Una campaña de malware reciente ha explotado una vulnerabilidad en el complemento Popup Builder de WordPress. Este incidente destaca la necesidad de mantener los complementos y aplicaciones web actualizados para protegerse contra ataques que buscan inyectar código malicioso.
Se estima que en todo el mundo existen, aproximadamente, más de 3 mil millones de páginas web. De ellas, también se estima que algo más del 40% están hechas con la tecnología de WordPress. Es decir, alrededor de 450 millones de sitios web están construidos con el popular CMS gratuito. Y, claro, cuando una tecnología es mainstream, siempre está en el punto de mira de los grupos organizados de hackers. No es nada nuevo.
Sin embargo, esta semana se ha producido un ataque a gran escala a páginas web en las que se usa un popular complemento para WordPress llamado Popup Builder que ha infectado a más de 9.000 sitios web.
En concreto, la vulnerabilidad era de tipo XSS almacenado. Es decir, los hackers inyectan un código en las páginas web que les permite ejecutar unos scripts en el navegador del usuario cuando visita una página comprometida, Esto les permite robar datos sensibles, redirigir a los usuarios a sitios maliciosos, o incluso tomar el control de la sesión del usuario.
Conocida como “Balada Injector”, esta infección masiva infectó, al principio, a más de 6.200 sitios web en una sola semana y a más de 3.000 sitios adicionales poco después, antes de que se aplicaran los parches de seguridad.
“Este incidente destaca la necesidad de mantener siempre todos los complementos y aplicaciones web actualizados para protegerse contra ataques que buscan inyectar código malicioso o cualquier otro fin con el que los hackers puedan robar o influir negativamente en la sociedad” advierte Hervé Lambert, Global Consumer Operations Manager de Panda Security.
¿En qué consiste el ataque?
El complemento Popup Builder, utilizado ampliamente en sitios de WordPress para crear ventanas emergentes, presentó una vulnerabilidad que permitía a los atacantes inyectar código malicioso en los sitios afectados. Los atacantes aprovecharon esta brecha de seguridad para instalar scripts maliciosos que podían robar información de los usuarios, redirigir el tráfico web a sitios fraudulentos y comprometer la integridad del sitio web infectado.
“Este ataque no solo comprometió la seguridad de los sitios web afectados, sino que también puso en riesgo la información personal de los usuarios que interactuaron con esos sitios. Los administradores de los sitios infectados tuvieron que enfrentarse a la tarea de limpiar sus sitios de los scripts maliciosos, restaurar la confianza de los usuarios y tomar medidas para fortalecer sus defensas cibernéticas.” explica Lambert.
¿Qué podemos aprender de todo esto?
La actualización constante o el monitoreo regular son solo algunas de las medidas que se pueden tomar para tratar de evitar este tipo de ciberdelincuencia. “Mantener todos los complementos actualizados así como los temas no es una cuestión baladí, dado que estas actualizaciones permiten corregir posibles vulnerabilidades” explica Lambert.
Otras medidas para tratar de evitar estas vulnerabilidades son:
- Instalación de plugins de seguridad: utilizar complementos de seguridad que puedan detectar y bloquear intentos de inyección de código y otros tipos de ataques.
- Copia de seguridad regular: realizar copias de seguridad regulares del sitio web para poder restaurar rápidamente los datos en caso de un ataque.
- Formación en ciberseguridad: educar a los administradores y desarrolladores sobre las mejores prácticas de ciberseguridad, incluyendo cómo detectar y responder a vulnerabilidades y ataques.
- Alertas y comunicaciones: suscribirse a alertas de seguridad de fuentes confiables para estar al tanto de las últimas amenazas y actualizaciones necesarias.
Los riesgos con otros complementos populares de WordPress
Popup Builder quizás sea el más sonado por novedad. Pero existen otros complementos del famoso CMS que son objetivo ideal -por su uso y popularidad- para los ciberdelincuentes.
“Este tipo de complementos son el objetivo ideal para los ciberdelincuentes por el gran número de instalaciones que reciben. Una única vulnerabilidad puede afectar a miles o incluso millones de sitios web, comprometiendo datos sensibles de usuarios y operaciones comerciales, lo que resulta muy goloso.” admite Hervé Lambert.
Entre los complementos más populares están WooCommerce, Yoast SEO y Contact Form 7. Se trata de complementos de WordPress con una base de datos de usuarios muy elevada. Por lo que una vulneración o robo de datos en estos complementos tiene un impacto mayor. “No se puede pasar por alto que, a pesar de que los desarrolladores de complementos populares suelen ser rápidos en emitir parches de seguridad. Siempre hay un riesgo de que algunos administradores de sitios web no actualicen sus complementos de manera oportuna, dejando abiertas brechas de seguridad que pueden ser explotadas.” comenta Lambert.
En estos casos, los métodos de ataque son variados. Pueden ir desde bots y scripts automatizados hasta el uso de la propia IA. “Los atacantes pueden utilizar bots y scripts automatizados para escanear la web en busca de instalaciones de WordPress con complementos vulnerables. Una vez identificadas, estas herramientas pueden lanzar ataques en masa de manera eficiente.” comenta Lambert, quien luego añade que la “IA puede ser utilizada para identificar y explotar vulnerabilidades de manera más rápida y eficaz, aumentando la escala y la sofisticación de los ataques.”. El phishing dirigido o las inyecciones de código son otras técnicas empleadas por los ciberdelincuentes.
El incidente con el complemento Popup Builder de WordPress es un recordatorio de la importancia de la ciberseguridad en el mantenimiento de sitios web. Las organizaciones y administradores de sitios deben estar vigilantes y proactivos en la gestión de sus sistemas para protegerse contra amenazas cibernéticas en constante evolución. Mantener el software actualizado, implementar medidas de seguridad adicionales y educar a los equipos son pasos esenciales para fortalecer la resiliencia frente a ataques cibernéticos.