Ataques a la Cadena de Suministro – Objetivo WordPress

Categorias: Wordpress

Ataques a la Cadena de Suministro - Objetivo WordPress

Desde hace varias semanas nos hemos encontrado con varias noticias que afectan directamente a la seguridad de varios plugins de WordPress.

Los usuarios descargaban e instalaban plugin desde el repositorio oficial de WordPress sin pensar en ningún momento que realizando esta acción se podía acabar con malware instalado en su WordPress.

A esto se le llama ataque a la cadena de suministros, en los que el usuario ya confía en el proveedor del plugin y no piensa que esta relación confianza pueda ser vulnerada o afectada de manera intencionada, bien por el creador del plugin, bien por un tercero que se ha hecho con el control.

Estamos hablando de WordPress y sus plugins, pero los ataques a la cadena de suministro se han convertido en una constante en 2017 y no parece que esto vaya a cambiar en 2018.


Cómo Funcionar un Ataque a la Cadena de Suministros

Los ataques a la cadena de suministro, Supply Chain Attack en inglés, funcionan realmente bien para el atacante, ya que con descubrir una sola vulnerabilidad pueden infectar a millones de usuarios, con todo lo que ello implica.

No es algo sencillo de conseguir, pero los esfuerzos de los atacantes pueden verse altamente recompensados, si consiguen romper la seguridad de una aplicación.

Si lo consiguen, sólo deben esperar a que los usuarios actualicen una aplicación que ya tienen instalada para acabar infectados.

El caso más famoso, quizás sea el de CCleaner, una famosa aplicación para mejorar el rendimiento de sistema operativo Windows, en la que los atacantes consiguieron introducir un malware en la actualización oficial de la aplicación.

Esto significa que cuando un usuario aceptaba la actualización, algo muy común y habitualmente recomendado, además de la actualización oficial instalaban el malware incluido por el atacante.

Según la propia empresa, se infectaron más de 2 millones de usuarios con este ataque, usuarios que tuvieron que eliminar la aplicación y volver a instalar una nueva versión de la misma corregida, además de revisar sus equipos en busca de posibles infecciones.

De ahí viene el nombre de ataca a la cadena de suministro, ya que el atacante no tiene como objetivo el usuario, si no la aplicación o servicio que el usuario utiliza y en la que confía.


WordPress como Objetivo de los Ataques a la Cadena de Suministro

WordPress como Objetivo de los Ataques a la Cadena de Suministro

Como hemos comentado en varias ocasiones, WordPress es el CMS más usado en el mundo, esto lo convierte, ya de por si, en un objetivo para los atacantes.

Otra de las ventajas de los atacantes a la cadena de suministros en WordPress es, precisamente, una sus mayores virtudes, los miles de plugins disponibles que existen.

WordPress ofrece un repositorio donde los desarrolladores pueden subir sus plugins para que los usuarios los instalen.

La instalación de estos plugins se puede hacer desde el propio WordPress, así que el usuario no tiene ningún motivo para desconfiar a la hora de instalar en el plugin que quiere instalar.

No lo descarga desde un foro de dudosa legalidad, ni desde un rincón oscuro de Internet, lo descargan desde la fuente oficial.

Si un atacante se hace con el control del plugin, e instala su malware, todos los usuarios que instalen el plugin acabarán infectados.

Ya nos hemos encontrado con algunos casos de plugins infectados en el repositorio de WordPress:

WordPress tiene un equipo de seguridad que revisa los plugins, pero el máximo responsable es el desarrollador del propio plugin y al ser un repositorio abierto, el control inmediato de todos los plugins es virtualmente imposible.

Como hemos comentado, no parece que esto vaya a cambiar en 2018, si no todo lo contrario y posiblemente, salgan a la luz más casos de plugins de WordPress infectados.

Cómo Protegerse de los Ataques a la Cadena de Suministros en WordPress

Cómo Protegerse de los Ataques a la Cadena de Suministros en WordPress

Al no ser el propio usuario en objetivo principal del atacante, la protección es algo más complicado.

Desde Hostinet, siempre animamos a nuestros clientes a que mantengan actualizados los complementos, themes plugins, etc…, ya que las actualizaciones suelen solucionar agujeros de seguridad.

Pero si un plugin es infectado desde el origen y el usuario actualiza acabará infectado.

Si el plugin es usado de manera masiva y el autor del plugin es activo, actualiza con regularidad, no cambia de manos, etc…, ya se tiene mucho ganado. Y en caso de vulnerabilidad, el autor del plugin podrá identificar y resolver el problema en un corto espacio de tiempo.

Hay que desconfiar de los plugins que llevan mucho tiempo si actualizarse, ya que suelen indicar un plugin abandonado por su autor y, por tanto, cualquier ataque al plugin es posible que no sea detectado. Mejor buscar otra alternativa.

no usar plugins de WordPress si no están actualizados

Tampoco hay que ignorar los avisos de WordPress de cuando un plugin ha sido eliminado de su repositorio. Esto suele ser porque han detectado algún problema en el mismo, así que si tenemos instalado un plugin que ha sido eliminado, lo mejor es eliminarlo hasta que el desarrollador solucione el problema.


Hostinet y la Seguridad de sus Clientes

En Hostinet revisamos los alojamientos web de nuestros clientes en busca de cualquier tipo de código malicioso que se haya podido instalar en cualquier sitio web, sea WordPress, cualquier otro gestor de contenidos o un simple archivo PHP.

En caso de detectar cualquier amenaza, se ponen en cuarentena los archivos infectados y se avisa al cliente para que tome las medidas oportunas para solucionar el problema.

De esta manera, aunque se tenga un problema de seguridad al instalar algún plugin o complemento, los clientes de Hostinet tiene este punto de seguridad a su favor para solucionar el problema cuanto antes.

Además, disponemos de planes de hosting WordPress SSD, con soporte técnico especializado, cPanel, certificados SSL gratuitos y muchas otras características:

  • WordPress 1 Hosting especializado en WordPress con discos SSDdesde 4 ´38 €/mes
  • WordPress 2 Hosting especializado en WordPress con discos SSDdesde 5 ´54 €/mes
  • WordPress 3 Hosting especializado en WordPress con discos SSDdesde 8 ´34 €/mes
  • WordPress 1 Hosting especializado en WordPress con discos SSDdesde 4 ´38 €/mes
  • WordPress 2 Hosting especializado en WordPress con discos SSDdesde 5 ´54 €/mes
  • WordPress 3 Hosting especializado en WordPress con discos SSDdesde 8 ´34 €/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11,95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11,95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11,95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14,95 € al año AQUIPuedes contratar tu certificado SSL por solo 14,95 € al año AQUIPuedes contratar tu certificado SSL por solo 14,95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!

Síguenos en nuestras redes sociales: Facebook y Twitter @hostinet

  >>> HAZ CLICK AQUÍ PARA SUSCRIBIRTE GRATIS A NUESTRA NEWSLETTER!!! <<< 


VN:F [1.9.22_1171]
Rating: 0.0/5 (Votos: 0)

¿NECESITAS AYUDA? Llama a nuestro soporte técnico 946 545 762

De Lunes a Viernes de 08:00 a 20:00 horas.


¡¡SOLO PARA TI!! Aprovéchate Ahora ...

¡¡Descubre los Mejores Artículos de Expertos en Tecnología!!

-

¡¡Descubre los mejores Artículos de Tecnología con Hostinet!!
Todos realizados por Expertos.

¡¡SOLO PARA TI!! Aprovéchate Ahora ...

¡¡Descubre los Mejores Artículos de Expertos en Tecnología!!

-

¡¡Descubre los mejores Artículos de Tecnología con Hostinet!!
Todos realizados por Expertos.