Hace dos semanas se lanzó WordPress 4.7.2, y se aconsejó a los administradores que ejecutan versiones auto-alojadas del enormemente popular CMS que actualicen sus sistemas con urgencia. Lo que no sabíamos en ese momento era cuán importante era esta actualización.
La semana pasada, WordPress reveló con sigilo que la versión 4.7.2 incluía nada más ni nada menos que un parche para una vulnerabilidad crítica no divulgada. Si no se corregía, podía permitir a un atacante modificar el contenido de cualquier publicación o página en un sitio con WordPress.
El motivo por el cual la vulnerabilidad no se hizo pública cuando se lanzó WordPress 4.7.2 fue la genuina preocupación de que los cibercriminales intentaran explotarla, atacando a millones de blogs y sitios de compañías.
Investigadores de seguridad y reconocidas empresas de alojamiento de WordPress implementaron medidas antes de la divulgación pública con el fin de mitigar los ataques, y parecía que se había esquivado una bala —gracias, también, al hecho de que muchos blogs están configurados para actualizarse automáticamente, u ofrecen actualizaciones simples con solo un clic.
Sin embargo, ahora las cosas no parecen estar tan bien. Surgió evidencia de que los cibercriminales no tardaron demasiado en atacar luego de que circulara la noticia de la vulnerabilidad, y algunos investigadores reportaron que se estaban publicando y compartiendo múltiples exploits de carácter público a las 48 horas.
Desde Sucuri detallaron varias campañas de defacement (modificación del contenido de una página) que habían visto, incluyendo una que mostraba las palabras "by w4l3XzY3" en un gran número de sitios vulnerables.
Según resultados de búsqueda en Google, cerca de 100.000 páginas podrían haber sido víctimas de este defacement en particular.
Con toda probabilidad, hay bandas que se dedican al spam de SEO, dispuestas a explotar esta vulnerabilidad para intentar alterar los resultados de búsqueda de Google para su propio beneficio económico.
Si usas WordPress en algún sitio, debes tomarte la seguridad en serio, porque es un blanco predilecto de los cibercriminales. Entre otras cosas, esto significa que debes asegurarte de estar usando la versión más reciente del software y prestar atención a las alertas de seguridad.
Incluso si no puedes implementar actualizaciones en tu sitio público, deberías crear una infraestructura que te permita probar las nuevas versiones en forma segura y luego aplicarlas. Si no lo haces, corres el riesgo de que atacantes exploten un agujero de seguridad que ya deberías haber parcheado.
Sigue leyendo: Cómo fortalecer la seguridad en WordPress