Uno de los sistemas de gestión de contenidos más utilizados sin lugar a dudas es WordPress. Mucho se ha discutido acerca de cuántos lo usan, y la compañía indica que más del 26% de los sitios de Internet se basan en su plataforma. Este porcentaje abarca webs corporativas, tiendas en línea o blogs.
Cuando pensamos en la facilidad que WordPress proporciona a la hora de gestionar los múltiples materiales generados y la diversidad de plugins existentes, tiene sentido que se haya transformado en uno de los CMS (por sus siglas en inglés Content Management System) más multitudinarios.
Quizá por eso, o por su capacidad de integrarse con múltiples complementos que posiblemente se convierten en distintos vectores de ataque, los ciberdelincuentes han puesto la mira en él, convirtiéndolo en su presa predilecta.
En consecuencia, es muy recomendable auditar la seguridad de tu blog si utiliza WordPress, para poder determinar si es vulnerable o no. A tal fin existen varias herramientas comerciales y gratuitas; hoy te mostraremos cómo usar una sumamente recomendable, llamada WPScan.
Tanto en Kali Linux como en algunas otras distribuciones alternativas, como BackBox Linux, Pentoo, SamuraiWTF o BlackArch, esta aplicación viene preinstalada. Lamentablemente para los usuarios de Microsoft, no es soportada en Windows, aunque siempre está la opción de ejecutarla desde una máquina virtual. De todos modos, si tienes problemas con la instalación en otra distribución puedes revisar los pre-requisitos desde su repositorio de Github.
Al iniciar la aplicación sin ningún tipo de parámetro se mostrará la siguiente pantalla, indicando cómo utilizarla:
El primer parámetro, –u, indicará el sitio que deseas auditar, pero antes es recomendable realizar una actualización a través de –update. De este modo, podrás encontrar fácilmente las últimas fallas de seguridad descubiertas e importadas a la herramienta.
Este es el caso de un sitio en el que se hallaron diversas vulnerabilidades alcanzando un número no menor de 33 con gravedad crítica. Es importante destacar que un atacante solo necesita una para poder eludir la seguridad de la plataforma.
En ocasiones, resulta muy útil listar los complementos vulnerables instalados; para ejecutar este comando deberás agregar a la línea anterior - - enumerate vp, como se ve en la siguiente pantalla:
Al analizar las vulnerabilidades es común encontrar las del tipo XSS, CSRF, inyecciones SQL o path traversal; como son críticas serán indicadas con color rojo, ya que son las más activamente explotadas por los atacantes. Naturalmente, estas vulnerabilidades son corregidas a partir de las actualizaciones de complementos o mediante la instalación de nuevas versiones del CMS, por lo que nunca debes retrasar la actualización de tu sitio.
Por otro lado, en algunas plataformas es posible listar los usuarios mediante el comando –enumerate u, como se observa en la siguiente imagen:
Al conocer los usuarios presentes, es posible realizar luego ataques de fuerza bruta mediante listas o diccionarios, que pueden generarse desde la misma aplicación o utilizando otra herramienta, como BruteWP. De esta forma se podrán detectar posibles agujeros de seguridad en lo que respecta a la lista de usuarios.
Es importante destacar en este caso específico el protagonismo que toman las contraseñas fuertes a la hora de proteger el sitio contra este tipo de ataques; si tienes dudas respecto a cómo generar una clave fuerte puedes mirar los consejos de este video:
Lógicamente, los portales no solamente están expuestos a vulnerabilidades conocidas, ya que también en muchos casos se han comprometido miles de sitios a través de 0-days en WordPress. Por otra parte, a nivel infraestructura también deberías auditar la seguridad de tu servidor, añadiendo así una capa más de seguridad.
Desde luego, esta es solamente una de las herramientas automatizadas que no pretende opacar las tareas manuales que también se desarrollan en la búsqueda de vulnerabilidades. Desde ESET Latinoamérica recomendamos la realización de servicios de auditoría, que brindan una mayor profundidad dependiendo de la necesidad de cada entorno.
Sigue leyendo: Cómo fortalecer la seguridad en WordPress