WordPress, el popular gestor de contenidos orientado a la creación de blogs, marca un antes y un después en su política de seguridad tras publicar la versión 3.7, nombre en clave «Basie«.
La principal característica es la capacidad de actualizaciones autónomas a partir de esta versión. WordPress no anunciará al administrador que hay actualizaciones disponibles sino que directamente se actualizará con los parches de mantenimiento y seguridad que se vayan publicando. Eso sí, existe una opción para filtrar según que tipo de actualización esté disponible. Por ejemplo, podremos decidir si también actualizamos los complementos y temas al igual que el núcleo de WordPress o dejar su actualización a nuestro cargo.
WordPress se suma así a la tendencia que popularizó Google Chrome: Actualizaciones transparentes al usuario. Un paso que no se ha dado sin motivación.
Recientemente, un estudio realizado por WP WhiteSecurity, determinó que más de un 70% sobre una base de más de 40.000 instalaciones eran vulnerables. Algunas versiones detectadas, como la 3.3.1, con hasta 24 vulnerabilidades sin parchear. Esto sin contar los innumerables complementos y temas con agujeros críticos de seguridad que permiten el compromiso del sitio con relativa facilidad. Como muestra: una búsqueda de exploits para WordPress en el sitio www.exploit-db.com devuelve 7 resultados para complementos y temas… tan solo en el mes de octubre, y la mayoría de ellos permite subir archivos de manera arbitraria o inyección ciega de código SQL.
Dentro de las estadísticas internas del equipo Antifraude de Hispasec, WordPress suele copar los primeros puestos de plataformas usadas para alojar malware o phishing, casi siempre, eso si, muy cerca de otro CMS popular: Joomla.
Otra característica interesante es la integración de la librería ‘zxcvbn’. Esta librería, escrita en su mayor parte en Coffescript, realiza un análisis de la contraseña con la que el usuario va a autenticarse en el sistema indicándole cuando esta es considerada débil. Esto servirá para paliar en parte la elección de contraseñas sencillas que favorecen las posibilidades de éxito en ataques de fuerza bruta, diccionario o híbridos sobre cuentas de usuarios.
Finalmente, en el documento de cambios, señalan también que se han solucionado más de 400 tickets de mantenimiento. Esta versión no incluye ningún parche de seguridad más allá de las mejoras comentadas.
Sin lugar a dudas una versión interesante desde el punto de vista de la seguridad que podría ayudar a acortar la ventana de exposición ante vulnerabilidades publicadas.
Más información:
WordPress 3.7 “Basie”
Version 3.7
Statistics Show Why WordPress is a Popular Hacker Target
realistic password strength estimation
David García
Twitter: @dgn1729
Deja una respuesta