Seguridad en wordpress

CVE Prestigia Seguridad plugin wordpress
Publicamos una vulnerabilidad en un plugin de WordPress con identificador CVE-2019-14467
885 520 Prestigia

Estimados lectores,

El equipo de investigación de Prestigia Seguridad publica un nuevo 0day en un plugin de WordPress con identificador CVE -2019-14467.

Tras detectar la vulnerabilidad en el plugin afectado, WordPress Social Photo Gallery en su version 1.0, el equipo lo notifico a MITRE el cual asigno un identificador CVE. Un CVE identifica una vulnerabilidad de forma univoca, como en este caso hemos visto, afectando al citado plugin de WordPress con una vulnerabilidad de ejecucion remota de codigo.

Esta vulnerabilidad permite a un atacante potencial ejecutar comandos del sistema operativo.

El riesgo que representan estos ataques, podría resultar en una modificación pública de la página web, fuga de datos confidenciales y un compromiso del servidor o de la base de datos. Los sistemas podrían ser comprometerlos por completo.

La agencia Estadounidense NIST e INCIBE en España han publicado los detalles y toda la información en los siguientes enlaces:


Dear readers,

The team of the Prestigia  Seguridad has reported a new vulnerability in a WordPress Plugin.

Identified as CVE-2019-14467, the vulnerable plugin is WordPress Social Photo Gallery 1.0.

This vulnerability is a Remote Code Execution, allowing a potential attacker to execute operating system commands.

The risk posed by these attacks could result in a public defacement, a confidential data leakage, and a database server compromise. Client systems can also be targeted, making it possible to compromise them completely.

The U.S. agency NIST and Incibe in Spain have published the details and all the information in the following links.

actualizar los plugins para seguridad
La importancia de actualizar los plugins para mantener tu Web
1024 692 Prestigia

Actualizar los plugins y el CMS de tu página web es una de las tareas indispensables para mantenerla segura. Los ciberdelincuentes buscan frecuentemente vulnerabilidades de seguridad en plugins desactualizados, pues suelen ser la principal vía de ataques a páginas desarrolladas con WordPress.

Tras ser detectado un fallo en un plugin, los desarolladores, en la mayoria de las ocasiones, proceden a solventar la vulnerabilidad con el fin de mantener las webs que utilicen el plugin libre de fallos de seguridad.

Con las nuevas versiones, los desarrolladores de plugins buscan, entre otras, eliminar dichas vulnerabilidades de seguridad para mantener tu página web más segura.

Cómo actualizar los plugins

Tu CMS te avisa cuando debes actualizar los plugins, normalmente junto al número de plugins que hay que actualizar.

actualizar los plugins de wordpress

Una vez dentro, debes buscar cada uno de estos plugins, para proceder a la actualización. En este caso ponemos un ejemplo con iThemes Security, uno de los plugins mencionados en nuestro post Plugins de seguridad: qué son y cuáles son los mejores para WordPress.

como actualizar los plugins en wordpress

Dentro de cada uno de los plugins a actualizar, encontramos un link para revisar los detalles de cada nueva versión y ver qué han mejorado los desarrolladores dentro de cada una de ellas.

En este ejemplo del plugin iThemes Security, podemos observar cómo se han fijado distintos bugs (errores de software) mediante la actualización.

versiones actualizacion plugins wordpress

Actualizar los plugins a veces puede suponer un pequeño dolor de cabeza. Puede causar la pérdida o desactualización de información, pequeñas modificaciones en el diseño, etc.

Para ello, siempre recomendamos:

  • Realizar copias de seguridad antes de hacer cualquier actualización. Uno de nuestros consejos para mejorar la ciberseguridad de tu pyme.
  • Utilizar un Child Theme.
  • Trabajar primero en un entorno de pruebas o desarrollo, así puedes observar cómo se integra la nueva versión de cualquier plugin en tu página web.
  • Descargar los plugins de la página web oficial, así evitarás que incorporen código malicioso inyectado.

Puede que al descargar plugins de las páginas oficiales de los desarrolladores y no de la página oficial de WordPress, no te aparezcan los mensajes de actualización directamente en el Backoffice de tu página web. Para ello debes estar constantemente pendiente de las notificaciones por parte de los desarrolladores, para actualizar los plugins de forma manual.

Para actualizar los plugins de forma manual, debemos hacerlo utilizando un cliente ftp, descargando la última actualización del plugin en la página oficial del desarrollador en formato ZIP y, lo descomprimimos para colgarlo en el directorio /plugins/.

Ataques a plugins desactualizados

Este pasado septiembre un grupo de hackers aprovechó la vulnerabilidad de unos diez plugins, para a través de código malicioso generar, en beneficio propio, administradores falsos en páginas web creadas con WordPress. Como nos cuenta Fernando Tellado en Ayudawp.com, los hackers esperaban a que los administradores accedieran a la página web, para poder crear un nuevo administrador automáticamente mediante el código malicioso insertado en los plugins.

En octubre, conocíamos el caso de Buggy, un malware que explotaba vulnerabilidades descubiertas recientemente de temas y plugins de WordPress. Este malware hacía la página web insegura, ya que al ser tan recientes, no se habían creado los parches para solucionar las vulnerabilidades.

Cuando antes hablábamos de descargar los plugins de páginas webs oficiales, lo hacíamos con la intención de evitar que incorporen código malicioso. Existen algunas páginas web creadas por ciberdelincuentes, que se dedican a subir plugins falsos muy parecidos a los originales, para que los descargues. Posteriormente, con estos plugins falsos, abres la puerta grande a los hackers, para que puedan hacer lo que quieran dentro de tu página web y sistemas.

Y tú, ¿Sueles actualizar los plugins?, ¿Has sufrido algún ciberataque por mantener desactualizado tu sitio web?, ¿Conocías los ataques a los que te expones a causa de no actualizar los plugins?

En nuestro post: Cómo pueden infectar nuestro WordPress, encontrarás consejos para saber qué hacer si hemos sido infectados.

Recuerda, en Prestigia Seguridad ofrecemos servicios de ciberseguridad para cada cliente, proyecto o negocio, ¡contáctanos para obtener información sin compromiso!

Wordpress
Cómo pueden infectar nuestro WordPress
750 450 Prestigia

Recientes estudios indican que WordPress ha alcanzado una cuota de mercado de un 65% de uso en España y un 30% a nivel mundial.

El uso generalizado de este CMS (Content Management System) hace que cuando se detecta una vulnerabilidad en el “CORE” de la aplicación, tiemble Internet y sea utilizado para realizar ataques de DDoS (Distributed Denial of Service), Phishing, etc. Sin embargo, no debemos dejar otro punto de lado y estos son los plugins utilizados por el “CORE”, los cuales son el principal foco de ataque para intentar atacar este más que conocido CMS.

Es posible que en el momento menos esperado, nuestro dominio legítimo que utiliza WordPress aparezca indexado en buscadores como Google o Bing haciendo referencias a productos que quizá nada tuvieran que ver con nuestro contenido, podrían ser productos farmacéuticos o de otro tipo, el primero que comentamos el más usual. Además, es posible que Google catalogue nuestro sitio como fraudulento, creando un daño a nivel de reputación a la imagen de nuestra marca. En este post comentaremos qué ha podido ocurrir.

Tipos de infecciones

A continuación, vamos a focalizarnos en los tipos de infecciones que podrían afectar a nuestro sistema WordPress.

Usualmente, los atacantes al tener acceso ilegítimo a nuestro sistema WordPress, modifican el tema principal para realizar una redirección automática a un dominio externo, con lo cual, aunque accedamos a nuestra URL original, automáticamente seremos transferidos al dominio malicioso.

A continuación exponemos un ejemplo de un caso real de infección con una redirección a un sitio de venta de productos farmacéuticos proveniente de una URL de un sistema WordPress considerado confiable:

Además, otro tipo de ataque distinto, consistiría en el famoso minado de criptomonedas utilizando el explorador del usuario, el más utilizado es CoinHive. A raíz de esto, podríamos estar navegando tranquilamente por un sistema WordPress infectado que a priori parece legítimo, sin embargo, este habría sido infectado con librerías JavaScript maliciosas que utilizarían mediante nuestro explorador un consumo de CPU excesivo, utilizado para alimentar el minado de los atacantes. Con esto el atacante tendría una pequeña red de usuarios que realizarían el minado por él, cuyos beneficios irían a su cartera virtual en forma de Bitcoins por ejemplo o la famosa criptomoneda llamada Monero, las más utilizada en este tipo de ataques.

Por último, queremos reseñar un ataque muy usual que podrían aprovechar los atacantes con nuestro sistema WordPress infectado. Éste consistiría en crear directorios ocultos para crear páginas de Phishing. Normalmente este tipo de ataques son clonados de páginas de entidades bancarias o Paypal idénticas a las originales pero hospedadas en nuestro sistema infectado, con el fin de recopilar usuarios, passwords o incluso tarjetas de crédito de clientes.

El peligro de esta última infección podría incluso repercutir en acciones legales contra nosotros, al hospedar este tipo de páginas ilegales.

Mantener un WordPress seguro

Asegúrate siempre de que tu WordPress trabaja con la última versión disponible al igual que sus plugins, ya que eso te librará de un ataque de tipo 0-day.

También puedes seguir los consejos que ofrecíamos en este post sobre los plugins: cuales son los mejores plugins de seguridad para WordPress.

Qué hacer si hemos sido infectados

El CMS WordPress es lo suficientemente maduro hoy en día, teniendo un ratio mínimo de deficiencias de seguridad en su “CORE” en los últimos tiempos, si utilizas versiones actualizadas al igual que una correcta política de contraseñas, incluso con doble factor de autenticación. No deberían existir problemas a priori.

Si hemos detectado que nuestro sistema ha podido ser infectado, es posible utilizar el servicio web de diagnóstico de Google para verificar si hemos podido ser infectados y que no seamos penalizados en el SEO de Google o utilizar servicios públicos como Virustotal el cual utiliza varias fuentes para conocer si estado de nuestro sistema WordPress ha podido ser comprometido.

También, se recomienda analizar el equipo con aplicaciones Anti-Virus locales que permitan identificar ficheros potencialmente infectados, esto nos podrá ayudar a conocer los ficheros que deberemos restaurar al igual que conocer si su integridad ha sido modificada.

Aun así, en el momento que hayas sido infectado, no desesperes, puedes poner tu sistema WordPress en “modo mantenimiento” y solicitar el asesoramiento de profesionales de seguridad de la información para mediante técnicas de forense y hacking ético, conocer las deficiencias de seguridad que pudieran tener el sistema WordPress, de cara a restaurarlo a su estado original completamente seguro y fortificarlo.

Wordpress plugins seguridad
Plugins de seguridad: qué son y cuáles son los mejores para WordPress
1024 546 Prestigia

La semana pasada os hablamos en el blog sobre la importancia de tener en cuenta factores vinculados a la seguridad a la hora de escoger un hosting web. Una vez tu alojamiento es seguro, hay que poner el ojo en la seguridad del propio CMS. Para ello serán necesarias una serie de medidas de seguridad, como instalar los mejores plugins de seguridad.

Teniendo en cuenta que WordPress es el gestor de contenidos más usado a nivel mundial, hoy ponemos el foco en los plugins de seguridad para este CMS.

Los plugins son un elemento necesario y de un valor añadido para que la seguridad de tu web sea inquebrantable. Sin embargo, es muy importante recordar que un plugin sin actualizar es una fuente de riesgo. De hecho, suelen ser la principal vía de ataques a páginas desarrolladas con WordPress. Por lo tanto, el primer consejo en relación a cualquier plugin que tengas instalado en tu CMS es que lo tengas siempre actualizado.

Cabe matizar, sin embargo, que si el plugin que tienes instalado es de pago y no está activado, debes estar atento a las notificaciones del WordPress o en web del desarrollador porque habitualmente las actualizaciones no se realizan de forma automática.

5 plugins de seguridad gratis para tu WordPress

1. All in One WP Security & Firewall. Es uno de los más completos porque incluye firewall, antivirus y un auditor de seguridad. De esta forma, por ejemplo, protege los permisos de los ficheros, busca código malicioso o bloquear ataques de fuerza bruta, entre otros aspectos. Es 100% gratuito, pero dispone de una versión más completa de pago que mejora la detección y protección.

2. iThemes Security. Ofrece hasta 30 formas distintas de proteger tu página web de ataques y hackers que intentan acceder a tu web a través de cualquier error o agujero de seguridad. La versión de pago aumenta considerablemente las funcionalidades de autenticación, escaneo de ficheros y defensa de nuestro CMS.

3. Sucuri Security. Se encarga de realizar una auditoría y análisis de malware a fin de reforzar la seguridad del CMS, monitorización en blacklist de las conexiones, notificaciones de seguridad. La funcionalidad de Firewall solo se incluye en la versión premium.

4. BulletProof Security. Tiene versión gratis y de pago y aunque no es el plugin más fácil de usar, incluye muchas funcionalidades con alto nivel de protección. Cuenta con medidas anti spam, firewall y escáner de malware, entre otras.

5. WordFence. Con más de 2 millones de instalaciones, es el plugin más utilizado por la comunidad de usuarios de WordPress. Detecta posibles virus y malware, analiza el tráfico de tu web en tiempo real para detectar rápidamente cualquier peligro y actúa como firewall. Por cierto, también tiene una función de cacheo que hará que la velocidad de carga de tu web sea mayor. La versión de pago, mejora los tiempos de respuesta ante incidencias, tiene una reglas de protección más eficientes y dispone de bloqueo de trafico a nivel geográfico.

Cualquiera de estos 5 plugins de seguridad para WordPress será un plus para la seguridad de tu página web. La correcta configuración del plugin es fundamental, la mayoría de términos y opciones de configuración son técnicas y para eso necesitarás seguramente ayuda profesional. Configurar erróneamente un Firewall puede bloquear las visitas de posibles clientes. Una incorrecta configuración en los ficheros genera fallos de seguridad que pueden ser usados por hackers para infectar la web.

Uno de los últimos clientes que nos vino a Prestigia Seguridad tenía el problema de tener dos plugins de seguridad, incorrectamente configurados y que eran incompatibles (se pisaban mutuamente). Es decir, a veces lo que abunda sí daña.

Por tanto, si no sabes qué plugin de seguridad de WordPress es el mejor para tu página web, contacta con nosotros y te ayudaremos a proteger tu web, no sólo con el mejor plugin de seguridad, sino también con otras medidas especiales para proteger tu CMS y tu servidor WEB.

¡Que la seguridad no sea tu talón de Aquiles!

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.