Parece trivial actualizar un sitio web de WordPress, tan obvio y sin embargo, muy pocos lo hacen. Y esto es un riesgo muy grande ya que internet no es un lugar exento de delicuentes usando tecnología para robar información.
La mayoría de los atacantes maliciosos no están utilizando herramientas muy inteligentes para atacar tus sitios, sino que dependen de vulnerabilidades conocidas y códigos escritos por otros para vulnerar tu sitio y miles de otros sitios de manera automatizada.
Supongamos que tienes un complemento de widgets y tienes una vulnerabilidad que permite cargar un archivo en el servidor web sin controles.
Esto es bastante malo para nosotros pero es oro para los malos actores. Sin embargo, deben haber sucedido varias cosas, la primera que nuestro malhechor necesita saber sobre tu sitio y la segunda que necesitan saber sobre la vulnerabilidad y cómo explotarla.
Entonces, ¿cómo los malos actores encuentran sus sitios?
Forma #1 para dar con tu sitio vulnerable
Bueno, la primera forma es que tu sitio ya es conocido por ellos y tal vez está siendo específicamente dirigido, esto es increíblemente raro, incluso los hacks más grandes de marcas conocidas no comienzan como hacks específicos, sin embargo, tu sitio podría ser el objetivo de delincuentes cibernéticos, ya sea por razones políticas, económicas, estatales o simplemente por malicia.
Forma #2 para dar con tu sitio vulnerable
La segunda forma mucho más probable es que tu sitio fue encontrado durante un escaneo automatizado, buscando condiciones que podrían hacerlo vulnerable, por ejemplo, tu sitio podría ser el objetivo porque un escaneo reveló que tienes plugins desactualizados.
En este escenario, tu sitio no es el objetivo, simplemente se la está utilizando para obtener acceso al servidor.
Los ataques automáticos pueden ser bastante específicos al intentar que solo una vulnerabilidad haya verificado que tales condiciones existen, o un enfoque de dispersión total, aceptando que tu sitio esté activo, por lo tanto, intente tantos exploits como sea posible hasta que se bloquee con la esperanza de que uno tenga éxito.
Los sitios rara vez se dirigen específicamente y es triste pero importante comprender que a menudo son simplemente daños colaterales en el camino hacia los recursos del servidor detrás de ellos.
Hay excepciones, especialmente hacia los sitios de comercio electrónico donde los skimmers de tarjetas de crédito se están convirtiendo en una amenaza creciente, pero en general, si tu sitio no ha sido específicamente dirigido, es solo una forma de ingresar al servidor.
Entonces, ¿cómo salen a la luz las vulnerabilidades? Por nuestros plugins desactualizados o versión de wordpress obsoleta, alguien puede saber que hay una vulnerabilidad y escribir el código para explotarlo.
Un malhechor puede identificar una vulnerabilidad, puede pasear por ella o mirar un plugin como un objetivo potencial.
Es muy probable que un investigador de seguridad o los autores del complemento puedan identificar el problema y solucionarlo.
Cuando se encuentra una vulnerabilidad, por un mal actor o publicada como información por el autor del plugin o investigador de seguridad, esa información tiende a difundirse rápidamente.
Lo que comienza como «este es un problema potencial», rápidamente cambia a «esto es una prueba sobre cómo vulnerarlo», aquí hay una versión «armada» del exploit, que se implementa en el marco de vulneración disponible públicamente.
La buena noticia es que si se descubre una vulnerabilidad, los desarrolladores normalmente toman medidas para parchar su código y corregir el error que permite la vulnerabilidad, luego lanzan esta solución como una nueva versión.
Entonces, ¿cómo detenemos la mayoría de los ataques?
Actualizaciones de seguridad vs arreglar cosas
En el mundo perfecto, el núcleo de WordPress tendría algún tipo de ciclos de liberación de seguridad a largo plazo donde las soluciones de seguridad se liberan independientemente de cualquier acción que debamos hacer.
Ciertamente, algunas versiones menores se denominan versiones de reparación de seguridad, pero a menudo los parches de seguridad se agrupan con la corrección general de errores.
El núcleo de WordPress técnicamente solo es compatible con la última versión de WordPress.
Sin embargo, el equipo de seguridad respalda errores de seguridad críticos, por lo que cuando hay un problema importante, la última versión de WordPress obtiene una versión menor, pero también todas las ramas relevantes regresan a 3.7.
Al menos actualmente, a medida que WordPress lanza más y más este proceso, se está volviendo más pesado y esta política está bajo revisión, por lo que no es seguro asumir nada, pero la última versión se considera parcheada.
Todo esto es solo el núcleo de WordPress, los temas y los complementos tienen sus propios ciclos de vida de revisión, pero la mayoría no respaldan las versiones de seguridad.
Ten en cuenta también que hay plugin y temas abandonados por sus autores y de estos debes cuidarte de no instalar. Observa siempre cuál fue la última vez que actualizó el autor del plugin antes de instalar.
¿Qué problemas encuentras para actualizar tu sitio WordPress?
