6 vulnerabilidades de plugins de WordPress vulnerados por hackers

Ningún sistema de gestión de contenidos (CMS) está a la altura de WordPress en términos de popularidad. Es un campeón indiscutible en su nicho, ostentando un impresionante 63,5% de la cuota de mercado de los CMS. Además, el 37 por ciento de todos los sitios web de Internet funcionan con WordPress.

Con su marco flexible que se adapta prácticamente a cualquier contexto en línea -desde pequeños blogs personales y medios de comunicación hasta sitios operados por grandes marcas- no es de extrañar que este CMS haya estado creando ondas en el área del ecosistema web durante años.

¿Qué piensan los ciberdelincuentes de este tren de la publicidad? Lo has adivinado: no les importa subirse a él. Sin embargo, a diferencia de los webmasters, su motivación es mucho menos benigna.

El lado positivo es que el núcleo de WordPress está debidamente protegido desde diferentes ángulos a través de parches regulares de vulnerabilidad. El equipo de seguridad de WordPress colabora con investigadores y empresas de alojamiento de confianza para garantizar una respuesta inmediata a las amenazas emergentes. Para reforzar las defensas sin depender de la higiene de las actualizaciones de los propietarios de los sitios, WordPress ha estado impulsando actualizaciones automáticas en segundo plano desde la versión 3.7 lanzada en 2013.

La mala noticia es que los plugins de terceros pueden ser presa fácil para los actores maliciosos. Como es lógico, los plugins con muchas instalaciones activas son un señuelo mayor. Al explotarlos, estos actores pueden tomar un atajo y aumentar significativamente la superficie de ataque potencial.

Las lagunas encontradas recientemente en plugins populares de WordPress abarcan toda la gama, desde la ejecución remota y los fallos de escalada de privilegios hasta la falsificación de solicitudes entre sitios y los fallos de secuencias de comandos entre sitios.

Más información de nuestros colaboradores expertosExisten 5 tipos básicos de emprendedores. ¿Cuál es usted?

Administrador de archivos

A principios de septiembre, los investigadores del proveedor de alojamiento web Seravo, con sede en Finlandia, descubrieron una brecha de seguridad en el Administrador de archivos, un plugin de WordPress instalado en al menos 600.000 sitios. Catalogado como una vulnerabilidad de día cero en la ejecución remota de código, este fallo crítico permitía a un adversario no autentificado acceder al área de administración, ejecutar código malicioso y cargar scripts dudosos en cualquier sitio de WordPress que ejecutara versiones de File Manager entre la 6.0 y la 6.8.

Para dar crédito al fabricante del plugin, se publicó una versión parcheada (File Manager 6.9) apenas unas horas después de que los analistas de seguridad informaran de esta vulnerabilidad. Sin embargo, según las estadísticas de las versiones activas de File Manager, esta versión sólo se utiliza actualmente en el 52,3 por ciento de los sitios de WordPress que ejecutan el plugin. Esto significa que más de 300.000 sitios siguen siendo susceptibles de ser comprometidos porque sus propietarios tardan en actualizar el plugin a la última versión parcheada.

Cuando los sombreros blancos descubrieron este fallo, ya estaba siendo explotado en ataques del mundo real que intentaban subir archivos PHP dañinos al directorio «wp-content/plugins/wp-file-manager/lib/files/» en sitios web no seguros. En el momento de escribir este artículo, más de 2,6 millones de instancias de WordPress han sido sondeadas en busca de versiones obsoletas del gestor de archivos.

Además, diferentes bandas de ciberdelincuentes parecen estar librando una guerra por los sitios web que siguen siendo fruta madura. Uno de los elementos de esta rivalidad se reduce a la especificación de una contraseña para acceder al archivo del plugin llamado «connector.minimal.php», que es la principal plataforma de lanzamiento para la ejecución remota de código en las iteraciones no parcheadas del File Manager.

En otras palabras, una vez que los actores de la amenaza consiguen un punto de apoyo inicial en una instalación vulnerable de WordPress, bloquean el componente explotable para que no sea utilizado por otros delincuentes que también puedan tener acceso de puerta trasera al mismo sitio. Hablando de esto, los analistas han observado intentos de hackear sitios web a través del bug del plugin File Manager procedentes de la friolera de 370.000 direcciones IP diferentes.

Page Builder

El plugin de WordPress Page Builder de SiteOrigin tiene más de un millón de instalaciones. A principios de mayo, el proveedor de servicios de seguridad Wordfence hizo un descubrimiento desconcertante: Este componente tan popular de WordPress es susceptible de sufrir una serie de vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) que pueden ser utilizadas como arma para obtener privilegios elevados en un sitio.

Las características defectuosas del plugin, «Live Editor» y «builder_content», permiten a un malhechor registrar una nueva cuenta de administrador o abrir una puerta trasera para acceder a un sitio vulnerable a voluntad. Si un hacker es lo suficientemente competente, puede aprovechar esta vulnerabilidad para ejecutar una toma de posesión del sitio.

SiteOrigin lanzó una solución un día después de ser alertado de estos fallos. Sin embargo, el problema continuará haciéndose sentir en todo el tablero hasta que los webmasters apliquen el parche – desafortunadamente, esto suele tomar bastante tiempo.

GDPR Cookie Consent

Este plugin es uno de los pesos pesados en el ecosistema de WordPress, siendo instalado y utilizado activamente en más de 800.000 sitios. Permite a los webmasters cumplir con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea a través de notificaciones personalizables de la política de cookies.

El pasado mes de enero, los expertos en seguridad descubrieron que la versión 1.8 de GDPR Cookie Consent.2 y anteriores estaban expuestas a una grave vulnerabilidad que permitía a los malos actores realizar ataques de cross-site scripting (XSS) y de escalada de privilegios.

El fallo allana el camino de un hacker para alterar, publicar o eliminar cualquier contenido en un sitio web de WordPress explotable incluso con permisos de suscriptor. Otro escenario adverso se reduce a la inyección de código JavaScript dañino que puede causar redireccionamientos o mostrar anuncios no deseados a los visitantes. La buena noticia es que el desarrollador, WebToffee, lanzó una versión parcheada el 10 de febrero.

Duplicator

Con más de un millón de instalaciones activas y un total de 20 millones de descargas, Duplicator está en la lista de los 100 mejores plugins de WordPress. Su función principal es la de migrar o clonar un sitio de WordPress de un lugar a otro. Además, permite a los propietarios de sitios hacer copias de seguridad de su contenido de forma fácil y segura.

En febrero, los analistas de seguridad de Wordfence detectaron un fallo que permitía a un atacante descargar archivos arbitrarios de los sitios que ejecutaban la versión 1.3.26 y anteriores de Duplicator. Por ejemplo, un atacante podría aprovechar este fallo para descargar el contenido del archivo «wp-config.php» que contiene, entre otras cosas, las credenciales del administrador del sitio. Afortunadamente, el fallo fue parcheado dos días después de que se informara de la vulnerabilidad al proveedor.

Site Kit by Google

Un grave fallo en Site Kit by Google, un plugin utilizado activamente en más de 700.000 sitios, permite a un atacante tomar el control de la Consola de Búsqueda de Google asociada e interrumpir la presencia online del sitio. Al obtener un acceso no autorizado del propietario a través de esta debilidad, un actor malicioso puede cambiar los mapas del sitio, eliminar páginas de los resultados de búsqueda de Google, inyectar código dañino y orquestar fraudes de SEO de sombrero negro.

Una de las facetas de esta laguna es que el plugin tiene una burda implantación de las comprobaciones del rol del usuario. Por si fuera poco, expone la URL aprovechada por Site Kit para comunicarse con Google Search Console. Cuando se combinan, estas imperfecciones pueden alimentar los ataques que conducen a la escalada de privilegios y los escenarios de post-explotación mencionados anteriormente.

La vulnerabilidad fue detectada por Wordfence el 21 de abril. Aunque el autor del plugin lanzó una versión actualizada (Site Kit 1.8.0) el 7 de mayo, actualmente sólo está instalada en el 12,9% (unos 90.000) de los sitios de WordPress que utilizan Site Kit. Por lo tanto, cientos de miles de propietarios de sitios todavía tienen que aplicarlo para estar seguros.

InfiniteWP Client

Este plugin tiene más de 300.000 instalaciones activas por una razón: permite a los propietarios de sitios gestionar múltiples sitios desde su propio servidor. La otra cara de la moneda de estas ventajas es que un adversario puede ser capaz de eludir la autenticación a través de un fallo crítico descubierto por WebARX en enero.

Para poner en marcha un ataque de este tipo, un hacker podría explotar las funciones defectuosas de InfiniteWP Client llamadas «add_site» y «readd_site». Debido a que estas entidades no tienen controles de autenticación adecuados, un atacante podría aprovechar una carga útil codificada en Base64 especialmente diseñada para iniciar sesión en un panel de administración de WordPress sin tener que introducir una contraseña válida. El nombre de usuario del administrador sería suficiente para obtener acceso. Al día siguiente del descubrimiento, llegó una actualización que solucionaba esta vulnerabilidad.

Qué hacer al respecto

Los plugins amplían la funcionalidad de un sitio de WordPress, pero pueden ser una bendición mixta. Incluso los plugins más populares de WordPress pueden tener imperfecciones que permiten varios tipos de juego sucio que conducen a la toma de posesión del sitio y al robo de datos.

La buena noticia es que los autores de los plugins responden rápidamente a estas debilidades y lanzan parches. Sin embargo, estas actualizaciones son inútiles a menos que los propietarios de los sitios hagan sus deberes y sigan prácticas seguras.

Los siguientes consejos le ayudarán a evitar que su sitio de WordPress se convierta en fruta madura:

  • Aplicar actualizaciones. Esta es la contramedida fundamental para los hacks de WordPress. Asegúrese de que su sitio está ejecutando la última versión del núcleo de WordPress. Igualmente importante, instale las actualizaciones de sus plugins y temas una vez que se hayan desplegado.
  • Utilice contraseñas fuertes. Especifique una contraseña que sea lo más aleatoria posible y que conste de al menos 10 caracteres. Incluya caracteres especiales para elevar el nivel de exigencia de los atacantes que puedan intentar forzar sus datos de autenticación.
  • Siga el principio de mínimo privilegio. No des a los usuarios autorizados más permisos de los que necesitan. Los roles de administrador o editor podrían ser redundantes para algunos usuarios. Si los privilegios de suscriptor o colaborador son suficientes, quédese con ellos.
  • Limite el acceso directo a los archivos PHP. Los hackers pueden enviar peticiones HTTP o GET/POST especialmente diseñadas a los componentes PHP de sus plugins y temas para evitar los mecanismos de autenticación y validación de entradas. Para evitar estos ataques, especifique reglas que activen una página de error cuando se realicen estos intentos.
  • Elimine los usuarios inactivos. Revise la lista de usuarios inscritos en su sitio y elimine las cuentas inactivas.
  • Desactive la enumeración de usuarios. Para evitar que los atacantes vean la lista de usuarios de su sitio y traten de aprovechar sus errores de configuración, diríjase al archivo .htaccess y desactive allí la función de enumeración de usuarios.
  • Añada un plugin de seguridad. Asegúrese de que el plugin viene con un cortafuegos de aplicaciones web (WAF) que supervisa el tráfico sospechoso y bloquea los ataques dirigidos que se aprovechan de las vulnerabilidades conocidas y de día cero.