Existen 55,021 plugins disponibles para WordPress al momento de redactar estas líneas, sin embargo, estas maravillosas extensiones que permiten facilitar la ejecución de tareas administrativas o de publicación en los sitios web con WordPress también pueden ser objeto de abuso por parte de terceros con intenciones maliciosas. Como toda extensión, los plugins son líneas de código desarrolladas por personas creativas en búsqueda de determinados resultados, sin embargo, muchas veces los desarrolladores omiten realizar revisiones de seguridad en su código y de manera no intencional pueden poner en riesgo la integridad, disponibilidad o confidencialidad de los datos contenidos en algunos sitios web.
La buena noticia es que muchos desarrolladores publican mejoras en el código de sus plugins al enterarse de las vulnerabilidades que pueden ser explotadas por actores maliciosos; éstas mejoras en el código vienen en forma de parches de seguridad a través de actualizaciones, por lo que corregir una vulnerabilidad conocida en un plugin puede ser tan sencillo como aplicar la última actualización disponible.
Seleccionar un plugin de WordPress puede ser una tarea titánica al principio, sin embargo existen pasos sencillos que permiten tomar mejores decisiones, como lo es tener en cuenta que el plugin tenga actualizaciones recientes y que haya sido probado con varias versiones de WordPress, esto da a entender al administrador que el desarrollador se encuentra activo realizando mejoras en su código y que a mayor compatibilidad de funcionamiento entre diversas versiones de WordPress mejor probabilidades de funcionamiento estable tiene el plugin.
Algunas de las vulnerabilidades comunes y peligrosas a los que están expuestos los plugins de WordPress son:
a. Visualización de archivos arbitrarios.
b. Carga de archivos arbitrarios.
c. Inyecciones SQL.
d. Escalada de privilegios.
e. Evaluación remota de código.
f. Secuencia de Comandos en Sitios Cruzados (XSS).
g. Falsificación de Peticiones en Sitios Cruzados (CSRF).
Algunos de los plugins de WordPress más populares con vulnerabilidades se listan a continuación:
- Wordfence.
- Akismet Anti-Spam.
- Yoast SEO.
- All-in-One SEO Pack.
- W3 Total Cache.
- Jetpack.
- WooCommerce.
Recomendaciones generales para prevenir abuso de vulnerabilidades en plugins de WordPress:
- Desinstalar y eliminar los plugins que no se estén utilizando. Tanto los plugins como los temas que no se estén utilizando en el sitio es importante desactivarlos y desinstalarlos puestos que, al tenerlos activos, aunque no estén en uso amplían la superficie de ataque, aumentando las posibilidades que un tercero malicioso pueda explotar una vulnerabilidad con éxito.
- Mantener WordPress y plugins actualizados a su versión más reciente de sus respectivas fuentes oficiales. Comúnmente las versiones más recientes traen correcciones de código.
- Implementar configuraciones de endurecimiento (hardening). Revisar más información en sección “Referencias” al final del artículo.
- Resguardar el sitio web con una o varias capas de protección perimetral. Por ejemplo, implementando un Web Application Firewall (WAF), también existen plugins de seguridad de WordPress que permiten filtrar y tener registro de peticiones con posibles intenciones maliciosas.
- Utilizar versiones legítimas de plugins. Existen plugins que son gratuitos y otros que son pagos, es importante evitar el uso de versiones ilegales de plugins que oficialmente son pagos debido a que estas versiones ilegales pueden tener modificaciones para que un tercero tome control mediante una puerta trasera o ventaja en el uso de recursos del sitio web.
Referencias:
https://blogvault.net/vulnerable-wordpress-plugins/
https://wordpress.org/plugins/
https://www.malcare.com/blog/wordpress-hardening/
https://wordpress.org/support/article/hardening-wordpress/
https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf
https://www.malcare.com/blog/how-to-secure-a-wordpress-website/