Un reporte especializado en seguridad de WordPress señala un incremento del 150% en las fallas reportadas durante 2021 en comparación con el año anterior, además de establecer que casi el 30% de las vulnerabilidades detectadas en plugins para WordPress no reciben actualizaciones.
Dado que este es el sistema de administración de contenido (CMS) más usado del mundo, este debería ser un problema preocupante para decenas de millones de administradores de sitios web.
Acorde a los especialistas de Patchstack, de todas las fallas reportadas en 2021, solo el 0.58% residían en el núcleo de WordPress, mientras que el resto afectan a los temas y plugins creados por decenas de desarrolladores. Además, cerca del 92% de estas fallas se encuentran en plugins gratuitos, mientras que los plugins de paga se vieron afectados por el 8.6% de las fallas reportadas el año pasado.
De entre todas las vulnerabilidades reportadas en ese periodo de tiempo, se detectaron cinco errores críticos en 55 temas de WordPress, la mayoría de ellos relacionados con el abuso a la función de carga de archivos.
Respecto a los plugins, se informaron 35 vulnerabilidades críticas, dos de las cuales podrían estar presentes en hasta 4 millones de sitios web.
Algunos de los problemas de seguridad en WordPress que más llamaron la atención de los investigadores residen en Optimonster, un plugin usado en unos 1 millón de sitios web, y en All in One, un plugin SEO con más de 3 millones de instalaciones activas.
A pesar de que estas vulnerabilidades críticas fueron corregidas, otros nueve plugins con millones de instalaciones nunca recibieron actualizaciones para los severos errores de seguridad detectados a lo largo del año pasado. Además de la carga de archivos potencialmente maliciosos, estos plugins se ven afectados por fallas de escalada de privilegios e inyecciones SQL.
Sobre los problemas de seguridad más comunes en plugins para WordPress, los investigadores señalan que los errores de scripts entre sitios (XSS) son los más reportados, seguidos por las fallas de falsificación de solicitudes, inyecciones SQL y carga arbitraria de archivos en el sistema.
Ante esta situación, los expertos recomiendan a los administradores de sitios web adquirir las versiones de paga de los plugins, usar el menor número de herramientas posible en su plataforma y mantener sus plugins siempre actualizados a la más reciente versión disponible, lo que mitigará considerablemente su exposición a esta clase de riesgos de seguridad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
