Ataques a la cadena de suministro de WordPress: ¿qué son y cómo prevenirlos?

WordPress es el sistema de gestión de contenidos más popular, atrayendo a muchos hackers que quieren aprovechar un ecosistema tan rico para su beneficio. Los ataques a la cadena de suministro de WordPress son uno de los métodos que utilizan para obtener acceso remoto no autorizado a sitios web.

Aunque no son tan utilizados como XSS o inyecciones SQL, los ataques a la cadena de suministro pueden ser igualmente o más insidiosos al infiltrarse en las fuentes que consideramos seguras: el software que potencia los plugins y temas que hacen que nuestro sitio funcione.

Este artículo explora los ataques a la cadena de suministro de WordPress, sus consecuencias y qué podés hacer como dueño de un sitio web para prevenirlos.

¿Qué son los ataques a la cadena de suministro de WordPress?

En ciberseguridad, los ataques a la cadena de suministro buscan los servicios, software o hardware en los que las empresas confían para operar. Estos servicios, software o hardware son parte de la cadena de suministro de la empresa, y al interrumpirlos, se reduce la capacidad de la empresa para funcionar eficientemente.

En WordPress, un ataque a la cadena de suministro se refiere a ciberataques dirigidos a plugins y temas populares. Una vez que encuentran una vulnerabilidad que pueden explotar en un plugin o tema popular, los hackers pueden instalar puertas traseras en los sitios web que tienen instalados esos componentes de software. Desde allí, pueden realizar ataques de spam SEO, tomar control de cuentas de administrador y más.

Ejemplos recientes de ataques a la cadena de suministro de WordPress

Ha habido un aumento global en ataques a la cadena de suministro en los últimos años. Algunos expertos creen que la mejora general de las medidas de ciberseguridad ha impulsado este aumento. Con sitios mejor protegidos, los hackers pueden optar por atacar indirectamente a sus objetivos a través de su cadena de suministro en lugar de enfrentarlos directamente.

Independientemente de las causas, estos son tres de los ataques a la cadena de suministro de WordPress más significativos que han ocurrido recientemente:

• Puerta trasera de Pipdig. En marzo de 2019, se reveló que el plugin Pipdig Power Pack contenía una puerta trasera que permitía al autor del plugin acceder y modificar sitios de WordPress afectados remotamente.
• Vulnerabilidad de WP GDPR Compliance. En noviembre de 2018, se descubrió que el plugin WP GDPR Compliance contenía una vulnerabilidad que permitía a los hackers inyectar código malicioso en sitios de WordPress.
• Puertas traseras de AccessPress Themes. AccessPress fue un desarrollador de plugins y temas de WordPress que sufrió un ataque a la cadena de suministro a finales de 2021 pero fue detectado a principios de 2022. Se estima que 93 plugins y temas fueron comprometidos. Como resultado, los sitios web que instalaron alguno de ellos tenían alta probabilidad de sufrir ataques de puertas traseras.

En estos casos y muchos más, verás un patrón: la vulnerabilidad que expuso los sitios web a los ataques vino “empaquetada” con un componente de software necesario para su operación normal. Esto define un ataque a la cadena de suministro de WordPress, infiltrando sitios web a través de una fuente aparentemente confiable como un desarrollador de plugins o temas.

¿Cómo ocurren los ataques a la cadena de suministro de WordPress?

Los ataques a la cadena de suministro son una vulnerabilidad de ciberseguridad muy antigua y particularmente difícil de contrarrestar. Ocurren cuando actores maliciosos como hackers inyectan código malicioso en un software o hardware de una fuente de confianza. En el contexto de WordPress, los hackers solo pueden interceptar componentes de software ya que no hay intercambio de equipo de hardware.

Una vez que los hackers han identificado una fuente popular que les da acceso a cientos o miles de sitios, introducen malware en los paquetes de software legítimos del objetivo. En el caso de AccessPress Themes, los hackers introdujeron un archivo llamado “initial.php” en el directorio principal del tema. El archivo se autodestruyó después de descargar una carga maliciosa.

Usando métodos como estos, los hackers garantizan que siempre que un usuario descargue e instale una pieza de software infectada, se exponga inadvertidamente a un ciberataque.

¿Cómo afectan los ataques a la cadena de suministro de WordPress a los sitios web y usuarios?

Los ataques a la cadena de suministro pueden afectar negativamente tanto a los dueños de sitios web como a sus fuentes en la cadena de suministro. Algunos de los más significativos incluyen los siguientes:

• Pérdida de datos. Los sitios web infectados son más vulnerables a brechas, lo que los expone a perder información confidencial y sensible como datos de clientes, información financiera o propiedad intelectual.
• Vulnerabilidad a ataques futuros. Una vez que el código malicioso crea puertas traseras en un sitio web, el sitio es más vulnerable a futuros ataques. Los posibles ataques futuros incluyen la propagación de malware o spam SEO a los usuarios y ser utilizado para participar en ataques DDoS.
• Daño reputacional. Las brechas que impiden a tu audiencia usar tus servicios pueden perjudicar tu marca, y los usuarios pueden ser menos propensos a confiar en vos en el futuro.
• Pérdidas financieras. Ciertos tipos de empresas, como las de servicios financieros, no pueden permitirse estar fuera de línea debido a un ataque causado por una infiltración en la cadena de suministro.
• Consecuencias legales. Dependiendo de dónde esté tu empresa, podrías ser vulnerable a consecuencias legales si tu sitio web sufre una brecha que expone los datos confidenciales de otras personas. Tu empresa podría sufrir multas y demandas.
• Sentimiento de intranquilidad y paranoia. Los dueños de sitios web que son víctimas de ataques a la cadena de suministro pueden encontrar más difícil confiar en los desarrolladores después de experimentar estas consecuencias.

Los ataques a la cadena de suministro pueden tener graves consecuencias para el proveedor (en el contexto de WordPress, el desarrollador), los sitios web que instalaron el componente de software y los usuarios cuya información puede estar expuesta.

¿Cómo prevenir los ataques a la cadena de suministro de WordPress?

Proteger tu sitio de ataques a la cadena de suministro puede ser difícil porque operan contaminando fuentes de confianza. Sin embargo, aún hay medidas que podés tomar para prevenirlos.

Revisá cuidadosamente tus plugins y temas

Dado que los ataques a la cadena de suministro de WordPress se originan en tus plugins y temas, la mejor medida para prevenirlos es examinar rigurosamente cada plugin y tema que planeás instalar. Considerá lo siguiente al explorar plugins y temas:

• Calificaciones y reseñas. Revisá las calificaciones y reseñas del plugin o tema en el directorio. Mirá las reseñas para ver si algún usuario se queja de problemas de seguridad o funcionalidad.
• Reputación del desarrollador. Explorá calificaciones y reseñas pasadas de otras contribuciones del desarrollador. Determiná si su trabajo es considerado confiable y de alta calidad.
• Frecuencia de actualizaciones. Los plugins que se actualizan regularmente son más seguros porque el o los desarrolladores están monitoreando activamente y contrarrestando vulnerabilidades de seguridad.
• Revisá el código fuente. Si sabés programar y tenés experiencia con el desarrollo de plugins o temas, revisá el código fuente para verificar que no contenga código sospechoso o malicioso. Los repositorios públicos como GitHub son un buen punto de partida.
• Descargá solo de sitios confiables. Los sitios confiables generalmente son gestionados por el desarrollador o WordPress mismo. Aunque los sitios confiables han demostrado ser vulnerables en el pasado, siguen siendo la fuente más segura para tu software.

Mantené actualizado WordPress, plugins y temas

Cuando se detecta una vulnerabilidad como una puerta trasera inyectada en un plugin o tema, los expertos recomiendan desactivar el componente y solo activarlo nuevamente si el desarrollador lanza un parche que elimine la vulnerabilidad. Es fundamental estar al tanto de las vulnerabilidades conocidas en los plugins y temas que instalás y actualizarlos lo antes posible.

Por otro lado, aunque los archivos centrales de WordPress rara vez son la fuente de ataques a la cadena de suministro, ha sucedido, como en las versiones 4.7.0 y 4.7.1. La vulnerabilidad crítica fue parcheada en la versión 4.7.2.

Mantener tus archivos principales y componentes actualizados protege tu sitio de ataques conocidos.

Recuperá un respaldo o reinstalá WordPress

Esta es una medida reactiva, pero vale la pena considerarla.

Crear respaldos es un elemento esencial de la seguridad de WordPress. Hacer respaldos regularmente te permite tener múltiples versiones de tu sitio web disponibles para restauración. De esta manera, podés restaurar tu sitio al momento en que no estaba infectado por un ataque a la cadena de suministro o cualquier otra vulnerabilidad de seguridad.

Sin embargo, este enfoque requiere que sepas cuándo ingresó la vulnerabilidad a tu entorno de WordPress para restaurar tu sitio a un punto anterior a ese momento. Esto puede no ser siempre posible para vulnerabilidades que han estado presentes en tu sitio durante períodos prolongados. Además, perderás cualquier información añadida al sitio desde ese último respaldo, así que considerá si es conveniente.

Otra opción es reinstalar completamente WordPress para eliminar todos los archivos maliciosos de tus archivos centrales, incluidos aquellos de los que podrías no tener conocimiento.

Conclusión

Los ataques a la cadena de suministro de WordPress son un ciberataque dirigido a plugins y temas populares. Su objetivo es insertar malware o puertas traseras que permitan a los atacantes comprometer cientos o incluso miles de sitios web al mismo tiempo.

Los atacantes utilizan componentes de software legítimos para explotar vulnerabilidades y ganar acceso a un sitio web, resultando en consecuencias significativas para los dueños de sitios web, incluyendo pérdida de datos, ataques futuros, daño reputacional, pérdidas financieras y consecuencias legales.

Para prevenir ataques a la cadena de suministro de WordPress, los dueños de sitios web deberían:

• Revisar cuidadosamente sus plugins y temas.
• Elegir solo sitios confiables para descargar sus plugins y temas.
• Mantener actualizados los plugins, temas y archivos centrales de WordPress.

Al tomar estos pasos, protegerás tu sitio y reducirás el riesgo de brechas de seguridad informática.

Si te resultó útil este artículo, leé nuestro blog para más perspectivas, guías y consejos sobre WordPress.