Más de 4 millones de páginas webs elaboradas con WordPress se han visto afectadas por un ciberataque.
El foco ha estado en SSL, un complemento de seguridad que utilizan miles de webs tanto gratuitas como de pago elaboradas con WordPress. El ciberataque ha permitido a los delincuentes acceder como administradores en aquellas cuentas con la autentificación en dos factores activada, teniendo acceso a datos privados de los usuarios.
El fallo en este caso radica en una vulnerabilidad del plugin «Really Simple Security» (anteriormente conocido como «Really Simple SSL»), que permite a los atacantes eludir las restricciones de autenticación del complemento.
Esto les otorga acceso administrativo a los sitios afectados, explotando la falta de validaciones en el manejo de solicitudes. Como resultado, los cibercriminales pueden controlar completamente los sitios vulnerables, modificar contenido, robar datos sensibles o deshabilitar medidas de seguridad, comprometiendo tanto la privacidad de los usuarios como la estabilidad del sistema.
“Cualquier dato es valioso para robar, por muy pequeña que sea la web”, explica Sancho Lerena, CEO de Pandora FMS, tecnológica española especializada en seguridad y gestión IT. “Hay datos que reconocen que el 97% de brechas de seguridad en webs se aprovechan de los complementos que se instalan con WordPress”, subraya.
La popularidad de WordPress y de este plugin de seguridad aumenta la gravedad del ciberataque, que ha afectado a millones de usuarios permitiendo el acceso remoto a las webs que lo utilizan por parte de usuarios no identificados. De hecho, desde WordPress se considera uno de los ataques más graves recibidos en toda su historia.
Este plugin, curiosamente, servía para reforzar la seguridad a la hora de navegar con una mejor autentificación además de permitir detectar vulnerabilidades en tiempo real. Sin embargo, su fallo ha provocado todo lo contrario.
“Es una muestra de que hay que tomarse la ciberseguridad muy en serio, aunque haya plataformas como WordPress que ofrecen plugins de estas características”, indica Lerena.
Además, según datos de Techopedia, el 94% de los plugins maliciosos instalados entre 2012 y 2021 estaban activos en más de 24.000 sitios de WordPress.
Cabe recordar que hace unos meses pasó algo similar con la caída de CrowdStricke en Windows, que dejó sin actividad a millones de empresas en todo el planeta. En este caso, una mala actualización hizo caerse todos los sistemas. Sin embargo, como en el caso de WordPress, una herramienta de ciberseguridad acaba suponiendo un perjuicio.
“Debemos empezar a diversificar los complementos de ciberseguridad. Hay sistemas que se adaptan a cada estructura y que son también económicos. No es suficiente depender de un solo ‘escudo’ y menos cuando es tan mayoritario, porque cuando cae te deja sin reacción”, explica Lerena.
Según el CEO de la compañía, hoy en día ya existen sistemas de seguridad que monitorizan la situación de cada infraestructura, adelantándose a un fallo generalizado y con un menor riesgo de colapsar al ser una solución adaptada a esa propia compañía, no a miles más.