El 20% de los plugins WordPress más populares son vulnerables

wordpress hacking

Un estudio de la firma Checkmarx ha desvelado que más del 20% de los 50 plugins WordPress más populares son vulnerables a ataques comunes cómo Inyecciones SQL.

Además, 7 de los 10 plugins de e-commerce más populares contienen vulnerabilidades.

El efecto final es que se han descargado más de 8 millones de plugins WordPress vulnerables.

Algunos detalles del informe:

    • El 20% de los plugins WordPress más populares son vulnerables a ataques web habituales. Estos plugins son vulnerables a: Inyecciones SQL (SQLi), Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) y Path Traversal (PT).
    • 7 de los 10 plugins WordPress para e-commerce más populares son vulnerables a ataques web habituales. Esto conlleva que se han descargado más de 1,7 millones de plugins de e-commerce vulnerables. Estos plugins son vulnerables a SQLi, XSS, CSRF, RFI/ LFI y PT.
    • No hay relación directa entre el número de líneas de código (LOC) y el nivel de vulnerabilidad de los plugins
    • Solo 6 plugins solucionaron vulnerabilidades completamente en un periodo de 6 meses, a pesar de que todos los plugins se actualizaron a versiones superiores durante este mismo periodo.

Un par de tablas demoledoras del informe:

Vulnerabilidades 50 plugins más populares
Vulnerabilidades 50 plugins más populares
Vulnerabilidades 10 plugins ecommerce más populares
Vulnerabilidades 10 plugins ecommerce más populares

El estudio de Checkmarx avisa que esta es una situación alarmante y peligrosa. Los hackers puede explotar estos plugins vulnerables para acceder a información sensible, tales cómo datos de usuarios, detalles financieros (especialmente en plugins e-commerce) y otro tipo de información que faciliten los usuarios que se registren en sitios con plugins vulnerables.

Otras vulnerabilidades podrían permitir a los hackers tirar abajo webs o redirigirlas a sitios controlados por el hacker, tomando completamente el control de las webs vulnerables y añadiéndolas a una red zombi.

El informe aprovecha para hacer recomendaciones a webmasters y bloggers, que a los lectores de Ayuda WordPress ya os sonarán de lo pesadito que me pongo recordándolas:

  • Descarga plugins solo desde la web oficial de WordPress.org
  • Escanea cualquier plugin para detectar problemas de seguridad
  • Asegúrate que todos tus plugins están actualizados
  • Borra cualquier plugin que ya no uses

Y, para que no se te olvide, aquí tienes unos cuantos consejos de seguridad importantes:

Si quieres revisar el informe completo, titulado “Estado de la Seguridad de WordPress, los 50 principales plugins“, aquí te dejo un enlace de descarga directo …
[download id=»150″]

Y no, no dicen en el informe los nombres de los plugins vulnerables, aunque espero si se lo hayan comunicado a los desarrolladores. Si quieres, puedes adivinar unos cuantos en base a la descripción y al número de descargas que se indica en las tablas. Entre tanto nosotros a seguir los buenos consejos de seguridad de siempre.

Noticia original: Checkmarx

VALORA Y COMPARTE ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
(0 votos, promedio: 0)

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

5 comentarios en “El 20% de los plugins WordPress más populares son vulnerables”

    1. No lo dicen en el estudio porque avisaron directamente a los desarrolladores. Fíjate la cantidad de plugins relevantes que hace un par de semanas se actualizaron frente a ataques XSS, lo verá en el changelog 😉

  1. Tengo instalado el WP Firewall 2 y la semana pasada me reportó por email en pocos minutos 6 intentos de ataques. Por las url que intentaron acceder, algunos de los plugins comprometidos son:
    * WP Property
    * Pica Photo Gallery
    * Mac Dock Gallery
    * Is Human
    * Front End Upload
    * WP File Manager
    Y también intentaron hacer SQL-Injection con phppath/php. Desconozco qué es.

    Por suerte no tengo ningún plugin de esos y el WP Firewall 2 me reportó el intento de ataque.

    Saludos

  2. Coquito Flores

    En realidad todo esto de hackeo y vulnerabilidades parece sacado de peliculas de ciencia ficción, yo creo que hasta los mismo antivirus que instalas asi sean de web oficiales son virus, troyanos o keyloger que te sacan informacion de tus actividades para tenerte controlado y saber hasta el minimo movimiento que hagas con tu pc en internet.
    Estos programitas que supuestamente se encargan de cuidarte de los supuestos ataques y que te bloquean instalaciones no quieren competencia a la hora de instalarte un backdoor en tu pc, asi que muchachos no se dejen engañar con estos estudios que se publican en web que ni siquiera se sabe la seriedad que tienen, porque de ser asi el temor a los supuestos ataques los va a privar de probar o utilizar todo aquello que les permita tener un conocimiento por lo menos global de como funcionan las cosas en lo que respecta a informática.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Ir arriba Ir al contenido