Los datos confirman un aumento en las vulnerabilidades de WordPress


Los investigadores de seguridad de WordPress en Patchstack publicaron su documento técnico anual sobre el estado de la seguridad de WordPress que mostró un aumento de vulnerabilidades de gravedad alta y crítica, destacando la importancia de la seguridad para todos los sitios web en la plataforma WordPress.

XSS es la principal vulnerabilidad de WordPress de 2023

Hay muchos tipos de vulnerabilidades, pero la más común, con diferencia, fueron las vulnerabilidades de secuencias de comandos entre sitios (XSS), que representan el 53,3% de todas las nuevas vulnerabilidades de seguridad de WordPress.

Las vulnerabilidades XSS generalmente ocurren debido a una «limpieza» insuficiente de las entradas del usuario, lo que incluye el bloqueo de cualquier entrada que no se ajuste a lo esperado. Patchstack compartió que el marco Freemius, una plataforma de comercio electrónico administrada por terceros, representó más de 1200 de todas las vulnerabilidades XSS, lo que representa el 21% de todas las nuevas vulnerabilidades XSS descubiertas en 2023.

El kit de desarrollo de software (SDK) de Freemius se utiliza como componente de más de 1200 complementos que a su vez se instalan en más de 7 millones de sitios de WordPress. Esto resalta el problema de las vulnerabilidades de la cadena de suministro donde un componente se utiliza como parte de un complemento de WordPress, lo que posteriormente aumenta el alcance de una vulnerabilidad más allá de un solo complemento.

El informe de Patchstack explica:

“Este año vimos una vez más cómo una única vulnerabilidad de secuencias de comandos entre sitios en el marco Freemius resultó en que 1248 complementos heredaran la vulnerabilidad de seguridad, exponiendo a sus usuarios a riesgos.

El 21% de todas las nuevas vulnerabilidades descubiertas en 2023 se remontan a este defecto. Es vital que los desarrolladores elijan su pila con cuidado y apliquen rápidamente las actualizaciones de seguridad cuando estén disponibles”.

Más vulnerabilidades clasificadas como altas o críticas

A las vulnerabilidades se les asigna una puntuación de gravedad que corresponde a qué tan perjudicial es una falla descubierta. Las calificaciones van desde baja, media, alta y crítica.

En 2022, el 13% de las nuevas vulnerabilidades se clasificaron como altas o críticas. Ese porcentaje se disparó en 2023 hasta el 42,9%, lo que significa que hubo más vulnerabilidades destructivas en 2023 que el año anterior.

Vulnerabilidades autenticadas versus no autenticadas

Otra métrica que aparece en el informe es el porcentaje de vulnerabilidades que no requieren autenticación (no autenticadas), lo que significa que el atacante no necesita ningún nivel de permiso de usuario para lanzar un ataque.

Las fallas que requieren que un atacante tenga permisos de nivel de suscriptor a nivel de administrador tienen un listón más alto para que los atacantes los superen. Las vulnerabilidades no autenticadas no requieren que el atacante obtenga primero un nivel de permiso, lo que hace que ese tipo de vulnerabilidades sean más preocupantes porque pueden explotarse mediante ataques automáticos, como los robots que exploran un sitio en busca de la vulnerabilidad y luego lanzan ataques automáticamente.

Patchstack descubrió que el 58,9% de todas las nuevas vulnerabilidades no requerían autenticación alguna.

Los complementos abandonados aumentan como factor de riesgo

Otra causa importante de vulnerabilidades es la gran cantidad de complementos abandonados. En 2022, Patchstack informó 147 complementos y temas abandonados en WordPress.org y de ellos, 87 se eliminaron y el resto se parchearon.

En 2023, la cantidad de complementos abandonados se disparó de 147 en 2022 a 827 complementos y temas en 2023. Mientras que en 2022 se eliminaron 87 complementos abandonados vulnerables, en 2023 se eliminaron 481.

Patchstack señaló:

“Reportamos 404 de esos complementos en un solo día para llamar la atención sobre la “pandemia de complementos zombis” en WordPress. Estos complementos «zombis» son componentes que parecen seguros y actualizados a primera vista, pero pueden contener problemas de seguridad sin parches. Además, dichos complementos permanecen activos en los sitios de los usuarios incluso si se eliminan del repositorio de complementos de WordPress”.

Complementos más populares con vulnerabilidades

Como se mencionó anteriormente, las clasificaciones de gravedad varían desde baja, media, alta y crítica. Patchstack compiló una lista de los complementos más populares con vulnerabilidades.

En 2022, había 11 complementos populares con más de un millón de instalaciones activas que contenían vulnerabilidades. En 2023, Patchstack bajó el listón de las instalaciones de un millón a más de 100.000 instalaciones. Sin embargo, a pesar de facilitar la inclusión en la lista, solo se encontró que 9 complementos populares tenían una vulnerabilidad, muchos menos que en 2022.

En 2022, solo cinco de los 11 complementos más populares con vulnerabilidades contenían una vulnerabilidad de alta gravedad, ninguno contenía una vulnerabilidad de nivel crítico y el resto eran de nivel medio.

Esas cifras empeoraron significativamente en 2023. A pesar de reducir el umbral de lo que se considera un complemento popular, los nueve complementos de la lista contenían vulnerabilidades de nivel crítico, todos ellos. La inmensa mayoría de los complementos de esa lista, seis de nueve, contenían vulnerabilidades no autenticadas, lo que significa que explotarlas es fácil de escalar con la automatización. Los tres restantes que requirieron autenticación solo requirieron un nivel de entrada de suscriptor, que es el nivel de permiso más fácil de adquirir, simplemente registrarse, verificar el correo electrónico y ya están dentro. Eso también se puede escalar con la automatización.

Lista de complementos más populares con vulnerabilidades

  1. Complementos esenciales para instalaciones de Elementor 1M+ (clasificación de gravedad 9,8)
  2. Instalaciones de WP Fastest Cache 1M+ (clasificación de gravedad 9,3)
  3. Instalaciones de Gravity Forms 940k (clasificación de gravedad 8,3)
  4. Instalaciones de Fusion Builder 900k (clasificación de gravedad 8,5)
  5. Flatsome (Tema) 618.000 instalaciones (clasificación de gravedad 8,3)
  6. Estadísticas de WP 600.000 instalaciones (clasificación de gravedad 9,9)
  7. Instalaciones de Forminator 400k (clasificación de gravedad 9,8)
  8. Instalaciones de WPvivid Backup and Migration 30ok (clasificación de gravedad 8,8)
  9. JetElements para instalaciones de Elementor 30ok (clasificación de gravedad 8,2)

El estado de seguridad de WordPress es peor

Si cree que últimamente hay más vulnerabilidades que nunca, ahora ya sabe el motivo, las estadísticas hablan por sí solas. Hay más vulnerabilidades en 2023 y un mayor porcentaje se encuentran en niveles altos y críticos que pueden explotarse con automatización a escala.

Esto significa que todos los editores deben mejorar su seguridad y asegurarse de que alguien asuma la responsabilidad de auditar sus complementos y temas de forma regular para asegurarse de que todos estén actualizados y mantenidos activamente.

Los SEO deben tomar nota porque la seguridad se convierte rápidamente en un problema de clasificación cuando Google elimina un sitio pirateado de los resultados de búsqueda. Muchos SEO que realizan auditorías de sitios no realizan ni siquiera las comprobaciones de seguridad más básicas, como verificar si los encabezados de seguridad están en su lugar, algo que hago como parte de cada auditoría que realizo. Asegúrese siempre de conversar con los clientes sobre su seguridad para asegurarse de que estén al tanto de los riesgos.

Patchstack es un ejemplo de un servicio que protege automáticamente los sitios de WordPress contra vulnerabilidades incluso antes de que el complemento publique un parche para corregir la vulnerabilidad. Ese tipo de servicios son importantes para crear una defensa contra la piratería y la pérdida de visibilidad de búsqueda y ganancias.

Lea el informe de Patchstack:

Estado de la seguridad de WordPress en 2023

Imagen destacada de Shutterstock/Iurii Stepanov



Consultar el artículo en la publicación original

Los datos confirman un aumento en las vulnerabilidades de WordPress