¿Por qué debemos mantener actualizado WordPress?
De salida, si somos usuarios de WordPress en cualquiera de sus formas, WordPress, siempre tiene que estar actualizado, core, plugins y themes.
En la actualidad y desde hace unas semanas no han parado de salir múltiples formas de explotar WordPress, ya sea a través de plugins o del propio WordPress, que hace que el tener actualizado WordPress y sus componentes, no solo es una necesidad, en estos momentos una obligación y prioridad si queremos que nuestras instalaciones estén a salvo de esta «marea».
Si hacemos un recorrido por las última semanas nos encontramos, magnificación de ataques de fuerza en bruto al API XLM-RPC , no es que este ataque sea nuevo, pero en esta ocasión se cumplen dos excepcionalidades, la primera es la magnitud, es un tsunami de ataques al login de WordPress y la segunda es que utilizan un nuevo método, el objetivo sacar tus credenciales y apoderarse de tu WordPress.
La campaña VisitorTracker, este malware se ha apoderado de miles de WordPress aprovechando vulnerabilidades en plugins sin actualizar como Graviti Forms, RevSlider, Contact-Form, MailPoet y algunos mas para inyectar código malicioso y redireccionar urls con destinos a sitios infectados, una joyita.
A nivel plugins, los mas sonados con vulnerabilidades han sido, Jetpack y Akismet, con varios bugs de seguridad, en el caso de Akismet lanzaron una actualización automática y si encuentra la vulnerabilidad en el plugin lo actualiza automáticamente sin tu intervención a la última versión, de todas formas se aconseja revisar si tienes el plugin actualizado.
Otro de los peliagudos, ha sido la actualización de seguridad del plugin Visual Composer del marketplace Envato, aquí volvemos al eterno debate de los plugins insertados de serie en los themes, el usuario del plugin individual ha podido actualizar desde Envato, pero este popular plugin va de serie en muchos themes de themeforest y aunque Envato se encargo de coordinar a usuarios y desarrolladores, la cosa dará que hablar en el futuro al igual que ocurrió con RvSlider, muchos, se quedarán desactualizados.
Para hacernos una idea, de como está el panorama podemos visitar sitios como WPScan y ver los listados de WordPress, plugins y themes o visitar el Blog de Sucuri, donde encontraréis información mas detallada sobre muchos de los plugins y ataques mencionados.
Pero no todo van a ser malas noticias, porque la comunidad WordPress es muy grande y por ejemplo para prevenir los ataques XML-RPC ya hay mucha información de como protegerse, diariamente los desarrolladores de plugins de seguridad están actualizando sus plugins para mejorarlos y mitigar este tipo de ataques, como NinjaFirewall WP Edition y Wordfence.
Para todas las vulnerabilidades de JetPack, Akismet, Visual Composer ha sacado nuevas versiones rápidamente que resuelven los bugs de seguridad.
Luego está tu parte, revisar tu WordPress habitualmente para comprobar que todo está actualizado y en orden, esta es la mejor manera de proteger tus instalaciones, no descuidarlas, mas del 90% de WordPress hackeados son por tenerlos desactualizados, eso se puede evitar fácilmente llevando un mantenimiento regular de tu WordPress.
Así que ya lo sabes, revisa tu WordPress ahora mismo y ponlo al día sin mas dilación, la ocasión lo requiere. ;)
Porque tener tu WordPress al día, también es hacer y formar parte de la Comunidad WordPress Segura.