Consideraciones de Seguridad en sitios web generados con WordPress
Resumen de la ponencia sobre seguridad en WordPress presentada en BSides Chile 2018, analizando el alcance del problema en dominios .cl y recomendaciones de hardening.
Escrito por Daniel Danabue
WordPress es un gestor de contenidos (CMS) muy potente, así como bastante conocido y extendido. Precisamente por su popularidad y alcance, puede ser blanco de atacantes que lo ven como una oportunidad para llevar a cabo sus acciones delictivas sobre un gran número de páginas web.
A continuación, resumiré la destacable ponencia de Sebastián Vargas en la Conferencia BSides 2018 en Chile: WordPress, ¿cómo no ser un centro de control de malware?
Se calcula que de los 550 mil dominios .cl, unos 300 mil de ellos representan sitios construidos con WordPress (55 %). El alcance del problema a presentar es transversal en Chile, abarcando empresas privadas y públicas, instituciones varias —incluyendo de gobierno, salud y municipios—, blogs personales, empresas de marketing y desarrollo web, entre otros.
A nivel mundial, cerca de 77 millones de sitios web dependen de WordPress y este software ha tenido sobre 46 millones de descargas. WordPress también es popular por lo rápido y simple que es montar una página web y su facilidad de utilización por usuarios finales. Esto no quiere decir que el sitio web comience a operar seguro; más bien, al igual que gran parte del software, requiere fortalecer su configuración (hardening) y revisarla periódicamente para mejorar su nivel de seguridad.
A través de técnicas en motor de búsqueda en Google (Dorks), Sebastián nos ilustra que se obtienen 2,75 millones de resultados de páginas con dominio .cl que operan bajo WordPress, y casi 600 mil resultados de archivos de administración (wp-admin). Análogamente, se obtiene un número similar de resultados para sitios que poseen un problema de configuración de directorios o carpetas (wp-content). Adicionalmente, de una muestra analizada de 100 sitios WordPress, concluye que la mayoría no posee dicho hardening.
Como si esto fuera poco, Sebastián ilustra cómo sitios web generados con WordPress pueden pasar a formar un centro de envío de software malicioso. En efecto, sitios web vulnerados de otros países han sido utilizados para envío de malware hacia usuarios de Chile, y viceversa, lo que se ha notado, por ejemplo, en el aumento de campañas de phishing bancario. Más aún, un sitio comprometido puede almacenar sofisticado malware como el troyano bancario Emotet.
Situaciones como la descrita implican no solo impacto a nuestra organización por el sitio web vulnerado, sino que este pasa a formar parte de una red de ataque hacia otras organizaciones, en la cual dicho sitio adulterado pasa a ser “cómplice”, con las respectivas consecuencias y responsabilidades en cadena.
¿Por qué sucede esto?
Los sitios web pueden ser blanco de intentos de ataque a diario; si estos ataques logran su propósito, básicamente se debe a falta de hardening. Por ejemplo, contraseñas débiles de la cuenta de administrador de WordPress, o bien condiciones que permiten adulteración del sitio, colocando una puerta trasera (backdoor), entre otros.
Recomendaciones
Se mostraron algunas herramientas de análisis de seguridad que ayudan a diagnosticar y corregir las debilidades. Se presenta una serie de riesgos con recomendaciones generales y mínimas:
- Mantener actualizadas versiones de WordPress y sus plugins
- Controles sobre contraseñas y cuentas de usuario
Recomendaciones específicas:
- Proteger navegación de directorios abiertos (editando archivo .htaccess)
- Instalar plugins de seguridad
- Configurar cabeceras de seguridad
- Configurar archivo robots.txt
- Habilitar registro de logs
Para contribuir a este propósito, se puede consultar en detalle la Guía de Hardening sobre WordPress, aporte del autor de esta charla.