WordPress más expuesto a las vulnerabilidades de seguridad?

Category: Seguridad 4 0

Los últimos ataques a través del plugin de MailPoet y, más recientemente, el fallo del Revolution Slider, que afectó a no menos de 1000 temas premium, han hecho mucho ruido.

La información ha sido difundida en todas partes, por todo el mundo… Estos ataques se centran en posibles problemas de seguridad recurrentes en WordPress, ¿qué está pasando realmente?

¿Más expuesto a vulnerabilidades que otros CMS?

Así Drupal, Prestashop, Joomla estaría menos expuesto a vulnerabilidades que WordPress?

Antes de empezar, no olvidemos tener en cuenta el predominio de este último, WordPress es utilizado actualmente por más del 23% de los sitios web en el mundo, de hecho se convierte en un blanco privilegiado de hackers de todo tipo.

Entonces, sería bueno no confundir WordPress, temas y plugins, el núcleo de WordPress rara vez es responsable de estos defectos y si es así, entonces la actualización es casi inmediata.

Con demasiada frecuencia olvidamos que WordPress se hace friable/explotable a los ataques a través de plugins o temas!

El Directorio (directorio de plugins gratuitos de WordPress) es un recurso popular para todos, pero no garantiza que los plugins sean “seguros” o estén libres de errores de código. Es responsabilidad exclusiva del usuario asegurarse de que el plugin que va a instalar esté libre de fallos de seguridad.

Tenga en cuenta que si 2 plugins mantenidos activamente como MailPoet y Revolution Slider podrían ser vulnerables, ¿qué pasa con los cientos de plugins presentes en el Directorio y no más actualizados?

¿Cómo lo sabes con seguridad? Bueno, basado en los comentarios de otros usuarios, buscando un poco en la web y haciendo un seguimiento de seguridad de WordPress.

Sobre este último punto, Vladimir Prelovac (de ManageWP) escribió una carta abierta a la comunidad para proponer una mejora en la seguridad de los plugins.

¿Cómo se procesa la información sobre las infracciones de seguridad?

La importancia de procesar esta información sin agravar la situación a veces puede dar lugar a abusos. Un ejemplo es la declaración de Themepunch (desarrollador de Revolution Slider), acusado de falta de transparencia en el caso Envato:

La falla se resolvió en febrero y ha habido29 actualizaciones desde entonces…. Se nos dijo que no hiciéramos pública esta falla para que se pueda usar lo menos posible…

¡Ay, hace frío ahí fuera! Sin embargo, Themepunch no es el único responsable, sobre todo si pensamos que el “nosotros” no es otro que el propio Envato.

¿Alerta u oportunismo?

¿Qué pasa con los sitios que alertan e informan sobre problemas de seguridad, es bueno equilibrar la vulnerabilidad inmediatamente o debemos esperar?

Tomemos un ejemplo muy reciente: Sucuri detecta una brecha de seguridad en el plugin MailPoet (2.456.854 descargas) y se pone en contacto con ellos el 16 de junio de 2014 para evitarla. Los desarrolladores de MailPoet tardarán dos días en arreglarlo, sólo unas horas después, Sucuri publica la alerta…

Una actitud que hizo reaccionar a MailPoet en su último artículo Sucuri, the Hack, and the Lessons Learnedet, que legítimamente se hace la pregunta: ¿Por qué tan rápido? La búsqueda de buzz, liderazgo en la información, lo que sea! 72 horas de retraso habrían permitido a los usuarios que esperaban actualizarse a sí mismos y esto habría sido un recordatorio saludable para los demás.

La publicación inmediata de Sucuri dio una ventana de acción y tiempo a los piratas en ciernes… Por no mencionar la desastrosa publicidad dada al plugin:/

Los más sarcásticos notarán que Sucuri hace su mantequilla en seguridad con el eslogan: “Aseguramos tu sitio, para que no tengas que asegurar tu sitio, para que no tengas que hacerlo”… Esto puede explicar esto…

¿No digas nada para no hacer daño?

¿Deberíamos guardar silencio? No, por supuesto que no! Entre el trabajo de los desarrolladores de plugins que pueden ser arruinados en poco tiempo y la absoluta necesidad de advertir a los usuarios, hay un hueco que yo no cruzaría…

Aunque es sobre el defecto del Revolution Slider del que yo mismo fui víctima, nosotros (con Julio) tomamos el sesgo (con Julio) para (re)reportar el defecto pero no para revelar las instrucciones, evitando así que los hackers amateurs se divirtieran con: “¡Aquí y si intentara piratear un WordPress….! Por otro lado, WPTavern tiene en su artículo relatando los hechos, vinculados a los hackers de tuto videodes.

Estos problemas de fallos están empezando a afectar seriamente a WordPress, incluso si no es el software el responsable de ellos, sino terceros (plugins y temas). La comunidad no puede permanecer sin reaccionar, será necesario hacer algo temprano o tardfast/proponer algo o arriesgarse a ver a los usuarios alejarse masivamente de uno de los mejores CMS del mundo….

Mientras tanto, tenga cuidado al instalar un plugin y para aquellos que aún no lo conocen, les recomiendo la cuenta de Twitter @SecuPressp para estar informados de las últimas vulnerabilidades de seguridad conocidas.

4.917

Related Articles