El 20% de los plugins WordPress más populares son vulnerables

wordpress hacking

Un estudio de la firma Checkmarx ha desvelado que más del 20% de los 50 plugins WordPress más populares son vulnerables a ataques comunes cómo Inyecciones SQL.

Además, 7 de los 10 plugins de e-commerce más populares contienen vulnerabilidades.

El efecto final es que se han descargado más de 8 millones de plugins WordPress vulnerables.

Algunos detalles del informe:

    • El 20% de los plugins WordPress más populares son vulnerables a ataques web habituales. Estos plugins son vulnerables a: Inyecciones SQL (SQLi), Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) y Path Traversal (PT).
    • 7 de los 10 plugins WordPress para e-commerce más populares son vulnerables a ataques web habituales. Esto conlleva que se han descargado más de 1,7 millones de plugins de e-commerce vulnerables. Estos plugins son vulnerables a SQLi, XSS, CSRF, RFI/ LFI y PT.
    • No hay relación directa entre el número de líneas de código (LOC) y el nivel de vulnerabilidad de los plugins
    • Solo 6 plugins solucionaron vulnerabilidades completamente en un periodo de 6 meses, a pesar de que todos los plugins se actualizaron a versiones superiores durante este mismo periodo.

Un par de tablas demoledoras del informe:

Vulnerabilidades 50 plugins más populares

Vulnerabilidades 50 plugins más populares

Vulnerabilidades 10 plugins ecommerce más populares

Vulnerabilidades 10 plugins ecommerce más populares

El estudio de Checkmarx avisa que esta es una situación alarmante y peligrosa. Los hackers puede explotar estos plugins vulnerables para acceder a información sensible, tales cómo datos de usuarios, detalles financieros (especialmente en plugins e-commerce) y otro tipo de información que faciliten los usuarios que se registren en sitios con plugins vulnerables.

Otras vulnerabilidades podrían permitir a los hackers tirar abajo webs o redirigirlas a sitios controlados por el hacker, tomando completamente el control de las webs vulnerables y añadiéndolas a una red zombi.

El informe aprovecha para hacer recomendaciones a webmasters y bloggers, que a los lectores de Ayuda WordPress ya os sonarán de lo pesadito que me pongo recordándolas:

  • Descarga plugins solo desde la web oficial de WordPress.org
  • Escanea cualquier plugin para detectar problemas de seguridad
  • Asegúrate que todos tus plugins están actualizados
  • Borra cualquier plugin que ya no uses

Y, para que no se te olvide, aquí tienes unos cuantos consejos de seguridad importantes:

Si quieres revisar el informe completo, titulado “Estado de la Seguridad de WordPress, los 50 principales plugins“, aquí te dejo un enlace de descarga directo …
[download id=”150″]

Y no, no dicen en el informe los nombres de los plugins vulnerables, aunque espero si se lo hayan comunicado a los desarrolladores. Si quieres, puedes adivinar unos cuantos en base a la descripción y al número de descargas que se indica en las tablas. Entre tanto nosotros a seguir los buenos consejos de seguridad de siempre.

Noticia original: Checkmarx

AVISO: esta publicación es de hace dos años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

Valora este artículo para mejorar la calidad del blog ...

Al hacer una valoración se recoge una cookie con la IP de tu dispositivo

FlojitoNo está malEstá bienMe ha servidoFantástico (sin valoración aún)
Cargando…

Autor: Fernando Tellado

Fernando Tellado, apasionado de WordPress, profesor, consultor y ponente. Maquero cansino, padre de tres hijos y de una perrita Beagle, Bilbaíno de nacimiento, Español de corazón y ciudadano de donde me quieran. Autor del libro WordPress - La tela de la araña. Mi blog personal es Navegando con red, donde he crecido como escritor en la red y ofrezco mis visiones acerca de la Web 2.0 y la blogosfera.

Comparte esta entrada en
468 ad

Pin It on Pinterest