Principales complementos de WP violados por piratas informáticos

Ningún sistema de gestión de contenido está a la altura de WordPress en términos de popularidad. Es un campeón indiscutible en su nicho, con una impresionante cuota de mercado global del 60%. Además, aproximadamente el 35% de todos los sitios web en Internet ejecutan WordPress.

No hace falta ser un científico espacial para descubrir por qué este CMS ha estado creando ondas en el área del ecosistema web durante años. Proporciona un marco flexible que se adapta prácticamente a cualquier contexto en línea, desde pequeños blogs personales y medios de comunicación hasta sitios operados por las principales marcas.

¿Qué piensan los ciberdelincuentes de este bombo publicitario? Lo has adivinado, no les importa saltar sobre él. Sin embargo, a diferencia de los webmasters, su motivación es mucho menos benigna. El lado positivo es que WordPress Core está correctamente protegido desde diferentes ángulos. La mala noticia es que los complementos de terceros pueden ser una presa fácil para que los actores malintencionados intenten cazarlos.

Como era de esperar, los complementos con muchas instalaciones activas son un atractivo mayor. Al explotarlos, los delincuentes pueden tomar un atajo y aumentar significativamente la superficie de ataque potencial. Aquí hay un resumen de las vulnerabilidades de seguridad encontradas recientemente en los complementos de WP que tienen una gran audiencia de usuarios.

Administrador de archivos

A principios de septiembre de 2020, los investigadores encontré una laguna de seguridad en el Administrador de archivos, un complemento de WP instalado en al menos 700,000 sitios. Categorizado como una vulnerabilidad de ejecución remota de código de día cero, este error crítico permite que un adversario no autenticado acceda al área de administración, ejecute código malicioso y cargue scripts poco fiables en cualquier sitio de WordPress que ejecute las versiones de File Manager entre 6.0 y 6.8.

Para crédito del fabricante de complementos, se lanzó una versión parcheada (Administrador de archivos 6.9) pocas horas después de que los analistas de seguridad informaran de esta vulnerabilidad. Sin embargo, cientos de miles de sitios continúan siendo susceptibles de verse comprometidos porque sus propietarios tardan en actualizar el complemento a la última versión parcheada.

Cuando los sombreros blancos descubrieron esta falla, ya estaba siendo explotada en ataques del mundo real al intentar cargar archivos PHP dañinos al directorio «wp-content / plugins / wp-file-manager / lib / files /» en sitios web no seguros. En el momento de escribir este artículo, se han investigado más de 2.6 millones de instancias de WordPress en busca de versiones desactualizadas del Administrador de archivos.

Además, diferentes bandas de delincuentes cibernéticos parecen estar librando una guerra por sitios web que siguen siendo frutos maduros. Uno de los elementos de esta rivalidad se reduce a especificar una contraseña para acceder al archivo del complemento llamado «connector.minimal.php», que es una plataforma de lanzamiento principal para la ejecución remota de código en iteraciones del Administrador de archivos sin parches.

En otras palabras, una vez que los actores de amenazas obtienen un punto de apoyo inicial en una instalación vulnerable de WordPress, bloquean el uso del componente explotable por otros delincuentes que también pueden tener acceso por la puerta trasera al mismo sitio. Hablando de eso, los analistas han observado intentos de piratear sitios web a través del error del complemento File Manager provenientes de la friolera de 370,000 direcciones IP diferentes.

Creador de páginas

El complemento WP de Page Builder de SiteOrigin tiene más de un millón de instalaciones. A principios de mayo de 2020, los analistas de seguridad hizo un descubrimiento desconcertante: este componente de WordPress enormemente popular es susceptible a una serie de vulnerabilidades de falsificación de solicitudes entre sitios (CSRF) que se pueden utilizar como arma para obtener privilegios elevados en un sitio.

Las características defectuosas del complemento, «Live Editor» y «builder_content», permiten a un malhechor registrar una nueva cuenta de administrador o abrir una puerta trasera para acceder a un sitio vulnerable a voluntad. Si un pirata informático es lo suficientemente competente, puede aprovechar esta vulnerabilidad para ejecutar una toma de control del sitio.

SiteOrigin implementó una solución un día después de haber sido alertado sobre estos defectos. Sin embargo, el problema seguirá haciéndose sentir en todos los ámbitos hasta que los webmasters apliquen el parche; desafortunadamente, esto podría llevar meses.

Consentimiento de cookies del RGPD

Este complemento es uno de los pesos pesados en el ecosistema de WordPress, siendo instalado y utilizado activamente en más de 800.000 sitios. Permite a los webmasters cumplir con el Reglamento general de protección de datos (GDPR) de la UE a través de notificaciones de política de cookies personalizables.

En enero pasado, los expertos en seguridad descubrieron que la versión 1.8.2 y anteriores del Consentimiento de cookies del RGPD estaban expuestas a una vulnerabilidad grave que permitía a los malos actores realizar ataques de escalada de privilegios y secuencias de comandos entre sitios (XSS).

El error allana el camino de un pirata informático para alterar, publicar o eliminar cualquier contenido en un sitio web explotable de WordPress incluso con permisos de suscriptor. Otro escenario adverso se reduce a inyectar código JavaScript dañino que provoca redireccionamientos o muestra anuncios no deseados a los visitantes.

El desarrollador, WebToffee, lanzó una versión parcheada a mediados de febrero. Sin embargo, los sitios web no están seguros hasta que el complemento se actualice a una versión segura.

Duplicador

Con más de 1 millón de instalaciones activas y un total de 20 millones de descargas, Duplicator está en la lista de los 100 mejores complementos de WP. Su característica principal consiste en migrar o clonar un sitio de WordPress de una ubicación a otra. Además, permite a los propietarios de sitios realizar copias de seguridad de su contenido de forma fácil y segura.

En febrero de 2020, el proveedor de servicios de seguridad WordFence identificó un defecto que permitía a un perpetrador descargar archivos arbitrarios de sitios que ejecutaban Duplicator versión 1.3.26 y anteriores. Por ejemplo, un atacante podría aprovechar este error para descargar el contenido del archivo «wp-config.php» que contiene, entre otras cosas, las credenciales de administrador del sitio.

La falla se corrigió dos días después de que se informó de la vulnerabilidad al proveedor, por lo que los webmasters deben hacer sus deberes e instalar la última versión segura si aún no lo han hecho.

Kit de sitio de Google

Una falla severa en el kit del sitio de Google, un complemento que se usa activamente en más de 300,000 sitios, permite que un atacante se apodere de la Consola de búsqueda de Google asociada e interrumpa la presencia en línea del sitio. Al obtener acceso de propietario no autorizado a través de esta debilidad, un actor malintencionado puede cambiar los mapas del sitio, eliminar las páginas de la lista de los resultados de búsqueda de Google, inyectar código dañino y orquestar fraudes de SEO de sombrero negro.

Una de las facetas de esta laguna jurídica es que el complemento tiene una implantación burda de las comprobaciones de roles del usuario. Para colmo, expone la URL aprovechada por Site Kit para comunicarse con Google Search Console. Cuando se combinan, estas imperfecciones pueden alimentar ataques que conducen a la escalada de privilegios y los escenarios posteriores a la explotación mencionados anteriormente.

La vulnerabilidad fue manchado el 21 de abril de 2020. Aunque el autor del complemento lanzó una versión actualizada (Site Kit 1.8.0) el 7 de mayo, numerosos propietarios de sitios aún no la han aplicado.

Cliente InfiniteWP

Este complemento tiene más de 300,000 instalaciones activas por una razón: permite a los propietarios de sitios administrar múltiples sitios desde su propio servidor. Una otra cara de disfrutar de estos beneficios es que un adversario puede eludir la autenticación a través de una falla crítica. desenterrado en enero de 2020.

Para poner en marcha un ataque de este tipo, un pirata informático podría aprovechar las funciones defectuosas del Cliente InfiniteWP llamadas «add_site» y «readd_site». Debido a que estas entidades no tenían los controles de autenticación adecuados, un atacante podría aprovechar una carga útil codificada en Base64 especialmente diseñada para iniciar sesión en un panel de administración de WordPress sin tener que ingresar una contraseña válida. El nombre de usuario del administrador sería suficiente para obtener acceso.

Aunque una actualización que soluciona esta vulnerabilidad llegó poco después del descubrimiento, los webmasters deben intentarlo para que sus sitios sean a prueba de manipulaciones.

Resumen

Los complementos amplían la funcionalidad de un sitio de WordPress, pero pueden ser una bendición mixta. Incluso los complementos de WP más populares pueden tener imperfecciones que permiten varios tipos de juego sucio, desde CSRF y XSS hasta la ejecución remota de código y la escalada de privilegios que conduce a la toma de control del sitio y el robo de datos.

La buena noticia es que los autores de complementos responden rápidamente a estas debilidades y lanzan parches. Por lo tanto, aplicar las actualizaciones una vez que estén disponibles es la contramedida fundamental para estos ataques. Además, tenga en cuenta que la conciencia es la mitad de la batalla, por lo que es una buena idea ser un webmaster proactivo y estar al tanto de informes de errores emitido por WordFence y similares recursos en el ámbito de la seguridad.

Foto por Clint Patterson sobre Unsplash