soporte para la API REST, que se ha convertido en la opción más común para la interacción de aplicaciones. A pesar de esta transición, XML-RPC sigue habilitado de manera predeterminada en WordPress.
El problema radica en que los atacantes pueden aprovechar XML-RPC para llevar a cabo dos tipos de ataques contra su sitio. En primer lugar, se encuentran los ataques de fuerza bruta dirigidos a adivinar contraseñas de sus cuentas de usuario de WordPress. Mediante XML-RPC, los atacantes pueden consolidar múltiples intentos de inicio de sesión en una única solicitud, simplificando y acelerando el proceso de piratería. En segundo lugar, el protocolo XML-RPC puede utilizarse para coordinar ataques de denegación de servicio distribuido (DDoS) en su sitio web de WordPress a través de los llamados "pingbacks".
Te podrá interesar leer: Entendiendo y Mitigando Ataques DDoS
En resumen, aunque WordPress enfrenta varios desafíos de seguridad, existen medidas claras y efectivas para mitigar estos riesgos. Mantener el sistema actualizado, gestionar los permisos de manera prudente y ser cauteloso con los plugins son pasos fundamentales para garantizar la seguridad de su sitio WordPress.