WordPress, un colador per a cibercriminals?

Fotografia de Mykl Roventine a Flickr sota llicència Creative Commons
Compartir

Gran part dels llocs web vulnerats en una suposada campanya de ciberguerra del grup Estat Islàmic es basen en aquest popular gestor de continguts.

La cadena nord-americana NBC es feia ressò, fa uns dies, dels atacs cibernètics que han afectat diversos llocs web de tot el món, des d’Itàlia fins als Estats Units passant per Irlanda.

Aquests atacs han estat reivindicats per activistes del grup terrorista Estat Islàmic (EI) tot i que, segons un dels assessors de la NBC en matèria de seguretat, la filiació dels cibercriminals amb l’EI no queda gens clara.

En qualsevol cas, els atacs sí que tenen una cosa en comú: tots els llocs que els han patit funcionaven amb WordPress, un popular gestor de continguts àmpliament emprat a tot el món. Segons el lloc d’estadístiques sobre la web W3Techs, un 23,5% dels llocs web de tot el món estan construïts a partir de WordPress.

Aquest gestor de continguts ofereix la flexibilitat d’ampliar les seves funcions mitjançant l’ús d’extensions o plugins, unes peces de programari desenvolupades per terceres parts alienes als desenvolupadors originals (la Fundació WordPress) i que permeten afegir funcionalitats com el control dels comentaris dels internautes en els articles, l’enviament automatitzat de missatges de correu electrònic (newsletters), o el generar estadístiques dels visitants del lloc. Existeixen fins a 36.000 plugins diferents de WordPress.

Plugins de WordPress

Plugins de WordPress

Però aquesta possibilitat d’ampliar les funcionalitats de WordPress també es converteix en un maldecap per a la seguretat, ja que quantes més peces de programari hagin estat creades, més possibilitats de trobar en alguna d’elles una fallada de seguretat que permeti a intrusos entrar al lloc web i prendre’n el control.

Nimrod Luria, veterà de la IDF (Forces de Defensa d’Israel, per les seves sigles en anglès) en el camp de la seguretat, i cofundador i CTO de Sentrix, companyia especialitzada precisament en la protecció de llocs web, ens explica diversos casos esdevinguts amb anterioritat i en els quals un plugin de WordPress que contenia errors en el seu codi font, va deixar al descobert la possibilitat d’accedir il·lícitament a un lloc construït amb aquest gestor de continguts: en el 2014, una errada a MailPoet va deixar exposats uns 50.000 llocs que l’utilitzaven; el mateix any, es va descobrir la fallada de seguretat batejada com a SoakSoak en un altre plugin, que va deixar exposats 100.000 llocs a tot el món; i, més recentment, un altre forat de seguretat en el plugin Slimstat deixava vulnerable la gens menyspreable xifra d’1 milió de llocs a tot el món.

Segons continua explicant el mateix Luria, “la manera més convencional i directa de protegir un lloc amb WordPress és aplicant-hi pegats […] Els administradors de seguretat i els administradors de llocs web han de treballar per mantenir constantment tant WordPress com els seus plugins actualitzats a les darreres versions“, la qual cosa comporta a la necessitat de mantenir una feina extra “sense despistar-se en cap moment”, ja que qualsevol retard en la instal·lació d’una actualització de seguretat porta a deixar el lloc web indefens durant uns dies, suficient per a què sigui assaltat, segrestat, modificat i utilitzat contra els interessos de qui l’ha posat en línia.

Però tot i això, l’apedaçament de les aplicacions no protegeix contra els anomenats zero-day exploits, errades que són identificades per cibercriminals i explotades abans que qualsevol altre professional dedicat a la seguretat informàtica pugui tan sols detectar-les per a programar un pegat que les elimini.

El descobriment d’una d’aquestes errades per part de cibercriminals és el pitjor que pot passar, ja que deixa al lloc indefens per la manca d’una solució, i davant d’una amenaça que ningú coneix.

Una de les recomanacions que Nimrod Luria dóna per limitar les possibilitats d’atac dels cibercriminals i paliar els possibles danys provocats, és configurar determinades carpetes del servidor web com a només de lectura.

Però tot i això, aquesta pràctica només és útil per evitar atacs per injecció de codi SQL. Per a una major seguretat Luria recomana (naturalment, degut al seu càrrec) una solució de seguretat per a llocs web. Aquestes solucions permeten monitoritzar l’activitat en el lloc, avisant de qualsevol canvi en fitxers del gestor de continguts que no haurien de ser habituals.

Fins i tot poden crear un patró dels colors que presenta el lloc web, per tal de detectar variacions en aquests que puguin ser provocades per un hackeig del lloc. En el cas dels atacs reivindicats per suposats membres de l’EI, la introducció de la imatge de la bandera negra del grup terrorista produeix una variació en el patró de colors del lloc que pot ser detectada per la solució de seguretat.

Altres funcionalitats d’aquestes aplicacions de seguretat són les de creació d’una signatura digital del lloc web, de manera que qualsevol variació substancial dels continguts, redunda en una variació substancial de la signatura, de manera que comparant-la amb l’original, és possible detectar possibles intrusions.

Naturalment, en tots els casos, l’administrador pot “avisar” al programari de protecció per a què no detecti canvis que ell realitzarà en el lloc, com la instal·lació d’un plugin, o el canvi de la plantilla.

Imatge de portada de Mykl Roventine a Flickr sota llicència Creative Commons

Guillem Alsina
Etiquetes: