Reading time aprox: 2 minutes
Graves fallos de seguridad en cientos de plugins.
Si, parece un tema repetitivo. Lo cierto es que aunque WordPress hace esfuerzos para mantener la seguridad en su código interno, la facilidad con que se crean e instalan nuevos plugins, crea agujeros explotables.
Graves fallos de seguridad en cientos de plugins
Recientemente (el pasado 11 de marzo) se hicieron conocidos más de 5.000 de estas vulnerabilidades.
Un par the «hackers» españoles han creado una nueva herramienta de análisis que ha conseguido detectar más de 5.000 fallos en los 84.508 plugins de WordPress analizados.
Entre los fallos encontrados, cerca de 4.500 son fallos de los conocidos como «SQL injection (SQLi) – Inyección SQL»
Hemos encontrado hasta 250 vulnerabilidades diferentes en el mismo complemento.
Manuel García Cárdenas
Muchos de los plugins analizados contaban con múltiples vulnerabilidades, que varían entre errores de «cross-site scripting (XSS)» y «Inclusión de Archivos Locales», a errores de los mencionados «SQL injection (SQLi)».
Del total de los 84.508 plugins de WordPress analizados, 1.775 contenían un error de programación identificable.
Según el mismo estudio, los plugins más vulnerables son los relacionados con el «e-Commerce».
Preocupación por falsos positivos
El líder de la empresa de servicios y alojamiento 34SP.com y activo miembro de la comunidad de WordPress, Tim Nash, ha agradecido el trabajo de los investigadores españoles Jacinto Sergio Castillo Solana (Serchi3) y Manuel García Cárdenas (hypnito) al tiempo que manifestaba su reserva ante posibles falsos positivos, en una entrevista de «The Daily Swig».
«Automated tools are an incredibly valuable way of testing for vulnerabilities, and when used effectively can help developers patch quickly and effectively. Relying purely on an automated tool for a vulnerability report wouldn’t be my choice of submitting a report. If they went through and looked and confirmed all 5,000 vulnerabilities then my hat goes off to them, otherwise, I suspect there is a high level of false positives »
«Las herramientas automatizadas son una forma increíblemente valiosa de probar vulnerabilidades y, cuando se usan de manera efectiva, pueden ayudar a los desarrolladores a aplicar parches de manera rápida y efectiva. Confiar únicamente en una herramienta automatizada para un informe de vulnerabilidad no sería mi elección de enviar un informe. Si lo revisaron y miraron y confirmaron las 5.000 vulnerabilidades, entonces me quito el sombrero ante ellos, de lo contrario, sospecho que hay un alto nivel de falsos positivos.»
Independientemente de esos posibles falsos positivos, Nash ha aclarado que esos no resta importancia ni crédito a sus hallazgos o a la investigación realizada, porque han identificado vulnerabilidades en un 2% de los plugins del repositorio.
Por su parte, Manuel García Cárdenas ha respondido al comentario:
«Hemos verificado algunos manualmente y diríamos que la mayoría de ellos son vulnerables. No hemos incluido funciones que escapen los caracteres especiales … Solo hemos identificado complementos vulnerables donde los parámetros no están validados …»
«Sabemos que quizás haya falsos positivos, pero no incluimos líneas de código como vulnerabilidades con funciones de validación como esc_sql() o htmlspecialshars(), por lo que no sabemos que haya más de 5,000 vulnerabilidades POTENCIALES, pero lo principal es que los desarrolladores no validan las inyecciones SQL.»
WordPress Terror
De esta investigación surgió el desarrollo de la herramienta «WordPress Terror», la cual fue presentada en la conferencia Rooted CON pero que no tiene planes inmediatos de ser liberada al mundo según han especificado.
La utilidad de «WordPress Terror» para descubrir fallos permanece «indeterminada», al carecer de una inspección imparcial, según Nash, quién ha sugerido a los investigadores españoles que liberen su herramienta a la comunidad.
Te recomendamos mantener actualizados todos los complementos de tus sistemas WordPress y realizar auditorías de manera periódica para afianzar su seguridad.
¡Gracias por leernos!
¡Tus comentarios y preguntas nos ayudan a mejorar, por favor comenta!