¿Qué es un escáner de vulnerabilidades de WordPress? ¿Necesita uno?

Publicado: 2023-03-08

Es bastante seguro decir que todo el software tiene algún tipo de vulnerabilidad. Esto no significa necesariamente que el software sea malo o deficiente; las vulnerabilidades pueden surgir por todo tipo de razones, desde procesos de control de calidad fallidos hasta incompatibilidades ambientales o configuraciones incorrectas.

Las vulnerabilidades se pueden clasificar en dos categorías: conocidas y desconocidas. Las vulnerabilidades conocidas, como XSS (Cross-site scripting) y SQL injection, son vulnerabilidades que todos conocen. Los proveedores de software de buena reputación siempre verificarán estas vulnerabilidades y las eliminarán durante los procesos de prueba y control de calidad.

Por otro lado, las vulnerabilidades desconocidas son aquellas vulnerabilidades que no se conocen. Estos pueden ser causados ​​por errores en el código o algo en el entorno. Gracias a que WordPress tiene una base de usuarios tan grande, las vulnerabilidades no permanecen desconocidas por mucho tiempo. Una vez que se descubre una vulnerabilidad, se denomina vulnerabilidad de día cero hasta que se lanza un parche.

En este artículo, analizaremos en profundidad las vulnerabilidades de WordPress, los diferentes tipos de escáneres disponibles y lo que debe tener en cuenta cuando busque proteger su WordPress.

Tabla de contenido

    • ¿Qué es una vulnerabilidad de WordPress?
    • Comprender la diferencia entre un escáner de vulnerabilidades y un escáner de seguridad
    • Comprender la diferencia entre las pruebas de caja negra y caja blanca
      • Pruebas de caja negra
      • Pruebas de caja blanca
    • Vulnerabilidades comunes de WordPress
      • Núcleo de WordPress obsoleto
      • Contraseñas débiles
      • Complementos y temas vulnerables
      • Ataques de fuerza bruta
      • Inyección SQL
    • Por qué debería escanear en busca de vulnerabilidades
    • Principales escáneres de vulnerabilidades de WordPress
      • WPScan
      • WPSec
      • Sucuri
      • Acunetix
    • Asegure su WordPress
    • Preguntas frecuentes
      • ¿Qué herramienta puedo usar para buscar vulnerabilidades de WordPress?
      • ¿Cómo busco vulnerabilidades en mi sitio de WordPress?

¿Qué es una vulnerabilidad de WordPress?

Una vulnerabilidad de WordPress es una vulnerabilidad de software en WordPress que puede ser conocida o desconocida.

WPScan, un escáner gratuito de vulnerabilidades de WordPress de código abierto que analizaremos con más detalle más adelante en este artículo, tiene cerca de 40 000 vulnerabilidades de WordPress en su base de datos. También ofrecen algunas estadísticas interesantes:

WPScan ha encontrado 4.069 complementos premium que tienen algún tipo de vulnerabilidad. Esta cifra se dispara hasta los 98.241 complementos gratuitos. Esto no significa que los complementos gratuitos sean malos: los complementos premium tienen más recursos a su disposición para probar y verificar los complementos antes de que se publiquen, razón por la cual, como era de esperar, cuestan dinero. En términos generales, cuando paga por un complemento, obtiene seguridad adicional a cambio (aparte de la funcionalidad adicional).

Las vulnerabilidades de los complementos representan el mayor porcentaje de vulnerabilidades con un 92 %, con las vulnerabilidades de los temas en un distante segundo lugar con un 5 % y el propio WordPress dura un 3 %.

Comprender la diferencia entre un escáner de vulnerabilidades y un escáner de seguridad

Un escáner de vulnerabilidades de WordPress es una herramienta dedicada que puede buscar vulnerabilidades: errores de software o configuraciones incorrectas que crean un agujero de seguridad.

Escáner de seguridad es un término general que puede incluir escaneos de vulnerabilidades, aunque estrictamente hablando, los escáneres de seguridad tienden a verificar configuraciones incorrectas, actualizaciones perdidas, contraseñas débiles, malware, etc.

Esta distinción es importante ya que necesita saber qué está buscando y qué no está buscando. Dado que no existe una ley que indique a los proveedores qué término usar o no usar, asegúrese de tomarse el tiempo para leer la documentación que viene con cualquier escáner que elija. Esto lo ayudará a asegurarse de obtener la cobertura que necesita.

Comprender la diferencia entre las pruebas de caja negra y caja blanca

Cuando se trata de pruebas de vulnerabilidad, existen dos enfoques principales: pruebas de caja negra y pruebas de caja blanca. Ambos metodos tienen sus ventajas y desventajas. Comprender las diferencias entre ellos es clave, ya que le permitirá comprender qué cubre y qué no cubre un escáner de vulnerabilidades en particular.

Pruebas de caja negra

La prueba de vulnerabilidad de caja negra de WordPress es una técnica en la que la persona que realiza la prueba no asume el conocimiento del funcionamiento interno de WordPress. Durante la prueba, el probador solo tiene acceso a las entradas y salidas y no se preocupa por cómo se producen las salidas. En otras palabras, el evaluador trata a WordPress como una "caja negra" y lo prueba desde el exterior.

Una ventaja de las pruebas de caja negra es que las pueden realizar evaluadores que no tienen ningún conocimiento de programación o de la arquitectura interna del software. Esto hace que las pruebas de caja negra sean accesibles para una gama más amplia de evaluadores.

La principal desventaja de las pruebas de caja negra es que es posible que no pueda descubrir ciertos tipos de vulnerabilidades relacionadas con el funcionamiento interno de WordPress.

Pruebas de caja blanca

La prueba de caja blanca de WordPress es una técnica de prueba en la que la persona que realiza la prueba tiene acceso a la arquitectura, el código y el diseño de WordPress. Este tipo de prueba también se conoce como prueba de caja clara o prueba estructural.

Una ventaja de las pruebas de caja blanca es que le permite al probador descubrir errores relacionados con WordPress. También se puede usar para probar la capacidad de mantenimiento y la escalabilidad del software, algo de lo que los desarrolladores de WordPress y los desarrolladores de complementos pueden ganar mucho.

La principal desventaja de las pruebas de caja blanca es que requiere que los evaluadores tengan conocimientos de programación y de la arquitectura interna del software.

Vulnerabilidades comunes de WordPress

Si bien las vulnerabilidades de WordPress pueden tener todas las formas y tamaños, vale la pena señalar algunas de las más comunes, que, como veremos, son fáciles de prevenir. Otros solo pueden ser resueltos por desarrolladores que tengan acceso al código, como se muestra en el último ejemplo a continuación:

Núcleo de WordPress obsoleto

Una de las vulnerabilidades más comunes en WordPress es un núcleo de WordPress desactualizado. Las actualizaciones de WordPress se lanzan regularmente para abordar problemas de seguridad, corregir errores y mejorar el rendimiento y la funcionalidad. Los piratas informáticos pueden explotar vulnerabilidades conocidas si no actualiza a la última versión.

Qué hacer: tener una política de actualización de WordPress puede ayudarlo a administrar mejor las actualizaciones de WordPress y garantizar que siempre esté ejecutando la última versión de WordPress.

Contraseñas débiles

Las contraseñas débiles pueden ser otra importante vulnerabilidad de seguridad de WordPress. Muchos usuarios tienden a usar contraseñas débiles que son fáciles de adivinar o descifrar, ya que es más probable que las recuerden. Esto puede facilitar que los piratas informáticos obtengan acceso no autorizado a los sitios web.

Qué hacer: use una política de contraseñas de WordPress para asegurarse de que los usuarios usen contraseñas seguras y fomente el uso de un administrador de contraseñas.

Complementos y temas vulnerables

Los temas y complementos de WordPress pueden mejorar seriamente la funcionalidad y apariencia de WordPress. Sin embargo, algunos de estos complementos y temas pueden contener vulnerabilidades que los piratas informáticos pueden aprovechar.

Qué hacer: use complementos y temas de proveedores confiables que lanzan actualizaciones periódicas y mantenga todo actualizado en todo momento.

Ataques de fuerza bruta

Los ataques de fuerza bruta son un tipo de ataque en el que los actores malintencionados intentan adivinar las credenciales de inicio de sesión de un usuario probando diferentes combinaciones de nombre de usuario y contraseña.

Qué hacer: agregue WordPress 2FA para detener los ataques de fuerza bruta y limitar la cantidad de intentos fallidos de inicio de sesión.

Inyección SQL

Durante la inyección SQL, los piratas informáticos inyectan código malicioso en la base de datos de un sitio web a través de los campos de entrada del usuario, como entradas de la barra de búsqueda, formularios y comentarios. Esto puede resultar en la exposición de datos confidenciales, como nombres de usuario, contraseñas y detalles de tarjetas de crédito.

Qué hacer: los desarrolladores de complementos de buena reputación eliminarán esto durante el desarrollo. Si encuentra esta vulnerabilidad, debe deshabilitar el componente que la está causando, si es posible, hasta que haya una solución disponible.

Por qué debería escanear en busca de vulnerabilidades

Como muestran las estadísticas que compartimos al principio del artículo, las vulnerabilidades pueden estar presentes en cualquier software. Si tiene una sólida política de actualización de WordPress y se limita a temas y complementos de desarrolladores acreditados, es probable que esté a salvo; sin embargo, esto no es una garantía. Con este fin, es posible que desee ejecutar un análisis de vulnerabilidades.

Un análisis de vulnerabilidades puede ayudarlo a descubrir problemas que podría haber pasado por alto y vulnerabilidades que podrían haberse introducido en una actualización o cambio de configuración.

Principales escáneres de vulnerabilidades de WordPress

En esta sección, veremos algunos de los mejores escáneres de vulnerabilidades de WordPress disponibles en el mercado hoy en día.

WPScan

WPScan es un escáner de seguridad gratuito diseñado específicamente para WordPress. Sí comprueba vulnerabilidades, con cerca de 40.000 vulnerabilidades en su base de datos. Las nuevas entradas se agregan a su base de datos de vulnerabilidades de manera muy consistente.

WPScan está disponible como herramienta CLI (Command Line Interface). Esto significa que no hay GUI y debe ejecutarse desde una terminal. WPScan solía estar disponible como un complemento gratuito, sin embargo, este ya no es el caso. También puede usar JetPack, que aprovecha la API de WPScan.

Entre otras cosas, WPScan busca:

      • Vulnerabilidades asociadas con el núcleo, los complementos y los temas de WordPress
      • Nombre de usuario y enumeración de archivos multimedia
      • Contraseñas débiles (a través de ataques de fuerza bruta)
      • Archivos wp-config accesibles
      • volcados de base de datos
      • Registros de errores expuestos

WPSec

WPSec es un escáner de vulnerabilidades de WordPress. Se administra a través de un panel desde el que puede ejecutar análisis, configurar notificaciones y emitir informes avanzados. Cuando se trata de escanear, WPSec usa lo que llama tecnología de escaneo avanzada, que usa WPScanner y tecnología personalizada patentada.
Entre otras cosas, WPSec busca:

      • Errores conocidos de WordPress
      • Temas de seguridad

Sucuri

Conocido por su WAF (Web Application Firewall), Sucuri también ofrece una serie de escáneres diferentes que escanean en busca de cosas diferentes, proporcionando un alcance más amplio que no es necesariamente tan profundo como lo que ofrecen otros escáneres.
Entre otras cosas, Sucuri busca:

      • Malware
      • IOC (Indicadores de Compromiso)
      • páginas de phishing
      • secuencias de comandos DDoS
      • certificados SSL

Acunetix

Acunetix es una solución de prueba de seguridad de aplicaciones web que también se puede utilizar como un escáner de seguridad de WordPress. Como no es específico de WordPress, se puede usar en diferentes sitios web, aplicaciones y API. Puede realizar tanto SAST (Pruebas de seguridad de aplicaciones estáticas) como DAST (Pruebas de seguridad de aplicaciones dinámicas).
Entre otras cosas, Acuntiex escanea en busca de:

      • Núcleo y complementos de WordPress desactualizados
      • Malware
      • Contraseñas débiles
      • Nombres de usuario de WordPress vulnerables
      • Vulnerabilidades XML-RPC

Asegure su WordPress

Un escáner de seguridad de WordPress puede ayudarlo a identificar amenazas de seguridad para su sitio web de WordPress. Sin embargo, sigue siendo importante tomar medidas de seguridad proactivas. Si bien aún debe abordar los resultados de un análisis de seguridad de WordPress, los administradores de WordPress y los propietarios de sitios web también deben comprender que la seguridad de WordPress es un proceso iterativo que ofrece un gran retorno de la inversión.

Mantener todo actualizado es una de las formas más accesibles que los administradores tienen a su disposición para limitar las vulnerabilidades. WordPress, temas, complementos y PHP deben estar actualizados en todo momento. No olvide realizar copias de seguridad y utilizar un entorno de prueba de WordPress para limitar el riesgo.

Los complementos de seguridad de WordPress también pueden ofrecer protección y tranquilidad. Los cortafuegos siempre son una buena opción; sin embargo, tener un registro de actividad de WordPress puede ayudarlo a lograr más. Del mismo modo, asegurar su instalación de WordPress con 2FA puede ayudarlo a mantenerse aún más seguro con un mínimo esfuerzo.

Preguntas frecuentes

¿Qué herramienta puedo usar para buscar vulnerabilidades de WordPress?

Un escáner de vulnerabilidades de WordPress es una de las mejores herramientas que puede usar para buscar vulnerabilidades. Cubrimos varios escáneres diferentes en el artículo. Una cosa importante a tener en cuenta es que diferentes escáneres pueden buscar cosas diferentes. Asegúrese de leer la documentación para comprender lo que está y no está buscando. Esto le ayudará a evitar tener una falsa sensación de seguridad en el sitio web.

¿Cómo busco vulnerabilidades en mi sitio de WordPress?

Esto depende del escáner de vulnerabilidades que elija. Algunos escáneres ofrecen escaneos automáticos e incluso le enviarán un informe de los resultados directamente a su bandeja de entrada de correo electrónico. Otros pueden requerir un escaneo manual, en algunos casos a través de una interfaz de línea de comandos CLI.