WordPress por dentro

Un poco de historia sobre la seguridad de WordPress

En los últimos diez años, WordPress se ha convertido en el CMS (Content Management System) más utilizado en todo el mundo. De todas las webs y blogs que existen ahora mismo en Internet, la cuarta parte de ellos están hechos con WP. Son cientos de miles de proyectos en todos los países del mundo.

WordPress es un gestor de contenidos programado en un lenguaje de programación que se denomina PHP. Se aloja y ejecuta en servidores web de tipo HTTP compatibles con servidores Apache2 o Nginx, que son dos de los servidores libres de más popularidad en el mercado actual.

En WordPress, una gran parte de su estructura interna y toda su información se almacena en un motor de bases de datos MySQL.

Desde sus inicios, en WP se ha buscado la funcionalidad acompañada de la simplicidad de uso para ser accesible a usuarios con pocos o apenas ningún conocimiento informático.

WordPress = Simple y Funcional

WP es software libre, desarrollado gracias a las contribuciones desinteresadas de miles de miembros de su comunidad. El líder del proyecto es Matt Mullenweg , CEO de la empresa Automattic, que emplea a varios de los contribuyentes más destacados de WP.

A medida que se fue desarrollando, WP fue incorporando librerías externas, como jQuery, PHPMailer, SimplePie, y cerca de 30 más, que enriquecieron el proyecto.

Antes de cada lanzamiento, un grupo de evaluadores voluntarios realizan diferentes pruebas a las versiones en fase beta, para detectar errores e informar sobre ellos.

Los que llevamos años utilizando WordPress podemos acordarnos de las primeras versiones de este CMS, que tenían bastante poco que ver con las increíbles funcionalidades que podemos encontrarnos hoy en día al alcance de nuestra mano de forma gratuita y con una simplicidad de uso que encandila rápidamente a los usuarios.

Gracias a los cientos de Themes diferentes disponibles actualmente, cualquier persona sin conocimientos de programación puede construir una web totalmente personalizada para dar visibilidad a su empresa o proyecto en Internet, sin tener que recurrir a soluciones costosas o depender de desarrolladores de forma obligatoria.

Para ampliar las funcionalidades de WordPress hay casi 50.000 plugins, la mayoría gratuitos, con una estimación de 1.300 millones de descargas.

WP continúa su carrera imparable, dominando el mercado de los CMS frente a otras soluciones. Actualmente más de un 25% de todas las webs de Internet están hechas con WP . Del total de CMS utilizados de todos los tipos: Joomla, Drupal, Magento, Blogger, Prestashop, Dreamweaver, etc, WordPress se utiliza en un 60% de los proyectos web .

Cuando las cosas se complican

En 2012 , poco después del lanzamiento de la versión 3.3, denominada “Sonny” y después de más de 55 millones de descargas, se publicó una versión de mantenimiento, la 3.3.1, donde se reparaban 15 errores que se habían localizado en la 3.3 . Una de estas vulnerabilidades era del tipo Cross-Site-Scripting (XSS) . Este tipo de vulnerabilidad es habitual en los sitios web y permite a un atacante modificar información de una web, robar credenciales, hacer denegación de servicios, poner en marcha acciones de Phishing y ejecutar todo tipo de acciones automáticas con intencionalidad maliciosa.

A mediados del año 2012 se lanza WP 3.4, versión que se denominó Green. A los 15 días del lanzamiento se detectan 18 problemas de seguridad y se publica una versión de mantenimiento, la 3.4.1. Siguen apareciendo fallos de seguridad, y se publica otra versión de mantenimiento, la 3.4.2. Para entonces ya se están realizando millones de descargas y muchos sitios pueden acabar comprometidos por atacantes que podrían realizar una escalada de privilegios en las webs.

Una fecha crítica paa WP fue el 25 de Junio de 2014, cuando se hizo público un 0day (zeroday) que afectaba a las librerías TimThumb. En aquel momento muchos Themes implementaban esta librería. TimThumb no pertenece a WordPress, pero ayudó a solucionar el problema y evitar un descalabro a nivel mundial.

El año 2014 fue prolífico en ataques de todo tipo a WP. Ataques de fuerza bruta, cross site scripting y de otros tipos se sucedieron, dando lugar a la aparición de parches para solucionar las vulnerabilidades del CMS. Para colmo de males, se descubrió que más de 100.000 sitios tenían los backups de sus bases de datos a la vista para cualquiera que quisiera husmear en ellas, utilizando cadenas de búsqueda sencillas en Google y Bing, denominadas “dorks”.

Las técnicas de hacking con buscadores son una de las formas más sencillas de acceder a información que debería permanecer oculta, pero que está expuesta a miradas ajenas debido a errores en la configuración de WordPress. Lo alarmante es que al ser información que está indexada en buscadores públicos, no constituye delito el acceder a ella, ya que está publicamente accesible, sin que el “curioso” tenga que utilizar métodos de intrusión no autorizados.

Como podemos suponer, un CMS con tantos millones de usuarios tiene puesta encima desde hace años la mirada de los ciberdelincuentes. Miles de webs construidas con WP son atacadas y comprometidas todos los días en todo el mundo. En la mayoría de las ocasiones el propietario de la web no se da cuenta de que ha sido atacado, pero sus datos han sido robados y sus equipos pueden haber sido troyanizados.

Afortunadamente hay una gran comunidad detrás de WP, con cientos de desarrolladores voluntarios que colaboran de forma desinteresada para mejorar las versiones que van apareciendo, aportando soluciones e ideas para mejorar la seguridad de WordPress.

 

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies