Más de 40% de todos los sitios web del mundo utilizan WordPress. Este sistema de gestión de contenidos debe su popularidad al código fuente abierto y la posibilidad de ampliar la funcionalidad principal del sitio web a través de plugins de terceros - hay más de 59 mil plugins oficiales disponibles actualmente.

En la mayoría de los casos, los plugins son desarrollados por empresas de software independientes y profesionales con diferentes niveles de experiencia y conciencia de seguridad. Antes de ser añadidos a la biblioteca oficial de WordPress, los plugins son auditados para garantizar que funcionan como es debido, pero también que siguen las directrices de seguridad de WordPress. Sin embargo, ni siquiera el equipo de revisión más eficiente puede probar los plugins de WordPress bajo el prisma de la ciberseguridad y garantizar que son 100% ciberseguros. Además, considere los plugins se comprueban sólo cuando se añaden por primera vez al repositorio de WordPress.

Hay muchos otros plugins disponibles fuera de la biblioteca oficial. En la mayoría de los casos, se trata de versiones crackeadas o alternativas de plugins de pago, que pueden descargarse de forma gratuita pero que pueden incorporar puertas traseras. Por estas razones, no le sorprenderá leer que en 2021 sobre 98% de vulnerabilidades relativas a los sitios web de WordPress estaban relacionadas con los plugins.

Un plugin obsoleto encendió el compromiso del sitio web de uno de nuestros clientes. Durante una actualización rutinaria de contenidos, su equipo de marketing digital no pudo acceder al panel de administración: la anomalía fue lo suficientemente sospechosa como para solicitar rápidamente una investigación sobre este problema. El equipo de ciberseguridad de Paradox Engineering analizó el caso, señaló un incidente de ciberseguridad y detectó dos vectores de ataque con objetivos diferentes.

El primer ataque dirigido a manipular la página de inicio del sitio web (el llamado "defacement de sitios web"), el segundo era probable que alojar un sitio web de comercio electrónico oculto para vender productos ilegales. Los atacantes se aprovecharon de un plugin obsoleto y vulnerable para subir un archivo de configuración modificado, que desencadenó una nueva instalación de WordPress en la máquina anfitriona. El nuevo proceso de instalación permitió a los atacantes cargar otros archivos maliciosos para obtener el control total del sitio web.

En menos de una semana, el sitio se habría convertido en un valioso recurso en manos de los ciberdelincuentes. Afortunadamente, la solicitud de investigación llegó a PE pocas horas después de que se subieran los archivos maliciosos, por lo que fue posible impedir la desfiguración del sitio web. La intervención temprana redujo el tiempo de compromiso, lo que llevó a la limpieza del sitio web en pocas horas.

 

case study website defacement

 

Proceso de gestión de incidencias de Paradox Engineering se basa en Mejores prácticas del NIST para mitigar el impacto del ataque y acelerar la recuperación. El primer paso es recopilar todos los datos posibles sobre los eventos ocurridos en el sistema atacado y extraer información relevante sobre los vectores de ataque. Tras la evaluación, es importante aplicar rápidamente todas las acciones de contención necesarias para bloquear otros posibles movimientos de ataque. Por último, después de la contención, una investigación profunda para encontrar la causa raíz es útil para definir las mejores acciones de resolución y mitigación para prevenir ataques similares en el futuro.

 

7 consejos para proteger su sitio web:

  1. aplicar el sistema avanzado políticas de autorización y autenticación del sitio web - guardar la copia de seguridad en un lugar seguro (no accesible desde la instancia web) y utilizar siempre soluciones de copia de seguridad que no sean proporcionadas por los plugins del CMS
  2. prefieren las políticas que siguen los principios fundamentales de "necesidad de saber" y "mínimo privilegio"
  3. instalar sólo los plugins estrictamente necesarios y eliminar regularmente los que no se utilizan
  4. mantener el CMS y plugin actualizados. Se recomienda configurar las actualizaciones automáticas de los parches de seguridad y aplicar manualmente las versiones más importantes
  5. tener un entorno de puesta en escena para probar cualquier actualización
  6. recoger Eventos de registro para que el equipo de ciberseguridad detecte anomalías
  7. implementar una mecanismo de detección de cambios (por ejemplo, mediante hashes) para notificar al equipo de ciberseguridad en caso de acceso o modificación sospechosa del sitio web

 

Más información sobre nuestro Servicios de ciberseguridad y contacte con nuestros expertos para pedir asesoramiento y consejo.