{"id":1745,"date":"2019-12-30T11:17:02","date_gmt":"2019-12-30T16:17:02","guid":{"rendered":"https:\/\/cert.pa\/?p=1745"},"modified":"2019-12-30T15:49:05","modified_gmt":"2019-12-30T20:49:05","slug":"vulnerabilidades-en-plugins-populares-de-wordpress-que-hacer-al-respecto","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=1745","title":{"rendered":"Vulnerabilidades en plugins populares de WordPress \u00bfQu\u00e9 hacer al respecto?"},"content":{"rendered":"\n<p>Existen 55,021 plugins disponibles para WordPress al momento de redactar estas l\u00edneas, sin embargo, estas maravillosas extensiones que permiten facilitar la ejecuci\u00f3n de tareas administrativas o de publicaci\u00f3n en los sitios web con WordPress tambi\u00e9n pueden ser objeto de abuso por parte de terceros con intenciones maliciosas. Como toda extensi\u00f3n, los plugins son l\u00edneas de c\u00f3digo desarrolladas por personas creativas en b\u00fasqueda de determinados resultados, sin embargo, muchas veces los desarrolladores omiten realizar revisiones de seguridad en su c\u00f3digo y de manera no intencional pueden poner en riesgo la integridad, disponibilidad o confidencialidad de los datos contenidos en algunos sitios web.<\/p>\n\n\n\n<p>La buena noticia es que muchos desarrolladores publican mejoras en el c\u00f3digo de sus plugins al enterarse de las vulnerabilidades que pueden ser explotadas por actores maliciosos; \u00e9stas mejoras en el c\u00f3digo vienen en forma de parches de seguridad a trav\u00e9s de actualizaciones, por lo que corregir una vulnerabilidad conocida en un plugin puede ser tan sencillo como aplicar la \u00faltima actualizaci\u00f3n disponible.<\/p>\n\n\n\n<p>Seleccionar un plugin de WordPress puede ser una tarea tit\u00e1nica al principio, sin embargo existen pasos sencillos que permiten tomar mejores decisiones, como lo es tener en cuenta que el plugin tenga actualizaciones recientes y que haya sido probado con varias versiones de WordPress, esto da a entender al administrador que el desarrollador se encuentra activo realizando mejoras en su c\u00f3digo y que a mayor compatibilidad de funcionamiento entre diversas versiones de WordPress mejor probabilidades de funcionamiento estable tiene el plugin.<\/p>\n\n\n\n<p><strong>Algunas de las vulnerabilidades comunes y peligrosas a los que est\u00e1n expuestos los plugins de WordPress son:<\/strong><\/p>\n\n\n\n<p> a. Visualizaci\u00f3n de archivos arbitrarios.<br> b. Carga de archivos arbitrarios.<br> c. Inyecciones SQL.<br> d. Escalada de privilegios.<br> e. Evaluaci\u00f3n remota de c\u00f3digo.<br> f. Secuencia de Comandos en Sitios Cruzados (XSS).<br> g. Falsificaci\u00f3n de Peticiones en Sitios Cruzados (CSRF).<\/p>\n\n\n\n<p><strong>Algunos de los plugins de WordPress m\u00e1s populares con vulnerabilidades se listan a continuaci\u00f3n:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Wordfence.<\/li><li>Akismet Anti-Spam.<\/li><li>Yoast SEO.<\/li><li>All-in-One SEO Pack.<\/li><li>W3 Total Cache.<\/li><li>Jetpack.<\/li><li>WooCommerce.<\/li><\/ul>\n\n\n\n<p><strong>Recomendaciones generales para prevenir abuso de vulnerabilidades en plugins de WordPress:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Desinstalar y eliminar los plugins que no se est\u00e9n utilizando. Tanto los plugins como los temas que no se est\u00e9n utilizando en el sitio es importante desactivarlos y desinstalarlos puestos que, al tenerlos activos, aunque no est\u00e9n en uso ampl\u00edan la superficie de ataque, aumentando las posibilidades que un tercero malicioso pueda explotar una vulnerabilidad con \u00e9xito.<\/li><li>Mantener WordPress y plugins actualizados a su versi\u00f3n m\u00e1s reciente de sus respectivas fuentes oficiales. Com\u00fanmente las versiones m\u00e1s recientes traen correcciones de c\u00f3digo.<\/li><li>Implementar configuraciones de endurecimiento (hardening). Revisar m\u00e1s informaci\u00f3n en secci\u00f3n &#8220;Referencias&#8221; al final del art\u00edculo.<\/li><li>Resguardar el sitio web con una o varias capas de protecci\u00f3n perimetral. Por ejemplo, implementando un Web Application Firewall (WAF), tambi\u00e9n existen plugins de seguridad de WordPress que permiten filtrar y tener registro de peticiones con posibles intenciones maliciosas.<\/li><li>Utilizar versiones leg\u00edtimas de plugins. Existen plugins que son gratuitos y otros que son pagos, es importante evitar el uso de versiones ilegales de plugins que oficialmente son pagos debido a que estas versiones ilegales pueden tener modificaciones para que un tercero tome control mediante una puerta trasera o ventaja en el uso de recursos del sitio web.<\/li><li><\/li><\/ul>\n\n\n\n<p><strong>Referencias:<\/strong><\/p>\n\n\n\n<p><a href=\"https:\/\/blogvault.net\/vulnerable-wordpress-plugins\/\">https:\/\/blogvault.net\/vulnerable-wordpress-plugins\/<\/a><br> <a href=\"https:\/\/wordpress.org\/plugins\">https:\/\/wordpress.org\/plugins<\/a>\/<br> <a href=\"https:\/\/www.malcare.com\/blog\/wordpress-hardening\/\">https:\/\/www.malcare.com\/blog\/wordpress-hardening\/<\/a><br> <a href=\"https:\/\/wordpress.org\/support\/article\/hardening-wordpress\/\">https:\/\/wordpress.org\/support\/article\/hardening-wordpress\/<\/a><br> <a href=\"https:\/\/www.owasp.org\/images\/5\/5e\/OWASP-Top-10-2017-es.pdf\">https:\/\/www.owasp.org\/images\/5\/5e\/OWASP-Top-10-2017-es.pdf<\/a><br> <a href=\"https:\/\/www.malcare.com\/blog\/how-to-secure-a-wordpress-website\/\">https:\/\/www.malcare.com\/blog\/how-to-secure-a-wordpress-website\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Existen 55,021 plugins disponibles para WordPress al momento de redactar estas l\u00edneas, sin embargo, estas maravillosas extensiones que permiten facilitar la ejecuci\u00f3n de tareas administrativas o de publicaci\u00f3n en los sitios web con WordPress tambi\u00e9n&#8230;<\/p>\n","protected":false},"author":4,"featured_media":1746,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[3],"tags":[],"class_list":["post-1745","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia-y-seguridad"],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1745","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1745"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1745\/revisions"}],"predecessor-version":[{"id":1747,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1745\/revisions\/1747"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/1746"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1745"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1745"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1745"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}