Distrito Telefónica. Hub de Innovación y Talento

Detección y estimación de vulnerabilidades en plugins de Wordpress

Tecnología
Ciberseguridad y Privacidad

Cada vez más empresas y usuarios utilizan Internet como un escaparate donde anunciar sus productos y creaciones. Los CMS son plataformas informáticas que permiten a uno o varios usuarios la creación de un espacio web en Internet con características de diseño avanzadas (vídeo, fotografía, colores…) sin necesidad de disponer de conocimientos de programación. 
 
En la actualidad existen millones de páginas web, de las cuales aproximadamente el 50% se encuentran creadas mediante alguno de los más de 1.000 CMS existentes. Wordpress es el CMS más popular del mundo, siendo utilizado por aproximadamente el 28,9% de todas las páginas web de Internet, lo que lo convierte en el CMS con mayor crecimiento. Adicionalmente a la plataforma, Wordpress proporciona una forma de extender sus funcionalidades por defecto de manera sencilla por cualquier usuario que tenga conocimientos de programación, a través de unas extensiones que se denominan plugins. 
 
Teniendo en cuenta esto, no es de extrañar que la seguridad de Wordpress se haya convertido en una prioridad para todos los usuarios y empresas que alojan sus servicios en ella. Es por esto, que, a largo del tiempo, se han llevado a cabo diversas auditorías de seguridad. 
 
En la actualidad existen miles de plugins de Wordpress los cuales suman millones de descargas. Este volumen de descargas también es un indicativo del riesgo de seguridad que estas extensiones representan para la plataforma, llegándose a reportar por herramientas como WPScan, que aproximadamente el 52% de todas las vulnerabilidades reportadas pertenecen a plugins. A pesar de esto, los plugins son comúnmente ignorados en las auditorias de seguridad y revisiones de código debido a que no forman parte integral de la plataforma en su estado por defecto, sino que son componentes externos que se añaden bajo demanda, lo que provoca que una gran cantidad de los plugins que se encuentran en el repositorio oficial de Wordpress sean vulnerables. 


Explora nuestra siguiente investigación

ATTPwn: emulacion de adversarios

ATTPwn es una plataforma que simula amenazas cibernéticas para evaluar y mejorar la seguridad de sistemas y redes informáticas.

20/10/2023
Técnico de servidores retirando el rack del panel del gabinete