Ataques a la Cadena de Suministro – Objetivo WordPress

Categorias: Wordpress

Ataques a la Cadena de Suministro - Objetivo WordPress

Desde hace varias semanas nos hemos encontrado con varias noticias que afectan directamente a la seguridad de varios plugins de WordPress.

Los usuarios descargaban e instalaban plugin desde el repositorio oficial de WordPress sin pensar en ningún momento que realizando esta acción se podía acabar con malware instalado en su WordPress.

A esto se le llama ataque a la cadena de suministros, en los que el usuario ya confía en el proveedor del plugin y no piensa que esta relación confianza pueda ser vulnerada o afectada de manera intencionada, bien por el creador del plugin, bien por un tercero que se ha hecho con el control.

Estamos hablando de WordPress y sus plugins, pero los ataques a la cadena de suministro se han convertido en una constante en 2017 y no parece que esto vaya a cambiar en 2018.


Cómo Funcionar un Ataque a la Cadena de Suministros

Los ataques a la cadena de suministro, Supply Chain Attack en inglés, funcionan realmente bien para el atacante, ya que con descubrir una sola vulnerabilidad pueden infectar a millones de usuarios, con todo lo que ello implica.

No es algo sencillo de conseguir, pero los esfuerzos de los atacantes pueden verse altamente recompensados, si consiguen romper la seguridad de una aplicación.

Si lo consiguen, sólo deben esperar a que los usuarios actualicen una aplicación que ya tienen instalada para acabar infectados.

El caso más famoso, quizás sea el de CCleaner, una famosa aplicación para mejorar el rendimiento de sistema operativo Windows, en la que los atacantes consiguieron introducir un malware en la actualización oficial de la aplicación.

Esto significa que cuando un usuario aceptaba la actualización, algo muy común y habitualmente recomendado, además de la actualización oficial instalaban el malware incluido por el atacante.

Según la propia empresa, se infectaron más de 2 millones de usuarios con este ataque, usuarios que tuvieron que eliminar la aplicación y volver a instalar una nueva versión de la misma corregida, además de revisar sus equipos en busca de posibles infecciones.

De ahí viene el nombre de ataca a la cadena de suministro, ya que el atacante no tiene como objetivo el usuario, si no la aplicación o servicio que el usuario utiliza y en la que confía.


WordPress como Objetivo de los Ataques a la Cadena de Suministro

WordPress como Objetivo de los Ataques a la Cadena de Suministro

Como hemos comentado en varias ocasiones, WordPress es el CMS más usado en el mundo, esto lo convierte, ya de por si, en un objetivo para los atacantes.

Otra de las ventajas de los atacantes a la cadena de suministros en WordPress es, precisamente, una sus mayores virtudes, los miles de plugins disponibles que existen.

WordPress ofrece un repositorio donde los desarrolladores pueden subir sus plugins para que los usuarios los instalen.

La instalación de estos plugins se puede hacer desde el propio WordPress, así que el usuario no tiene ningún motivo para desconfiar a la hora de instalar en el plugin que quiere instalar.

No lo descarga desde un foro de dudosa legalidad, ni desde un rincón oscuro de Internet, lo descargan desde la fuente oficial.

Si un atacante se hace con el control del plugin, e instala su malware, todos los usuarios que instalen el plugin acabarán infectados.

Ya nos hemos encontrado con algunos casos de plugins infectados en el repositorio de WordPress:

WordPress tiene un equipo de seguridad que revisa los plugins, pero el máximo responsable es el desarrollador del propio plugin y al ser un repositorio abierto, el control inmediato de todos los plugins es virtualmente imposible.

Como hemos comentado, no parece que esto vaya a cambiar en 2018, si no todo lo contrario y posiblemente, salgan a la luz más casos de plugins de WordPress infectados.

Cómo Protegerse de los Ataques a la Cadena de Suministros en WordPress

Cómo Protegerse de los Ataques a la Cadena de Suministros en WordPress

Al no ser el propio usuario en objetivo principal del atacante, la protección es algo más complicado.

Desde Hostinet, siempre animamos a nuestros clientes a que mantengan actualizados los complementos, themes plugins, etc…, ya que las actualizaciones suelen solucionar agujeros de seguridad.

Pero si un plugin es infectado desde el origen y el usuario actualiza acabará infectado.

Si el plugin es usado de manera masiva y el autor del plugin es activo, actualiza con regularidad, no cambia de manos, etc…, ya se tiene mucho ganado. Y en caso de vulnerabilidad, el autor del plugin podrá identificar y resolver el problema en un corto espacio de tiempo.

Hay que desconfiar de los plugins que llevan mucho tiempo si actualizarse, ya que suelen indicar un plugin abandonado por su autor y, por tanto, cualquier ataque al plugin es posible que no sea detectado. Mejor buscar otra alternativa.

no usar plugins de WordPress si no están actualizados

Tampoco hay que ignorar los avisos de WordPress de cuando un plugin ha sido eliminado de su repositorio. Esto suele ser porque han detectado algún problema en el mismo, así que si tenemos instalado un plugin que ha sido eliminado, lo mejor es eliminarlo hasta que el desarrollador solucione el problema.


Hostinet y la Seguridad de sus Clientes

En Hostinet revisamos los alojamientos web de nuestros clientes en busca de cualquier tipo de código malicioso que se haya podido instalar en cualquier sitio web, sea WordPress, cualquier otro gestor de contenidos o un simple archivo PHP.

En caso de detectar cualquier amenaza, se ponen en cuarentena los archivos infectados y se avisa al cliente para que tome las medidas oportunas para solucionar el problema.

De esta manera, aunque se tenga un problema de seguridad al instalar algún plugin o complemento, los clientes de Hostinet tiene este punto de seguridad a su favor para solucionar el problema cuanto antes.

Además, disponemos de planes de hosting WordPress SSD, con soporte técnico especializado, cPanel, certificados SSL gratuitos y muchas otras características:

Hosting WordPress


Síguenos en nuestras redes sociales: Facebook y Twitter @hostinet