WordPress es la herramienta de creaci\u00f3n de sitios web m\u00e1s utilizada en el mundo. M\u00e1s del 35% de todos los sitios web son ejecutados con versiones de CMS (sistema de gesti\u00f3n de contenidos).<\/p>\n
Y como tiene un gran n\u00famero de instalaciones activas, WordPress es una superficie de ataque enorme.<\/p>\n
A cada rato hay intentos de invadir sitios cuya plataforma es WordPress. En los \u00faltimos meses estos intentos se han producido a menor escala en comparaci\u00f3n con 2019. Esta desaceleraci\u00f3n es conocida por los expertos y coincide con la \u00e9poca del a\u00f1o.<\/p>\n
Sin embargo, de ahora en adelante los ataques vuelven con toda su fuerza, causando preocupaci\u00f3n en los profesionales y empresas que utilizan la plataforma.<\/p>\n
Sigue leyendo para saber m\u00e1s sobre los ataques de los plugins de WordPress.<\/p>\n
En febrero, vimos el resurgimiento de los ataques contra los sitios de WordPress, se\u00f1alando el fin de la calma que se produce en los meses de diciembre y enero.<\/p>\n
Muchas empresas de seguridad digital especializadas en productos de seguridad de WordPress han informado de un n\u00famero creciente de ataques a sitios que utilizan esta plataforma.<\/p>\n
Los nuevos ataques se centraron en la explotaci\u00f3n de errores en los plug-ins de WordPress y no en la explotaci\u00f3n del propio CMS.<\/p>\n
La mayor\u00eda de los ataques utilizaban bugs de plugin que hab\u00edan sido arreglados recientemente, antes de que los administradores del sitio pudieran aplicar los parches de seguridad.<\/p>\n
Algunos de los ataques fueron m\u00e1s sofisticados que otros. Los invasores descubrieron y explotaron el \u00abzero-day\u00bb (d\u00eda cero), un t\u00e9rmino utilizado para describir las vulnerabilidades que son desconocidas por los autores del plugin.<\/p>\n
Se recomienda, urgentemente, a los administradores del sitio que actualicen todos los plugins de WordPress, ya que probablemente sean explotados en el a\u00f1o 2020 en adelante.<\/p>\n
A continuaci\u00f3n, se expone un resumen de todas las vulnerabilidades descubiertas en febrero que apuntaban a fallos en los plugins de WordPress:<\/p>\n
Wordfence hizo p\u00fablico un informe<\/a> en el que se afirma que desde febrero los ciberdelincuentes han estado explotando un error en Duplicator<\/a>, un plugin que permite a los administradores exportar el contenido de sus sitios.<\/p>\n El error, fue corregido en la actualizaci\u00f3n 1.3.28, y permite a los atacantes exportar una copia del sitio, desde donde pueden extraer las credenciales de la base de datos y luego secuestrar el servidor MySQL subyacente de un sitio de WordPress.<\/p>\n El Duplicator es uno de los plugins m\u00e1s populares de WordPress, lo que empeora la situaci\u00f3n, ya que hab\u00eda m\u00e1s de un mill\u00f3n de instalaciones en el momento en que comenzaron los ataques (10 de febrero).<\/p>\n Un error cr\u00edtico<\/a> en la versi\u00f3n gratuita y profesional del plugin Profile Builder<\/a>, le permite a los ciberdelincuentes registrar cuentas de administrador no autorizadas en los sitios web de WordPress.<\/p>\n El error fue corregido alrededor del 10 de febrero, pero los ataques comenzaron el 24 de febrero, el mismo d\u00eda en que la prueba de c\u00f3digo de concepto fue publicada en l\u00ednea.<\/p>\n Seg\u00fan el informe<\/a> de Wordfence, hay al menos dos grupos de hackers explotando ese bug.<\/p>\n M\u00e1s de 65.000 sitios web (50.000 en la versi\u00f3n gratuita y 15.000 en la comercial) vulnerables a los ataques, a menos que actualicen el plugin a su \u00faltima versi\u00f3n.<\/p>\n Los mismos grupos que est\u00e1n explotando el plugin Profile Builder tienen como objetivo al ThemeGrill Demo Importer<\/a>, un plugin provisto de temas vendidos por ThemeGrill, un proveedor de temas comerciales de WordPress.<\/p>\n Existen m\u00e1s de 200.000 sitios web con el plugin instalado. El error permite a los atacantes limpiar los sitios con una versi\u00f3n vulnerable y hacerse cargo de la cuenta \u00abadmin\u00bb.<\/p>\n Los ataques fueron confirmados por Wordfence<\/a>, WebARX<\/a> y algunos investigadores independientes en Twitter.<\/p>\n El c\u00f3digo que soluciona el problema est\u00e1 disponible en la p\u00e1gina del desarrollador del plugin, y se puede acceder a \u00e9l a trav\u00e9s del este link<\/a>. Se recomienda actualizarlo a la versi\u00f3n v1.6.3 lo antes posible.<\/p>\n Tambi\u00e9n se identificaron ataques dirigidos a ThemeREX Addons<\/a>.<\/p>\n Seg\u00fan Wordfence, los ataques comenzaron el 18 de febrero cuando los atacantes encontraron una vulnerabilidad de zero-day en el plugin y comenzaron a explotarlo para crear cuentas de administrador no autorizadas en sitios vulnerables.<\/p>\n Incluso con los ataques en curso, no se dispuso un parche de seguridad, por lo que se aconseja a los administradores de tale sitios web, que retiren el plugin de sus p\u00e1gianas lo antes posible.<\/p>\n Los sitios que ejecutan pagos de WooCommerce<\/a> tambi\u00e9n han sufrido ataques. Hay m\u00e1s de 20.000 sitios web de comercio electr\u00f3nico en WordPress con tal plugin instalado.<\/p>\n Los hackers usaron una vulnerabilidad zero-day para inyectar cargas XSS que pueden ser activadas en el tablero del administrador conectado.<\/p>\n Las cargas \u00fatiles del XSS permit\u00edan que los hackers crearan cuentas de administrador en sitios vulnerables.<\/p>\n Tales ataquen est\u00e1n sucediendo desde el 26 de febrero.<\/p>\n Se descubrieron 3 zero-days parecidos en los plugins de Async JavaScript<\/a>, 10Web Map Builder de Google Maps<\/a> y Modern Events Calendar Lite<\/a>.<\/p>\n Los plugins se usan respectivamente en 100.000, 20.000 y 40.000 sitios web. Los tres zero-day eran errores XSS almacenados, as\u00ed como el de WooCommerce.<\/p>\n Estos recibieron parches de seguridad, pero los ataques ocurrieron antes de que esos parches estuvieran disponibles. Eso significa que algunos de estos sitios probablemente fueron comprometidos.<\/p>\n Como se mencion\u00f3 anteriormente, es muy importante que todos los administradores de sitios web actualicen estos plugins lo antes posible para garantizar su seguridad.<\/p>\n Es muy probable que los hackers contin\u00faen aprovechando no s\u00f3lo las vulnerabilidades de estos plugins, sino muchas otras.<\/p>\n S\u00edganos en nuestras redes sociales para no perder los contenidos: Instagram<\/a>, Facebook<\/a>, LinkedIn<\/a>, Twitter<\/a>.<\/p>\n <\/p>\nProfile Builder<\/h3>\n
ThemGrill Importer<\/h3>\n
ThemeREX Addons<\/h3>\n
Campos de pago flexibles para WooCommerce<\/h3>\n
Async Javascript, 10Web Map Builder de Google maps, Modern Events Calendar Lite<\/h2>\n