Aunque para gran parte del público general hablar de WordPress supone remontarse años atrás en la historia de la red y tener que hablar de la época dorada de los blogs, este gestor de contenidos sigue siendo una realidad muy presente. No en vano, según las cifras ofrecidas por W3Tech, maneja una cuota de mercado de más del 35%. Eso viene a significar que esta plataforma está detrás de un tercio de las páginas webs de todo el planeta. Esto significa que pude ser también un reclamo muy grande, dada su extensión, para ser objeto de oscuro deseo por parte de los cibercriminales, que suelen escoger objetivos con un gran número de usuarios para aumentar las posibilidades de dar en la diana y cazar más víctimas.

En las dos últimas semanas se está produciendo un nuevo pico de ataques contra la plataforma. En este caso no parecen dirigidos a su propia estructura, sino que están encontrando puertas ‘laterales’ en las que colarse. Y es que los ‘hackers’ están utilizando los conocidos ‘plugins’ (funcionalidades accesorias desarrollados por terceros) para acceder a información sensible, como credenciales de administrador, o incluso eliminar las bases de datos de los sitios que estén haciendo uso de una de estas versiones ‘truchas’.

Aunque son varias las vulnerabilidades que permitirían a los ciberdelicuentes ejercer un ataque del tipo ‘zero day’, hay una que lleva dando que hablar varios días: la de la extensión de ThemeGrill Demo Importer. Aunque poco después de quedar la brecha de seguridad al descubierto, la empresa lanzó un parche, es probable que algunos de los sitios sigan aún con ese flanco al descubierto por no haber actualizado todavía. Según las cifras de la plataforma, ha sido descargada más de un millón y medio de veces desde el lanzamiento de su primera versión, por lo que aún puede estar en funcionamiento aún en muchos sitios.

I. Pavlov (Unsplash)

¿Para qué sirve exactamente? Pues básicamente permite a los administradores que compren un tema de ThemeGrill aplicarla a su web, con todos los parámetros y módulos configurados del ejemplo con el que promocionan dicho diseño.

Basta con tener una plantilla de este proveedor y el plugin mencionado activado para quedar expuesto. El error en cuestión, presente en las versiones que van desde la 1.3.4 a la 1.6.1, permitiría al atacante borrar todo el contenido de una base de datos y dejar todos los ajustes a ‘cero’. Esto perder publicaciones, páginas, comentarios, cuentas de usuarios, credenciales… Al llevar a la configuración inicial, el atacante podría incluso crearse una cuenta de administrador con todos los permisos que conllevan.

Más agujeros

Pero no es el único caso. ‘Duplicator’, una herramienta bastante popular, que cuenta con más de un millón de descargas, está siendo objeto de un ataque parecido. Lo que este añadido permite es que los administradores copien y exporten todo el contenido de su sitio web. El agujero en su código hace las veces de butrón. Los ‘hackers’ se pueden colar por ahí, hacer una copia del sitio. Eso les permitiría acceder a pormenores como contraseñas de administrador y poder usarlas para ‘secuestrar’ el sitio original. Si haces uso de esta extensión, comprueba que tienes la versión 1.3.28 o superior. Un fallo detectado en ‘Profile Builder’, que se utiliza en decenas de miles de páginas webs, permite también crear cuentas con todos los permisos de forma fraudulenta, con una serie de conocimientos.

Wordfence, una compañía especializada en seguridad informática, ha puesto también en el disparadero otra tienda de temas, ThemeRex. Concretamente, en un paquete que acompaña a sus diseños. Aunque hace varias semanas que se notificó el fallo, según la consultora, este proveedor aún no ha distribuido públicamente una actualización por lo que más recomendable es desinstalarlo o desactivarlo. El error es similar al que han sufrido InfiniteWP Client, utilizado en cerca de 200.000 webs. Los desarrolladores de esta solución publicaron en febrero el parche después de que la vulnerabilidad fuese descubierta unos días antes, a finales de enero.

Foto: Unsplash.

No solo se trata de herramienta gratuitas. Brainstorme Force, que distribuye dos editores visuales para utilizar en WordPress, ha tenido que hacer frente a dos fallas de seguridad que han afectado a sus productos de pago ‘Ultimate Addons’. La vulnerabilidad en cuestión se trataba de un fallo de omisión de autenticación crítica que permitía incluso acceder remotamente con privilegios al panel de administración sin necesidad de una contraseña. El error fue solventado recientemente, por eso se recomienda instalada en la última versión.

El eterno debate de la seguridad

El listado sigue. Complementos como Woocomerce, utilizada para facilitar pagos en tiendas online; Asyn Javascript, 10Web Map Builder for Google Maps… Ellas han tenido que hacer frente a agujeros de este tipo. WordPress siempre ha estado en el punto de mira por la seguridad. Desde sus inicios ha tenido que hacer frente a quejas de diferentes expertos y se ha encontrado con múltiples estudios de este tipo. Desde hace más de una década era común escuchar cómo su estructura complicaba mucho crear código resistente a ciertos ataques.

Foto: Unsplash.

Aunque con el paso de los años ha reducido ciertas brechas, no han conseguido erradicar las dudas y periódicamente nos encontramos con informes de este tipo. En parte se debe a esa naturaleza de que WordPress ofrece la parte central y se puede enriquecer con elementos de terceros, como ‘plugins’ y temas, cada uno con sus medidas de seguridad, protocolos y forma de proceder. Un informe publicado en 2019 recogía que el 54% de las vulnerabilidades se encontraban en estas extensiones, el 31,5% se encontraban la propia plataforma y el resto en las plantillas.

Aquí ocurre como con las ‘apps’ o las extensiones de Google Chrome. El sentido común, instalar complementos solo de fuentes reconocidas, crear contraseñas fuertes, utilizar o tenerlas actualizadas. También instalar diferentes medidas de seguridad, no solo a nivel local, sino también a niveles superiores con implementaciones en los servidores.

/psg