Según WordPress, más de 60 millones de personas han elegido este famoso software para sus sitios webs. Ahora un «ataque de Puerta Trasera» en curso está tratando de comprometer a tantos de ellos como sea posible.
¿Qué necesitan saber los propietarios de sitios web de WordPress sobre este ataque?
Una campaña de ataques informáticos que ha estado en marcha desde julio ha pasado de redirigir los navegadores a sitios que contienen anuncios poco fiables o software malicioso a algo que es potencialmente aún más problemático. Mikey Veenstra, investigador del Defiant Threat Intelligence team, dijo que «la campaña ha añadido otro script que intenta instalar una puerta trasera en el sitio de destino explotando una sesión de administrador».
WPSERVICES: Un extraño nuevo administrador de tu sitio en WordPress
En una advertencia publicada en el blog de seguridad de WordFence el 30 de agosto, Veenstra reveló que un JavaScript malicioso que cae en sitios web comprometidos busca «crear un nuevo usuario con privilegios de administrador en el sitio de la víctima». Si un administrador que ha iniciado sesión es identificado como que está viendo la página infectada, entonces se realiza una llamada AJAX a través de jQuery, y esta crea una cuenta de administrador no autorizada.
«Esta llamada AJAX crea un usuario llamado wpservices con el correo electrónico [email protected] y la contraseña w0rdpr3ss«, dijo Veenstra, «con este usuario en su lugar, el atacante es libre de instalar más puertas traseras o realizar otra actividad maliciosa».
¿Cómo acceden los atacantes a su sitio web?
Como sucede a menudo cuando se trata de un ataque contra WordPress, se aprovechan las vulnerabilidades de los plugins de WordPress de terceros. El sitio web oficial de WordPress indica que hay unos 55.133 plugins disponibles en este momento. Según un informe de Imperva que analiza las vulnerabilidades de las aplicaciones web, sólo el 3% de ellas se añadieron durante 2018. Esto significa que hay muchos plugins antiguos, y probablemente todavía en uso, que no han sido actualizados por un tiempo. Dado que en el informe Imperva reveló que «el 98% de las vulnerabilidades de WordPress están relacionadas con los plugins», la magnitud del problema es lo suficientemente fácil de comprender.
Mientras tanto, Veenstra declaró que los plugins que están siendo atacados en la actualidad han sido identificados de la siguiente manera:
- Bold Page Builder
- Blog Designer
- Live Chat with Facebook Messenger
- Yuzo Related Posts
- Visual CSS Style Editor
- WP Live Chat Support
- Form Lightbox
- Hybrid Composer
- Todos los antiguos plugins de NicDark (nd-booking, nd-travel, nd-learning).
Si eres propietario de un sitio web con WordPress y utiliza alguno de estos plugins, te recomendamos que compruebes que dispones de las últimas versiones actualizadas. Sigue los enlaces anteriores para comprobar el estado de la actualización, ya que la mayoría de ellos ya han sido parcheados. Sin embargo, Veenstra advirtió que «es razonable asumir que cualquier vulnerabilidad no autenticada de XSS o de actualización de opciones revelada en un futuro próximo será rápidamente atacada».
¿Cuál es la mejor manera de mitigar amenazas a sitios web realizados con WordPress?
«Como siempre, la actualización de los plugins y temas en su sitio WordPress es una excelente capa de defensa contra campañas como ésta», dijo Veenstra, «compruebe con frecuencia si hay actualizaciones necesarias en su sitio para asegurarse de que está recibiendo los últimos parches a medida que se publican».
El hacker ético John Opdenakker dice que es «mejor combinar varias capas de protección», por lo que, además de las comprobaciones de actualización de los plugins, «sin duda es una buena idea utilizar un cortafuegos de aplicaciones web para ayudar a bloquear los ataques XSS».
Yo añadiría que el uso de la autenticación de dos factores para el acceso administrativo al sitio web de WordPress no es opcional en estos días; es un requisito indispensable.
Este consejo se aplica a todos los propietarios de sitios web realizados WordPress para publicar contenido, no sólo a los más populares o a los grandes nombres en línea. No pienses que por ser un pececillo en un gran estanque, los tiburones no te morderán, sino que lo harán. Los delincuentes siempre están investigando los sitios en busca de formas de comprometerlos, ya sea para servir anuncios maliciosos, redirigirlos a otros sitios web maliciosos o para conseguir un punto de apoyo que pueda aprovecharse como parte de un plan de ataque más amplio.