Si sientes que tu sitio en WordPress está más expuesto que nunca, no es paranoia. Un reporte confirma el aumento de vulnerabilidades, y lo peor es que son más graves.
XSS: La Principal Vulnerabilidad de WordPress en 2023
Las vulnerabilidades son de varios tipos, pero las de scripting entre sitios (XSS) son las más comunes, representando el 53.3% de todas las nuevas vulnerabilidades de seguridad en WordPress.
Generalmente, las vulnerabilidades XSS surgen por una «sanitización» insuficiente de las entradas de usuarios, lo que incluye bloquear entradas que no se ajustan a lo esperado. Según Patchstack, el framework Freemius representó más de 1,200 de todas las vulnerabilidades XSS, lo que es el 21% de todas las nuevas vulnerabilidades XSS descubiertas en 2023.
El Impacto del SDK de Freemius
El Freemius SDK se usa en más de 1,200 plugins, que a su vez están instalados en más de 7 millones de sitios de WordPress. Esto destaca las vulnerabilidades de la cadena de suministro, donde un componente se utiliza como parte de un plugin y amplía el alcance de una vulnerabilidad más allá de un solo plugin.
El informe de Patchstack explicó que un solo problema de XSS en el framework Freemius resultó en que 1,248 plugins heredaran la vulnerabilidad, exponiendo a sus usuarios a riesgos.
Aumento de Plugins Abandonados
Una causa significativa de vulnerabilidades es la gran cantidad de plugins abandonados. En 2022, Patchstack reportó 147 plugins y temas abandonados a WordPress.org y de esos, 87 fueron eliminados y el resto parcheados.
En 2023, el número de plugins abandonados explotó a 827. Mientras que en 2022 se eliminaron 87 plugins abandonados vulnerables, en 2023 se eliminaron 481.
Los Plugins Más Populares con Vulnerabilidades
Como mencionamos anteriormente, las clasificaciones de severidad varían de bajo, medio, alto y crítico. Patchstack compiló una lista de los plugins más populares con vulnerabilidades. En 2023, todos los nueve plugins en la lista contenían vulnerabilidades de nivel crítico.
La abrumadora mayoría de los plugins en esa lista, seis de nueve, contenían vulnerabilidades no autenticadas, lo que significa que explotarlas es fácil de escalar con automatización. Los tres restantes que requerían autenticación solo necesitaban acceso a nivel de suscriptor, el cual también se puede escalar con automatización.
Lista de Plugins Populares con Vulnerabilidades
- Essential Addons for Elementor – 1M+ instalaciones (puntuación de severidad 9.8)
- WP Fastest Cache – 1M+ instalaciones (puntuación de severidad 9.3)
- Gravity Forms – 940k instalaciones (puntuación de severidad 8.3)
Estado de la Seguridad de WordPress empeora
Si pensabas que hay más vulnerabilidades últimamente, ahora lo sabes, las estadísticas hablan por sí mismas. Hay más vulnerabilidades en 2023 y un mayor porcentaje a niveles altos y críticos, que pueden ser explotados con automatización a gran escala.
Esto significa que todos los editores necesitan mejorar su seguridad y asegurarse de que alguien se responsabilice de auditar sus plugins y temas regularmente para asegurarse de que están actualizados y mantenidos activamente.
Los SEOs deben tomar nota porque la seguridad rápidamente se convierte en un problema de ranking cuando Google elimina un sitio hackeado de los resultados de búsqueda. Patchstack es un ejemplo de un servicio que protege automáticamente los sitios de WordPress contra vulnerabilidades incluso antes de que el plugin emita un parche para corregir la vulnerabilidad.
Fuente:https://www.searchenginejournal.com/wordpress-security-vulnerabilities/512622/