Noticias

Lo que hay que saber sobre las vulnerabilidades de WordPress de nivel medio


La mayoría de las vulnerabilidades de WordPress, alrededor del 67% de ellas descubiertas en 2023, están clasificadas como de nivel medio. Debido a que son los más comunes, tiene sentido comprender qué son y cuándo representan una amenaza real a la seguridad. Estos son los datos sobre ese tipo de vulnerabilidades que usted debe saber sobre ellas.

¿Qué es una vulnerabilidad de nivel medio?

Un portavoz de WPScan, una empresa de escaneo de seguridad de WordPress propiedad de Automattic, explicó que utilizan el Sistema de puntuación de vulnerabilidad común (Puntuaciones CVSS) para calificar la gravedad de una amenaza. Las puntuaciones se basan en un sistema de numeración del 1 al 10 y calificaciones de bajo, medio, alto y crítico.

El portavoz de WPScan explicó:

“No marcamos los niveles como la posibilidad de que ocurra, sino como la gravedad de la vulnerabilidad según el marco CVSS de FIRST. En términos generales, una puntuación de gravedad de nivel medio significa que la vulnerabilidad es difícil de explotar (por ejemplo, inyección SQL que requiere una cuenta con muchos privilegios) o que el atacante no gana mucho con un ataque exitoso (por ejemplo, un usuario no autenticado puede obtener la contenido de publicaciones de blogs privados).

Generalmente no vemos que se utilicen tanto en ataques a gran escala porque son menos útiles que las vulnerabilidades de mayor gravedad y más difíciles de automatizar. Sin embargo, podrían resultar útiles en ataques más dirigidos, por ejemplo, cuando una cuenta de usuario privilegiada ya se ha visto comprometida o un atacante sabe que algún contenido privado contiene información confidencial que le resulta útil.

Siempre recomendamos actualizar las extensiones vulnerables lo antes posible. Aún así, si la gravedad es media, entonces hay menos urgencia de hacerlo, ya que es menos probable que el sitio sea víctima de un ataque automatizado a gran escala.

Un usuario no capacitado puede encontrar el informe un poco difícil de digerir. Hicimos todo lo posible para que fuera lo más adecuado posible para todos los públicos, pero entiendo que sería imposible abarcar a todos sin que fuera demasiado aburrido o largo. Y lo mismo puede suceder con la vulnerabilidad reportada. El usuario que consuma el feed necesitaría algunos conocimientos básicos de la configuración de su sitio web para considerar qué vulnerabilidad necesita atención inmediata y cuál puede ser manejada por el WAF, por ejemplo.

Si el usuario sabe, por ejemplo, que su sitio no permite suscribirse. Todos los informes de vulnerabilidades del suscriptor+, independientemente del nivel de gravedad, pueden reconsiderarse. Suponiendo que el usuario mantiene una revisión constante de la base de usuarios del sitio.

Lo mismo ocurre con los informes de colaborador+ o incluso con los niveles de administrador. Si la persona mantiene una pequeña red de sitios de WordPress, las vulnerabilidades admin+ son interesantes para ella, ya que un administrador comprometido de uno de los sitios puede usarse para atacar al superadministrador”.

Vulnerabilidades a nivel de colaborador

Muchas vulnerabilidades de gravedad media requieren acceso a nivel de colaborador. Un colaborador es un rol de acceso que le da a ese usuario registrado la capacidad de escribir y enviar contenido, aunque en general no tiene la capacidad de publicarlo.

La mayoría de los sitios web no tienen que preocuparse por las amenazas a la seguridad que requieren autenticación a nivel de colaborador porque la mayoría de los sitios no ofrecen ese nivel de acceso.

Chloe Chamberland, líder de inteligencia de amenazas en Wordfence, explicó que la mayoría de los propietarios de sitios no deberían preocuparse por las vulnerabilidades de gravedad media que requieren acceso a nivel de colaborador para poder explotarlas porque la mayoría de los sitios de WordPress no ofrecen ese nivel de permiso. También señaló que este tipo de vulnerabilidades son difíciles de escalar porque explotarlas es difícil de automatizar.

Cloe explicó:

“Para la mayoría de los propietarios de sitios, las vulnerabilidades que requieren acceso de nivel de colaborador y superiores para explotar son algo de lo que no deben preocuparse. Esto se debe a que la mayoría de los sitios no permiten el registro a nivel de colaborador y la mayoría de los sitios no tienen colaboradores en su sitio.

Además, la mayoría de los ataques de WordPress están automatizados y buscan retornos de alto valor fáciles de explotar, por lo que es poco probable que vulnerabilidades como esta sean el objetivo de la mayoría de los actores de amenazas de WordPress”.

Editores de sitios web que deberían preocuparse

Chloe también dijo que los editores que ofrecen permisos a nivel de colaborador pueden tener varias razones para preocuparse por este tipo de exploits:

“La preocupación con los exploits que requieren acceso a nivel de colaborador para explotar surge cuando los propietarios de sitios permiten el registro a nivel de colaborador, tienen contribuyentes con contraseñas débiles o el sitio tiene otro complemento/tema instalado con una vulnerabilidad que permite el acceso a nivel de colaborador de alguna manera. y el atacante realmente quiere acceder a su sitio web.

Si un atacante puede obtener una de estas cuentas y existe una vulnerabilidad a nivel de contribuyente, entonces se le puede brindar la oportunidad de escalar sus privilegios y causar un daño real a la víctima. Tomemos, por ejemplo, una vulnerabilidad de secuencias de comandos entre sitios a nivel de colaborador.

Debido a la naturaleza del acceso a nivel de colaborador, es muy probable que un administrador obtenga una vista previa de la publicación para su revisión, momento en el que se ejecutará cualquier JavaScript inyectado; esto significa que el atacante tendría una probabilidad relativamente alta de éxito debido a que el administrador obtuvo una vista previa de la publicación. para publicación.

Al igual que con cualquier vulnerabilidad de secuencias de comandos entre sitios, esto se puede aprovechar para agregar una nueva cuenta de usuario administrativo, inyectar puertas traseras y, esencialmente, hacer cualquier cosa que un administrador del sitio pueda hacer. Si un atacante serio tiene acceso a una cuenta de nivel de colaborador y no tiene otra forma trivial de elevar sus privilegios, entonces probablemente aprovechará ese Cross-Site Scripting de nivel de colaborador para obtener más acceso. Como se mencionó anteriormente, probablemente no verá ese nivel de sofisticación dirigido a la gran mayoría de los sitios de WordPress, por lo que son los sitios de alto valor los que deben preocuparse por estos problemas.

En conclusión, si bien no creo que la gran mayoría de los propietarios de sitios deban preocuparse por las vulnerabilidades a nivel de contribuyente, sigue siendo importante tomarlas en serio. Si permite el registro de usuarios en ese nivel en su sitio, no exige una seguridad única. contraseñas de usuario y/o tienes un sitio web de WordPress de alto valor”.

Tenga en cuenta las vulnerabilidades

Si bien muchas de las vulnerabilidades de nivel medio pueden no ser algo de qué preocuparse, sigue siendo una buena idea mantenerse informado sobre ellas. Los escáneres de seguridad, como la versión gratuita de WPScan, pueden dar una advertencia cuando un complemento o tema se vuelve vulnerable. Es una buena manera de contar con un sistema de advertencia para estar al tanto de las vulnerabilidades.

Los complementos de seguridad de WordPress como Wordfence ofrecen una postura de seguridad proactiva que bloquea activamente los ataques de piratería automatizados y los usuarios avanzados pueden ajustarlos aún más para bloquear bots y agentes de usuario específicos. La versión gratuita de Wordfence ofrece una protección significativa en forma de firewall y escáner de malware. La versión paga ofrece protección para todas las vulnerabilidades tan pronto como se descubren y antes de que se parchee la vulnerabilidad. Utilizo Wordfence en todos mis sitios web y no puedo imaginarme configurando un sitio web sin él.

La seguridad generalmente no se considera un problema de SEO, pero debe considerarse como tal porque no proteger un sitio puede deshacer todo el esfuerzo realizado para que un sitio tenga una buena clasificación.

Imagen destacada de Shutterstock/Juan villa torres

hola@juanrecio.com

Author

hola@juanrecio.com

¡Utiliza la tecnología y la inteligencia artificial en tus proyectos! ¿Quieres saber cómo?