La seguridad de los sitios web está siempre en el punto de mira de los desarrolladores. Los ciberdelincuentes saben que comprometiéndolos pueden obtener muchos beneficios. En una reciente investigación se ha descubierto como se ha introducido código malicioso en varios plugins populares de WordPress.
WordPress es una de las plataformas de gestión de contenido más populares y, según varias estadísticas, potencia alrededor del 43% de todos los sitios web en Internet. Este porcentaje se traduce en millones de sitios web activos que utilizan WordPress, desde blogs personales y pequeñas empresas hasta grandes corporaciones y medios de comunicación. La popularidad de WordPress se debe a su flexibilidad, facilidad de uso y una gran comunidad de desarrolladores que constantemente aportan plugins y temas para expandir sus capacidades.
Descubrimiento del código malicioso
El ataque fue identificado inicialmente por investigadores de seguridad de Wordfence, quienes notaron que varios plugins de WordPress habían sido modificados para incluir código malicioso. El objetivo principal de este código es la creación de cuentas de administrador fraudulentas, permitiendo a los atacantes realizar acciones modificadas dentro de los sitios web afectados.
Chloe Chamberland, investigadora de seguridad en Wordfence, reveló en una alerta el lunes que el malware inyectado no solo intenta crear nuevas cuentas de administrador, sino que también envía esos detalles de vuelta a un servidor controlado por los atacantes. Adicionalmente, se detectó que los ciberdelincuentes habían inyectado JavaScript malicioso en el pie de página de los sitios web, lo que resultaba en la adición de spam SEO a lo largo del sitio.
Plugins populares afectados
Los plugins afectados, que anteriormente estaban disponibles para su descarga en el directorio de plugins de WordPress, incluyen:
- Social Warfare: Versiones 4.4.6.4 a 4.4.7.1, con más de 30.000 instalaciones. Una versión parcheada 4.4.7.3 ya está disponible.
- Blaze Widget: Versiones 2.2.5 a 2.5.2, con solo unas pocas instalaciones y aun sin parche disponible.
- Wrapper Link Element: Versiones 1.0.2 a 1.0.3, con 1.000 instalaciones y sin versión parcheada.
- Contact Form 7 Multi-Step Addon: Versiones 1.0.4 a 1.0.5, con 700 instalaciones y sin parche.
- Simply Show Hooks: Versión 1.2.1, con 4.000 instalaciones y también sin parche.
Estos plugins fueron retirados temporalmente del directorio mientras se realiza una revisión en curso para abordar las vulnerabilidades.
A los usuarios de los plugins mencionados se les aconseja revisar sus sitios en busca de cuentas de administrador sospechosas y eliminarlas. Además, se recomienda eliminar cualquier código malicioso encontrado. La creación de cuentas administrativas «Options» y «PluginAuth» son indicativos claros de compromiso, con la información de la cuenta siendo exfiltrada a la dirección IP 94.156.79[.]8.
Cómo manejar el riesgo de seguridad
La prevalencia de este tipo de ataques subraya la importancia de mantener prácticas de seguridad robustas para aquellos que tienen sitios web con WordPress como gestor de contenidos. Entre las prácticas se incluye:
- Actualizaciones regulares: Mantener todos los plugins y el núcleo de WordPress actualizados a sus últimas versiones.
- Monitoreo constante: Usar herramientas de seguridad como firewalls de aplicaciones web y plugins de seguridad para monitorizar actividad sospechosa.
- Auditorías de seguridad: Realizar auditorías regulares del sitio web y comprobaciones de código para identificar y mitigar vulnerabilidades.
- Fijate en los administradores de tu gestor: Siempre es bueno que verifiques quienes son los usuarios de tu WordPress y los permisos que tienen establecidos.
Otroas amenazas a sitios con WordPress
WordPress, al ser uno de los sistemas de gestión de contenido más populares del mundo, es un objetivo común para varios tipos de amenazas cibernéticas. Aquí hay algunas amenazas adicionales a las que los sitios WordPress pueden estar expuestos:
-
- Inyección SQL: WordPress utiliza una base de datos MySQL para gestionar datos, lo que lo hace susceptible a ataques de inyección SQL. Este tipo de ataque puede permitir a un hacker ejecutar comandos maliciosos en la base de datos y manipular o robar datos del sitio.
- Cross-Site Scripting (XSS): Este es uno de los problemas de seguridad más comunes en WordPress. Los atacantes inyectan scripts maliciosos en páginas web que parecen seguras. Esto puede suceder a través de comentarios, formularios o incluso mediante plugins y temas no seguros.
- Fuerza bruta: Los atacantes utilizan ataques de fuerza bruta para ganar acceso a un sitio intentando muchas combinaciones de nombres de usuario y contraseña. WordPress, por defecto, no limita los intentos de inicio de sesión, lo que lo hace vulnerable a este tipo de ataques.
- Ataques DDoS: Un ataque de denegación de servicio distribuido (DDoS) ocurre cuando múltiples sistemas inundan la banda ancha o los recursos de un sistema en particular, en este caso, un sitio de WordPress. Puede hacer que el sitio sea inaccesible a los visitantes legítimos.