La semana pasada, se notificó a más de 200,000 sitios de WordPress que podrían estar en riesgo de ataque debido a un error en el complemento que permite a los piratas informáticos superar rápidamente los sitios web.

El complemento en cuestión era Code Snippet, un complemento de WordPress que ejecuta fragmentos de código PHP de forma más limpia. Significa que usted, como desarrollador del sitio, ya no necesita crear fragmentos personalizados para el archivo .php de funciones del tema de su sitio web. Con este mini-complemento, la funcionalidad de su sitio de WordPress se amplía porque hay menos carga en su sitio web. Los fragmentos de código mantienen limpio su archivo .php y los ejecutan en su sitio de manera más eficaz.

Sin embargo, la empresa de seguridad Wordfence descubrió que el complemento tenía un error. El error permitiría a los piratas informáticos inyectar un código PHP de forma remota sin el permiso del administrador. Una vez que los atacantes se habían infiltrado en el sitio, podían ejecutar códigos maliciosos desde cualquier lugar. Incluso podrían crear cuentas de administrador adicionales, infectar a los usuarios del sitio y extraer datos privados.

Los investigadores de Wordfence descubrieron que los desarrolladores habían creado un complemento mayormente seguro y habían seguido todos los procedimientos correctos, pero aún existía una vulnerabilidad en la función de importación que significaba que el complemento podía verse comprometido fácilmente.

Afortunadamente, los creadores del complemento solucionaron la vulnerabilidad el 25 de enero, pocos días después del descubrimiento de la falla de seguridad. Cualquiera que sea usuario del complemento Code Snippet debe asegurarse de que está utilizando la versión 2.14.0. Si está utilizando una versión anterior del complemento, usted, su sitio web e incluso los visitantes de su sitio podrían ser vulnerables a los ataques. Actualice inmediatamente a la versión parcheada para asegurarse de que su sitio web sea seguro.

Según los datos descargados de la actualización más reciente, aproximadamente 58,000 usuarios de complementos han actualizado su complemento, pero 140,000 administradores todavía utilizan la versión anterior, lo que significa que su sitio permanece abierto a un ataque fácil.

La falla reciente fue seguida por otro ataque a miles de sitios de WordPress que fueron infectados por JavaScript incorrecto. El JavaScript malicioso se implementó para intentar promover sitios web de spam.

A través de estas vulnerabilidades de JavaScript, los piratas informáticos pudieron implementar JavaScript, lo que inició un ciclo y múltiples redireccionamientos a sitios web de “encuestas para regalos”. Los usuarios desprevenidos pueden ser engañados para que entreguen su información personal o incluso instalen accidentalmente software malicioso en sus computadoras.

Sucuri, una empresa de seguridad y eliminación de malware de sitios web, fue la primera en darse cuenta de estos malos actores. Sucuri emitió un comunicado diciendo, “Desafortunadamente para los propietarios de sitios web, esta carga útil de JavaScript maliciosa es capaz de realizar más modificaciones a los archivos de temas de WordPress existentes a través del archivo /wp-admin/theme-editor.php. Esto les permite inyectar malware adicional, como puertas traseras de PHP y herramientas de pirateo, a otros archivos de temas para que puedan seguir manteniendo el acceso no autorizado al sitio web infectado “.

Debido a que estos piratas informáticos han sido malintencionados al utilizar funciones de administración para crear directorios falsos, pueden crear aún más malware comprimiendo archivos comprimidos. Sucuri informó que se habían infectado 2000 sitios. Para detener el problema, Sucuri “alienta a los propietarios de sitios web a deshabilitar la modificación de las carpetas primarias que impiden que los piratas informáticos inserten archivos maliciosos o los incluyan como parte del refuerzo de la seguridad de WordPress y las mejores prácticas de seguridad”.

Los propietarios de sitios de WordPress deben ser particularmente diligentes para mantener su sitio web a salvo de los piratas informáticos. De acuerdo a Sucuri, WordPress representa el 90% de los sitios web comprometidos. Los sitios Magento y Joomla representan solo el 4,6% y el 4,3% de los sitios comprometidos, respectivamente.

La razón por la que WordPress es tan vulnerable a los ataques se debe a la gran popularidad del Sistema de gestión de contenido (CMS). Debido a que WordPress impulsa a muchos sitios y es de código abierto, significa que los piratas informáticos pueden encontrar más oportunidades para explotar a los usuarios desprevenidos.

Una de las formas más fáciles de mantener seguro su sitio de WordPress es actualizando WordPress con regularidad. Con cada nueva versión de temas, complementos, etc., WordPress y su seguridad se mejoran y se parchean las vulnerabilidades.

Es por eso que algunos desarrolladores de WordPress novatos e incluso experimentados eligen tener un hosting de WordPress administrado. Facilita la actualización de todos los complementos del sitio porque su proveedor de hosting se encargará de actualizar todos los complementos por usted. Si no sabe lo que se necesita para mantener actualizado su sitio web, es una buena idea invertir en este tipo de hosting.

Si no ha gestionado el hosting de WordPress, deberá mantener actualizado su sitio de WordPress con regularidad. Cuando se descubre un error malicioso o una vulnerabilidad, el equipo de soporte de WordPress generalmente le enviará una notificación para obligarlo a actualizar su sitio.

Actualizar su sitio de WordPress es muy fácil. Todo lo que necesita es hacer clic en “actualizar” en su panel y, por lo general, solo tomará unos segundos asegurarse de que su sitio se mantenga seguro. También puede que tenga que ir a “Complementos instalados” y “Apariencias / Temas” para asegurarse de que está utilizando la última versión de cada complemento y tema. Podrá ver fácilmente cuál está desactualizado. Dedicar unos minutos a hacer esto cada dos semanas es vital para la seguridad de su sitio.

Tener un sitio seguro de WordPress no tiene por qué ser imposible. Asegúrese de mantener su sitio web actualizado para mantenerlo a salvo de los piratas informáticos.