WordPress Sigue siendo el sistema de gestión de contenidos (CMS) más utilizado, ocupando el 63,3% de la cuota de mercado total. Con aproximadamente 810 millones de sitios web operando a través de esta plataforma, su sencillez en la gestión de contenidos y la versatilidad que ofrecen sus numerosos complementos la convierten en una poderosa herramienta. Sin embargo, esta popularidad también atrae a los atacantesque aprovechan las vulnerabilidades de WordPress para realizar ataques.
En el periodo comprendido entre 2023 y 2024, se reportaron 5.948 vulnerabilidades en WordPress, de las cuales el 97% provinieron de complementos, el 3% de temas y solo el 0,2% del núcleo de WordPress. Aunque las vulnerabilidades principales son de bajo nivel, los complementos representan la amenaza de seguridad más importante. Dentro de este tipo de vulnerabilidades destacan las siguientes: Las 10 principales vulnerabilidades de WordPress en 2024:
1. Secuencias de comandos entre sitios (XSS)
Con 3.171 incidentes, XSS es la vulnerabilidad más común y representa el 53,3% de las nuevas vulnerabilidades de seguridad de WordPress. Esta técnica permite a los atacantes inyectar scripts maliciosos en las páginas de WordPress, lo que puede provocar el secuestro de sesiones, la desconfiguración del sitio web o el robo de datos de los visitantes.
2. Falsificación de solicitudes entre sitios (CSRF)
CSRF, con 1.098 vulnerabilidades reportadas, permite a los atacantes engañar a los visitantes para que realicen acciones no deseadas en aplicaciones web autenticadas, como transacciones no autorizadas o manipulación de datos.
3. Control de acceso defectuoso
Este tipo de vulnerabilidad, con 767 advertencias, ocurre cuando la aplicación no impone un nivel adecuado de restricciones a los usuarios autenticados, permitiendo el acceso a datos sensibles.
4. Inyección SQL
Con 266 vulnerabilidades reportadas, esta técnica permite a los atacantes enviar código de recuperación de datos SQL al servidor para acceder sin restricciones al servidor de la base de datos.
5. Exposición de datos sensibles
Reportada 119 veces, esta vulnerabilidad surge del manejo inadecuado de datos personales y sensibles, poniendo en riesgo el cumplimiento de las normas de manejo de datos.
6. Transferencia arbitraria de archivos
Los atacantes pueden manipular cargas útiles o solicitudes POST para ejecutar archivos arbitrarios en el proceso del servidor web, lo que podría resultar en la ejecución de malware diseñado o la filtración de datos confidenciales.
7. Escalada de privilegios
Este tipo de vulnerabilidad permite a un atacante, que inicialmente accede a una cuenta de bajo nivel, escalar privilegios para acceder a recursos de nivel administrativo.
8. Inyección de objetos PHP
La inyección de objetos PHP permite a los atacantes realizar ataques como inyección de código, inyección SQL y denegación de servicio mediante la inyección de código PHP arbitrario.
9. Evitar la vulnerabilidad
Esta falla permite a los actores de amenazas eludir los mecanismos de autenticación del sitio, lo que podría permitirles realizar acciones restringidas o restablecer contraseñas para obtener acceso no autorizado a cuentas de WordPress.
10. Falsificación de solicitudes del lado del servidor (SSRF)
Los atacantes pueden abusar del servidor de alojamiento de WordPress para acceder o modificar recursos que no deberían estar expuestos al público.
Causas de las vulnerabilidades de WordPress
Mantener un sitio de WordPress y comprender los aspectos de seguridad relacionados con sus componentes puede ser un desafío para los administradores de sitios web. Las vulnerabilidades son a menudo debido a software inseguro, complementos y temas obsoletosCredenciales y mecanismos de autenticación débiles, proveedores de alojamiento poco confiables y roles de usuario mal configurados.
Para disfrutar de forma segura de los beneficios de WordPress como CMS para sitios web o blogs, es esencial actualizar periódicamente el núcleo, los complementos y los temas de WordPress. También es fundamental utilizar credenciales sólidas y administrar adecuadamente las copias de seguridad y la configuración del servidor.
