Complementos que dejaron a miles de compradores en sitios de WordPress vulnerables el Black Friday y el Cyber ​​Monday

Miles de estadounidenses se prepararon para eventos de compras masivos en todo el mundo de las puntocom cuando el Día de Acción de Gracias llegó a su fin. ¿No sabían que sus datos bancarios e información privada estaban siendo revelados por los complementos de seguridad utilizados por cientos de plataformas de comercio electrónico? El Día de Acción de Gracias, el Viernes Negro y el Lunes Cibernético, miles de compradores literalmente entregaron los detalles de su cuenta y tarjeta a los piratas informáticos. a través de Internet.

No, esto no es el prólogo de una historia de terror. Este es un evento muy reciente que dejó al mundo de la tecnología asolado por el horror de múltiples violaciones de la privacidad en sitios web de comercio electrónico confiables basados ​​en WordPress. No se han mencionado los nombres específicos de los sitios web ni los nombres (versiones) de los complementos que utilizan, pero el informe más reciente nos muestra que más de 100 000 sitios web quedaron indefensos.

¿Cuál es la vulnerabilidad más destacada?

Podríamos optar por hacer la vista gorda ante las fallas de nuestra plataforma CMS favorita y las plantillas de sitios web, pero los complementos de WordPress tienen problemas de seguridad masivos. De las muchas vulnerabilidades que se descubrieron este noviembre, la peor puede haber sido una versión sin parches del complemento Revolution Image Slider. Esta era esencialmente una versión obsoleta de RevSlider que los sitios web de WordPress usaban ampliamente. Este complemento se usó para filtrar cantidades masivas de datos personales en la notoria filtración de los Papeles de Panamá en abril de 2016. Esto se correlacionó con la fuga de más de 2,6 TB de datos y más de 11,5 millones de documentos durante ese tiempo.

Muy recientemente, DynamicPress arregló una laguna importante en el diseño del complemento de WordPress que podría permitir que cualquier tercero cargue archivos maliciosos que se ejecutan en las plantillas de Neosense WordPress. Esto fue a principios de septiembre, y posiblemente todos los sitios web que utilizan los temas en cuestión y los servidores que los alojan también.

Crujiendo los números -
Alrededor del 50 por ciento de los sitios web que fueron atacados por los ciberdelincuentes usaban características de seguridad desactualizadas y ninguna de sus versiones de complementos se actualizó. Esto fue confirmado más tarde por un informe publicado por Website Hacked Report. También fue cuando se declaró que los complementos de WordPress tenían la culpa, ya que el 78 por ciento de todos los sitios web pirateados eran sitios de WordPress.

La palabra en el mercado -
Checkmarx ha analizado los 12 principales complementos de sitios web de comercio electrónico para WordPress para revelar sus importantes amenazas de seguridad. De los 12, 4 complementos tienen vulnerabilidades de alto riesgo. El XSS reflejado fue la falla más común entre los complementos defectuosos y se encontró una inyección de SQL en al menos uno de ellos. La manipulación de archivos era un factor común en todos los complementos comprometidos que usaban más de 100 000 tiendas en línea. Cuando terminaron las compras del Black Friday, millones de detalles de cuentas ya estaban en manos de piratas informáticos. Si los piratas informáticos han explotado las vulnerabilidades en todo su potencial, los usuarios de más de 135 000 sitios web podrían encontrar su información confidencial en manos de ciberdelincuentes.

¿Por qué la gente suele ir con WordPress?
La mayoría de los minoristas y empresarios en línea optan por WordPress, ya que son fáciles de configurar y publicar. La mayor parte del trabajo en el sitio web la realizan los complementos. La principal responsabilidad del administrador es verificar si todas las actualizaciones se realizan a tiempo. En la tendencia más reciente de los eventos, incluso los fisioterapeutas, dentistas y médicos recurren a WordPress para crear sus perfiles en línea. Pero la tendencia es más fuerte entre las clínicas y organizaciones de salud que contratan sus servicios.

WordPress es su opción principal simplemente porque las plantillas están listas para usar y son compatibles con dispositivos móviles, puede monitorear el tráfico en tiempo real y puede hacer que su sitio web relacionado con la atención médica sea fácil de usar para SEO. Todas y cada una de las plantillas y temas de WordPress vienen con funciones de SEO. Ya sea SEO médico, SEO de fisioterapia, SEO de neurología o marketing de SEO dental, ¡su tema de WordPress elegido probablemente esté lo suficientemente equipado para manejarlo! Por lo tanto, al elegir WordPress, puede mantenerse automáticamente por delante de su competencia.

¿Por qué el incidente de WordPress no fue un desastre incorregible?
Ahora, con las amenazas más recientes experimentadas por los usuarios del sitio web de WordPress, puede ser normal experimentar una disminución en el número de visitas. Pero afortunadamente, la mayoría de los visitantes de su sitio web no son lo suficientemente expertos como para saber qué plataforma CMS está utilizando. Por otro lado, hubo un escándalo de seguridad muy reciente que involucró a Joomla! sitios web también. Esto fue después de que WordPress fuera diagnosticado con vulnerabilidades graves. El Joomla! Se hicieron anuncios de seguridad el 26 de octubre de 2016. Esto no solo distrajo a las audiencias más instruidas, sino que también demostró que este tipo de amenazas ocurren.

Ese bit extra para aumentar sus ventas:
Pero puede dar un paso más y enviar correos a todos sus clientes, y publicar publicaciones personalizadas a través de sus cuentas de redes sociales sobre las medidas que ha tomado para proteger a sus clientes. Las cosas más importantes que debe aclarar aquí deben incluir: la versión del motor que puede estar utilizando, la versión actualizada de los complementos de seguridad y las medidas de seguridad adicionales que ha adoptado después del incidente que tuvo lugar a fines de noviembre.

Una palabra para los propietarios del sitio web de WordPress:
No es imposible mantenerse alejado de todos los problemas de seguridad todo el tiempo. a medida que evoluciona su seguridad, también lo hace la tecnología de piratería. En la carrera de supervivencia de la Reina Roja, nadie puede superar definitivamente al otro. Si estás a salvo hoy, eso es solo un alivio temporal. Necesita actualizar constantemente sus complementos y seguridad con los parches de seguridad más recientes para mantener fuertes sus firewalls. Continúe ejecutando pruebas de vulnerabilidad en sus sitios web y contrate ayuda de agencias que se especializan en hacerlo. Siempre es mejor que encuentre una entrada de back-end pasada por alto en lugar de que un equipo de piratas informáticos se la muestre.

Biografía del autor: Anthony Pérez es un nombre muy conocido en los campos de la seguridad cibernética y el marketing digital. Ha sido un experto en SEO y ha estado perfeccionando sus habilidades durante los últimos 6 años. Ha estado incursionando en la seguridad cibernética recientemente. Si tiene alguna consulta sobre estrategias de marketing, como estrategias de SEO de salud, marketing de SEO dental y opciones de SEO médico, comuníquese con Perez con sus preguntas.