5 populares plugins de WordPress vulnerados recientemente
Echaremos un vistazo a los plugins populares que han sido víctimas de hackers y las formas de protegerte de futuros ataques.
Ningún sistema de gestión de contenido (CMS) está a la altura de WordPress en términos de popularidad. Es un campeón indiscutible en su nicho, con un impresionante 63,5 por ciento de cuota de mercado de CMS. Además, el 37 por ciento de todos los sitios web en Internet ejecutan WordPress.
Su marco flexible que se adapta prácticamente a cualquier contexto en línea, desde pequeños blogs personales y medios de comunicación hasta sitios operados por las principales marcas. Por ello no sorprende que este CMS haya estado creando ondas en el área del ecosistema web durante años.
¿Qué piensan los ciberdelincuentes de este bombo publicitario? Lo has adivinado, están muy interesados en él. Sin embargo, a diferencia de los webmasters, su motivación es mucho menos benigna.
El lado positivo es que WordPress Core está adecuadamente protegido desde diferentes ángulos a través de parches de vulnerabilidad regulares.
Para reforzar las defensas sin depender de la higiene de actualización de los propietarios del sitio, WordPress ha estado impulsando actualizaciones automáticas en segundo plano. Ha realizado esto desde la versión 3.7 lanzada en 2013.
La mala noticia es que los plugins de terceros pueden ser una presa fácil para los actores maliciosos. Como era de esperar, los complementos (plugins) con muchas instalaciones activas son un atractivo mayor. Al explotarlos, estos actores pueden tomar un atajo y aumentar significativamente la superficie de ataque potencial.
Las vulnerabilidades encontradas recientemente en populares plugins de WordPress abarcan desde la ejecución remota hasta errores de escalada de privilegios. También abarcan la falsificación de solicitudes entre sitios y vulnerabilidades de secuencias de comandos entre sitios.
Plugins populares hackeados
1. File Manager
A principios de septiembre, los investigadores del proveedor de alojamiento web con sede en Finlandia Seravo encontraron una falla de seguridad en File Manager. File Manager un plugin de WordPress instalado en al menos 600,000 sitios. Categorizado como una vulnerabilidad de ejecución remota de código zero-day, este error crítico permitió a un atacante no autenticado acceder al área de administración. También le permitió ejecutar código malicioso y cargar scripts poco fiables en cualquier sitio de WordPress. La vulnerabilidad se podía ejecutar en las versiones de File Manager entre 6.0 y 6.8.
Para crédito del fabricante de plugins, se lanzó una versión parcheada (File Manager 6.9). Esto ocurrió pocas horas después de que los analistas de seguridad informaran de esta vulnerabilidad. Sin embargo, según las estadísticas de las versiones activas de File Manager, esta compilación se usa actualmente en solo el 52.3% de los sitios de WordPress que ejecutan el complemento. Significa que más de 300,000 sitios siguen siendo susceptibles de verse comprometidos porque sus propietarios tardan en actualizar el complemento a la última versión parcheada.
Los analistas han observado intentos de hackear sitios web a través de la vulnerabilidad del plugin File Manager. Estos provienen de 370,000 direcciones IP diferentes.
2. Page Builder
El plugin de WordPress Page Builder de SiteOrigin tiene más de un millón de instalaciones. A principios de mayo, el proveedor de servicios de seguridad Wordfence hizo un descubrimiento desconcertante. Este componente de WordPress enormemente popular es susceptible a una serie de vulnerabilidades de falsificación de solicitudes entre sitios (CSRF). La vulnerabilidad se puede utilizar como arma para obtener privilegios elevados en un sitio.
Las características defectuosas del complemento, “Live Editor” y “builder_content” son las responsables. Estas permiten a un ciberdelincuente registrar una nueva cuenta de administrador o abrir una puerta trasera para acceder a un sitio vulnerable a voluntad. Si un hacker es lo suficientemente competente, puede aprovechar esta vulnerabilidad para ejecutar una toma de control del sitio.
SiteOrigin implementó una solución un día después de haber sido alertado sobre estas vulnerabilidades. Sin embargo, el problema continuará haciéndose sentir en todos los ámbitos hasta que los webmasters apliquen el parche; desafortunadamente, esto suele llevar bastante tiempo.
3. GDPR Cookie Consent
Este plugin es uno de los pesos pesados en el ecosistema de WordPress, se ha instalado y utilizado activamente en más de 800,000 sitios. Permite a los webmasters cumplir con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. Esto a través de notificaciones de política de cookies personalizables.
En enero pasado, los expertos descubrieron que la versión 1.8.2 y anteriores del consentimiento de cookies del RGPD estaban expuestas a una vulnerabilidad grave. La vulnerabilidad permitía a los ciberdelincuentes realizar ataques de escalada de privilegios y secuencias de comandos entre sitios (XSS).
El error allana el camino de un hacker para alterar, publicar o eliminar cualquier contenido en un sitio web explotable de WordPress. Lo puede hacer incluso con permisos de suscriptor. Otro escenario adverso se reduce a inyectar código JavaScript dañino que puede causar redireccionamiento o mostrar anuncios no deseados a los visitantes. La buena noticia es que el desarrollador, WebToffee, lanzó una versión parcheada el 10 de febrero.
4. Duplicator
Con más de un millón de instalaciones activas y un total de 20 millones de descargas Duplicator es muy popular. Duplicator está en la lista de los 100 mejores plugins de WordPress. Su característica principal consiste en migrar o clonar un sitio de WordPress de una ubicación a otra. Además, permite a los propietarios de sitios realizar copias de seguridad de su contenido de forma fácil y segura.
En febrero, los analistas de seguridad de Wordfence identificaron una vulnerabilidad. Dicha vulnerabilidad permitía a un atacante descargar archivos arbitrarios de sitios que ejecutaban Duplicator versión 1.3.26 y anteriores. Por ejemplo, un atacante podría aprovechar esta vulnerabilidad para descargar el contenido del archivo “wp-config.php”. Este archivo contiene, entre otras cosas, las credenciales de administrador del sitio. Afortunadamente, la vulnerabilidad se corrigió dos días después de que se informara al proveedor sobre la vulnerabilidad.
5. Site Kit by Google
Una vulnerabilidad grave fue descubierta en Site Kit by Google, un plugin que se utiliza activamente en más de 700, 000 sitios. Esta permite que un atacante se apodere de la Search Console de Google asociada e interrumpa la presencia en línea del sitio. Al obtener acceso de propietario no autorizado a través de esta vulnerabilidad, un actor malintencionado puede cambiar los mapas del sitio. Asimismo, puede eliminar páginas de la lista de los resultados de búsqueda de Google, inyectar código dañino y orquestar fraudes de SEO black hat
Una de las facetas de esta vulnerabilidad es que el complemento tiene una implantación burda de las comprobaciones de roles del usuario. Para colmo, expone la URL aprovechada por Site Kit para comunicarse con Google Search Console. Cuando se combinan, estas imperfecciones pueden alimentar ataques que conducen a la escalada de privilegios y los escenarios posteriores a la explotación mencionados anteriormente.
La vulnerabilidad fue detectada por Wordfence el 21 de abril. Aunque el autor del plugin lanzó una versión actualizada (Site Kit 1.8.0) el 7 de mayo, está instalada actualmente en solamente 12.9%. Es decir, alrededor de 90,000 de los sitios de WordPress que ejecuta Site Kit. Por lo tanto, cientos de miles de propietarios de sitios aún tienen que aplicarlo para mantenerse seguros.
Qué hacer al respecto
Los plugins amplían la funcionalidad de un sitio de WordPress, pero pueden ser una bendición mixta. Incluso los plugins de WordPress más populares pueden tener imperfecciones que conducen a la toma de control del sitio y al robo de datos.
La buena noticia es que los autores de plugins responden rápidamente a estas vulnerabilidades y lanzan parches. Sin embargo, estas actualizaciones son inútiles a menos que los propietarios del sitio hagan sus deberes y sigan prácticas seguras.
Los siguientes consejos te ayudarán a evitar que tu sitio de WordPress se convierta en un objetivo fácil:
- Aplicar actualizaciones. Esta es la contramedida fundamental para los ataques de WordPress. Asegúrate de que tu sitio esté ejecutando la última versión de WordPress Core.
- Utilizar contraseñas seguras. Debes usar una contraseña que parezca lo más aleatoria posible y que tenga al menos 10 caracteres.
- Debes seguir el principio de privilegio mínimo. No otorgues a los usuarios autorizados más permisos de los que necesitan.
- Limitar el acceso directo a archivos PHP. Los hackers pueden enviar solicitudes HTTP o GET/POST especialmente diseñadas a componentes PHP de tus plugins y temas. Esto para evadir los mecanismos de autenticación y validación de entrada. Para evitar estos ataques, debes especificar reglas que activen una página de error cuando se realicen tales intentos.
- Eliminar usuarios inactivos. Revisa la lista de usuarios inscritos en tu sitio y elimina las cuentas inactivas.
- Desactivar la enumeración de usuarios. Para evitar que los atacantes vean la lista de usuarios de su sitio y traten de aprovechar sus errores de configuración debes cambiar la configuración. Dirígete al archivo .htaccess y desactiva la función de enumeración de usuarios allí.
- Agrega un plugin de seguridad. Asegúrate de que el plugin venga con un firewall de aplicaciones web (WAF) que monitoree el tráfico sospechoso. Además, debes bloquear los ataques dirigidos que se aprovechan de las vulnerabilidades conocidas y zero-day.
Además, ten en cuenta que la conciencia es la mitad de la batalla, por lo que es una buena idea ser un webmaster proactivo. Debes estar al tanto de los informes de vulnerabilidades emitidos por Wordfence y recursos similares en el campo de la seguridad.