Consideraciones de Seguridad en sitios web generados con WordPress

Escrito por Daniel Danabue

WordPress es un gestor de contenidos (CMS) muy potente, así como bastante conocido y extendido. Precisamente por ser su popularidad y alcance, puede ser blanco de atacantes, que lo ven como una oportunidad para llevar a cabo sus acciones delictivas sobre un gran número de páginas web.

A continuación, resumiré la destacable ponencia de Sebastián Vargas en Conferencia Bsides 2018 en Chile: ¿Wordpress, cómo no ser un centro de control de malware?

Se calcula que de los 550 mil dominios .cl, unos 300 mil de ellos representan sitios construidos con WordPress (55%). El alcance del problema a presentar es transversal en Chile, abarcando empresas privadas y públicas, instituciones varias, incluyendo de gobierno, como de salud y municipios, blogs personales, empresas de marketing y desarrollo web, entre otros. A nivel mundial, cerca de 77 millones de sitios web dependen de WordPress y este software ha tenido sobre 46 millones de descargas.

WordPress también es popular por lo rápido y simple que es montar una página web y su facilidad de utilización por usuarios finales. Esto no quiere decir que el sitio web comience a operar seguro, más bien, al igual gran parte del software, requiere fortalecer su configuración (hardening) y revisarla periódicamente para mejorar su nivel de seguridad.

A través de técnicas en motor de búsqueda en Google (Dorks), Sebastián nos ilustra que se obtienen 2,75 millones de resultados de páginas con dominio .cl que operan bajo WordPress, y casi 600 mil resultados de archivos de administración (wp-admin). Análogamente, se obtiene un número similar de resultados para sitios que poseen un problema de configuración de directorios o carpetas (wp-content). Adicionalmente, de una muestra analizada de 100 sitios WordPress, concluye que la mayoría no posee dicho hardening.

Como si esto fuera poco, Sebastián ilustra cómo sitios web generados con WordPress pueden pasar a formar un centro de envío de software malicioso. En efecto, sitios web vulnerados de otros países han sido utilizados para envío de malware hacia usuarios de Chile, y viceversa, lo que se ha notado, por ejemplo, en aumento de campañas de phishing bancario. Más aún, un sitio comprometido puede almacenar sofisticados malware como el troyano bancario Emotet.

Situaciones como la descrita implica no sólo impacto a nuestra organización por el sitio web vulnerado, sino que este pasa a formar parte de una red de ataque hacia otras organizaciones, en la cual dicho sitio adulterado pasa a ser “cómplice”, con las respectivas consecuencias y responsabilidades en cadena, lo que da origen al título de esta charla de seguridad.

¿Pero… por qué sucede esto? Los sitios web pueden ser blanco de intentos de ataque a diario; si estos ataques logran su propósito, básicamente se debe a falta de hardening. Por ejemplo, contraseñas débiles de la cuenta de administrador de WordPress, o bien condiciones que permiten adulteración del sitio, colocando una puerta trasera (backdoor), entre otros (esto también puede suceder con otros gestores de contenidos, tales como Joomla y Drupal)

A continuación, se mostraron algunas herramientas de análisis de seguridad que ayudan a diagnosticar y corregir las debilidades, y sitios que ilustran listas de vulnerabilidades conocidas, asociadas, por ejemplo, al uso de complementos (plugins) de WordPress con versiones obsoletas, las cuales no contienen todas las correcciones o mitigaciones a tales vulnerabilidades.

Luego se presenta una serie de riesgos, para los cuales se exponen recomendaciones generales y mínimas, tales como mantener actualizadas versiones de Worpress y sus plugins, controles sobre contraseñas y cuentas de usuario, entre otros.

Se finaliza exponiendo una serie de recomendaciones específicas, tales como

  • Proteger navegación (de directorios abiertos, editando archivo .htaccess)
  • Instalar plugins de seguridad
  • Configurar cabeceras de seguridad
  • Configurar archivo robots.txt
  • Habilitar registro de logs

Otro caso que demuestra, como en muchos contextos, que la seguridad en sitios web no se logra “automáticamente” sólo con una inversión e instalación de hardware y software, sino que es necesaria una correcta configuración inicial y revisarla periódicamente para mejorar su nivel de seguridad.

Para contribuir a este propósito, se puede consultar en detalle la Guía de Hardening sobre WordPress, aporte del autor de esta charla.

El detalle de esta destacable ponencia se encuentra en video:

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: