WordPress sigue siendo el sistema de gestión de contenido (CMS) más usado, ocupando el 63.3% del total de la cuota de mercado. Con aproximadamente 810 millones de sitios web que operan a través de esta plataforma, su simplicidad en la gestión de contenido y la versatilidad que ofrecen sus numerosos plugin le convierten en una herramienta poderosa. Sin embargo, esta popularidad también atrae a los atacantes, quienes aprovechan las vulnerabilidades de WordPress para realizar ataques.
En el período entre 2023 y 2024, se notificaron 5.948 vulnerabilidades en WordPress, de las cuales el 97% provenían de plugins, el 3% de temas y solo un 0.2% del núcleo de WordPress. A pesar de que las vulnerabilidades del núcleo son de bajo nivel, los plugins representan la amenaza de seguridad más significativa. Dentro de este tipo de vulnerabilidades destacan las 10 principales vulnerabilidades de WordPress en 2024:
1. Cross Site Scripting (XSS)
Con 3.171 incidentes, el XSS es la vulnerabilidad más común, representando el 53.3% de las nuevas vulnerabilidades de seguridad de WordPress. Esta técnica permite a los atacantes inyectar scripts maliciosos en las páginas de WordPress, lo que puede resultar en el secuestro de sesiones, la desconfiguración de sitios web o el robo de datos de los visitantes.
2. Falsificación de petición en sitios cruzados (CSRF)
El CSRF, con 1.098 vulnerabilidades notificadas, permite a los atacantes engañar a los visitantes para que realicen acciones no intencionadas en aplicaciones web autenticadas, como transacciones no autorizadas o manipulación de datos.
3. Control de acceso defectuoso
Este tipo de vulnerabilidad, con 767 avisos, ocurre cuando la aplicación no impone un nivel adecuado de restricciones a los usuarios autenticados, permitiendo el acceso a datos sensibles.
4. Inyección SQL
Con 266 vulnerabilidades notificadas, esta técnica permite a los atacantes enviar código de recuperación de datos SQL al servidor para acceder sin restricciones al servidor de base de datos.
5. Exposición de datos sensibles
Notificada 119 veces, esta vulnerabilidad surge por el manejo inadecuado de datos personales y sensibles, poniendo en riesgo la conformidad con las regulaciones de manejo de datos.
6. Transferencia arbitraria de archivos
Los atacantes pueden manipular cargas o solicitudes POST para ejecutar archivos arbitrarios en el proceso del servidor web, lo que podría resultar en la ejecución de malware diseñado o la exfiltración de datos sensibles.
7. Escalada de privilegios
Este tipo de vulnerabilidad permite a un atacante, que inicialmente accede a una cuenta de bajo nivel, escalar privilegios para acceder a recursos de nivel administrativo.
8. Inyección de objetos PHP
La inyección de objetos PHP permite a los atacantes realizar ataques como la inyección de código, inyección SQL, y denegación de servicio a través de la inyección de código PHP arbitrario.
9. Vulnerabilidad de omisión
Este defecto permite a los actores de amenazas eludir los mecanismos de autenticación del sitio, lo que podría permitirles realizar acciones restringidas o restablecer contraseñas para acceder sin autorización a cuentas de WordPress.
10. Falsificación de Petición del Lado del Servidor (SSRF)
Los atacantes pueden abusar del servidor de alojamiento de WordPress para acceder o modificar recursos que no deberían estar expuestos al público.
Causas de las Vulnerabilidades de WordPress
El mantenimiento de un sitio WordPress y la comprensión de los aspectos de seguridad relacionados con sus componentes puede ser un desafío para los gestores de sitios web. Las vulnerabilidades a menudo se deben a software poco seguro, plugins y temas no actualizados, credenciales débiles y mecanismos de autenticación, proveedores de hosting poco fiables y roles de usuario mal configurados.
Para disfrutar de manera segura de los beneficios de WordPress como CMS para sitios web o blogs, es esencial actualizar regularmente el núcleo de WordPress, los plugins y los temas. También es crucial utilizar credenciales fuertes y gestionar adecuadamente las copias de seguridad y la configuración del servidor.