El informe de vulnerabilidad de WordPress 2024 del escáner de seguridad de WordPress WPScan llama la atención sobre las tendencias de vulnerabilidad de WordPress y sugiere el tipo de cosas que los editores de sitios web (y SEO) deberían tener en cuenta.
Algunos de los hallazgos clave del informe fueron que poco más del 20% de las vulnerabilidades fueron calificadas como amenazas de nivel alto o crítico, mientras que las amenazas de gravedad media, el 67% de las vulnerabilidades reportadas, constituyeron la mayoría. Muchos consideran las vulnerabilidades de nivel medio como si fueran amenazas de bajo nivel y eso es un error porque no son de bajo nivel y deben considerarse como merecedoras de atención.
El informe no culpa a los usuarios por el malware ni las vulnerabilidades del sitio web. Pero los errores cometidos por los editores pueden amplificar el éxito de los piratas informáticos que explotan las vulnerabilidades.
El informe de WPScan recomendó:
«Si bien la gravedad no se traduce directamente en riesgo de explotación, es una pauta importante para que los propietarios de sitios web tomen una decisión informada sobre cuándo desactivar o actualizar la extensión».
Distribución de gravedad de vulnerabilidad de WordPress
Las vulnerabilidades de nivel crítico, el nivel más alto de amenaza, representaron solo el 2,38% de las vulnerabilidades, lo que es esencialmente una buena noticia para los editores de WordPress. Sin embargo, como se mencionó anteriormente, cuando se combina con los porcentajes de amenazas de alto nivel (17,68%), el número de vulnerabilidades preocupantes aumenta a casi el 20%.
Aquí están los porcentajes por clasificación de gravedad:
- Crítico 2,38%
- Baja 12,83%
- Alto 17,68%
- Mediano 67,12%
Autenticado versus no autenticado
Las vulnerabilidades autenticadas son aquellas que requieren que un atacante obtenga primero las credenciales de usuario y los niveles de permiso que las acompañan para poder explotar una vulnerabilidad en particular. Los exploits que requieren autenticación a nivel de suscriptor son los más explotables de los exploits autenticados y aquellos que requieren acceso a nivel de administrador presentan el menor riesgo (aunque no siempre son de bajo riesgo por diversas razones).
Los ataques no autenticados suelen ser los más fáciles de explotar porque cualquiera puede lanzar un ataque sin tener que adquirir primero una credencial de usuario.
El informe de vulnerabilidades de WPScan encontró que alrededor del 22% de las vulnerabilidades reportadas requerían nivel de suscriptor o ninguna autenticación, lo que representa las vulnerabilidades más explotables. En el otro extremo de la escala de explotabilidad se encuentran las vulnerabilidades que requieren niveles de permiso de administrador, que representan un total del 30,71% de las vulnerabilidades reportadas.
Software anulado y contraseñas débiles
Las contraseñas débiles y los complementos anulados fueron dos razones comunes por las que se encontró malware a través de Jetpack Scan. El software anulado son complementos pirateados cuya capacidad de validar si se pagó fue bloqueada. Estos complementos solían tener puertas traseras que permitían infecciones con malware. Las contraseñas débiles se pueden adivinar mediante ataques de fuerza bruta.
El informe de WPScan explica:
“Los ataques de elusión de autenticación podrían implicar una variedad de técnicas, como explotar las debilidades de contraseñas débiles, adivinar credenciales, usar ataques de fuerza bruta para adivinar contraseñas, usar tácticas de ingeniería social como phishing o pretexto, usar técnicas de escalada de privilegios como explotar vulnerabilidades conocidas en dispositivos de software y hardware o intentar iniciar sesión en la cuenta predeterminada”.
Niveles de permiso necesarios para los exploits
Las vulnerabilidades que requieren credenciales de nivel de administrador representaron el porcentaje más alto de exploits, seguidas por la falsificación de solicitudes entre sitios (CSRF) con el 24,74% de las vulnerabilidades. Esto es interesante porque CSRF es un ataque que utiliza ingeniería social para lograr que la víctima haga clic en un enlace desde el cual se adquieren los niveles de permiso del usuario. Este es un error que los editores de WordPress deben tener en cuenta porque todo lo que se necesita es que un usuario de nivel de administrador siga un enlace que luego permite al hacker asumir privilegios de nivel de administrador en el sitio web de WordPress.
A continuación se muestran los porcentajes de exploits ordenados por roles necesarios para lanzar un ataque.
Orden ascendente de roles de usuario para vulnerabilidades
- Autor 2,19%
- Abonado 10,4%
- No autenticado 12,35%
- Colaborador 19,62%
- MCR 24,74%
- Administrador 30,71%
Tipos de vulnerabilidad más comunes que requieren autenticación mínima
El control de acceso roto en el contexto de WordPress se refiere a una falla de seguridad que puede permitir que un atacante sin las credenciales de permiso necesarias obtenga acceso a permisos de credenciales más altos.
En la sección del informe que analiza las ocurrencias y vulnerabilidades subyacentes a las vulnerabilidades no autenticadas o a nivel de suscriptor reportadas (Ocurrencia versus vulnerabilidad en informes no autenticados o Suscriptor+), WPScan desglosa los porcentajes para cada tipo de vulnerabilidad que es más común para los exploits más fáciles. para iniciar (porque requieren mínima o ninguna autenticación de credenciales de usuario).
El informe de amenazas de WPScan señaló que el control de acceso roto representa un enorme 84,99%, seguido de la inyección SQL (20,64%).
El Proyecto Abierto Mundial de Seguridad de Aplicaciones (OWASP) define el control de acceso roto como:
“El control de acceso, a veces llamado autorización, es la forma en que una aplicación web otorga acceso a contenidos y funciones a algunos usuarios y no a otros. Estas comprobaciones se realizan después de la autenticación y rigen lo que los usuarios «autorizados» pueden hacer.
El control de acceso parece un problema simple, pero es insidiosamente difícil de implementar correctamente. El modelo de control de acceso de una aplicación web está estrechamente relacionado con el contenido y las funciones que proporciona el sitio. Además, los usuarios pueden pertenecer a varios grupos o roles con diferentes habilidades o privilegios”.
La inyección SQL, con un 20,64%, representa el segundo tipo de vulnerabilidad más frecuente, que WPScan denominó “alta gravedad y riesgo” en el contexto de las vulnerabilidades que requieren niveles mínimos de autenticación porque los atacantes pueden acceder y/o alterar la base de datos que es la base de datos. corazón de cada sitio web de WordPress.
Estos son los porcentajes:
- Control de acceso roto 84,99%
- Inyección SQL 20,64%
- Secuencias de comandos entre sitios 9,4%
- Carga de archivos arbitrarios no autenticados 5,28%
- Divulgación de datos sensibles 4,59%
- Referencia de objeto directo inseguro (IDOR) 3,67%
- Ejecución remota de código 2,52%
- Otros 14,45%
Vulnerabilidades en el propio núcleo de WordPress
La inmensa mayoría de los problemas de vulnerabilidad se informaron en complementos y temas de terceros. Sin embargo, en 2023 se reportaron un total de 13 vulnerabilidades en el propio núcleo de WordPress. De las trece vulnerabilidades, solo una de ellas fue calificada como una amenaza de alta gravedad, que es el segundo nivel más alto, siendo Crítica la amenaza de vulnerabilidad de mayor nivel, un sistema de puntuación mantenido por el Sistema de puntuación de vulnerabilidad común (CVSS).
La propia plataforma central de WordPress cumple con los más altos estándares y se beneficia de una comunidad mundial que está atenta para descubrir y corregir vulnerabilidades.
La seguridad del sitio web debe considerarse como SEO técnico
Las auditorías de sitios normalmente no cubren la seguridad del sitio web, pero en mi opinión, toda auditoría responsable debería al menos hablar de los encabezados de seguridad. Como he estado diciendo durante años, la seguridad de un sitio web se convierte rápidamente en un problema de SEO una vez que la clasificación de un sitio web comienza a desaparecer de las páginas de resultados del motor de búsqueda (SERP) debido a que está comprometida por una vulnerabilidad. Por eso es fundamental ser proactivo con respecto a la seguridad del sitio web.
Según el informe de WPScan, el principal punto de entrada de los sitios web pirateados fueron las credenciales filtradas y las contraseñas débiles. Garantizar estándares de contraseñas sólidos más autenticación de dos factores es una parte importante de la postura de seguridad de cada sitio web.
El uso de encabezados de seguridad es otra forma de ayudar a proteger contra Cross-Site Scripting y otros tipos de vulnerabilidades.
Por último, un firewall de WordPress y el fortalecimiento de un sitio web también son enfoques proactivos útiles para la seguridad del sitio web. Una vez agregué un foro a un sitio web nuevo que creé y fue atacado inmediatamente en cuestión de minutos. Lo creas o no, prácticamente todos los sitios web del mundo son atacados las 24 horas del día por robots que buscan vulnerabilidades.
Lea el informe de WPScan:
Informe de amenazas al sitio web de WPScan 2024
Imagen destacada de Shutterstock/Ljupco Smokovski