Millones de ataques a webs de WordPress: cómo protegerse

• Tres vulnerabilidades críticas, parcheadas hace más de un año, están siendo explotadas activamente.
• Los atacantes utilizan los plugins GutenKit y Hunk Companion para instalar un plugin malicioso llamado 'up'.
• Este plugin permite a los ciberdelincuentes manipular archivos, modificar permisos y obtener acceso de administrador.

Expertos en seguridad de WordPress advierten sobre una oleada de ataques dirigidos a sitios web que no han actualizado sus plugins. Wordfence, una destacada empresa de ciberseguridad, ha informado de haber bloqueado más de 8,7 millones de intentos de ataque en un periodo de tan solo 48 horas. Estos ataques se centran en la explotación de tres vulnerabilidades críticas (CVE-2024-9234, CVE-2024-9707 y CVE-2024-11972) que fueron descubiertas y parcheadas hace más de un año.

La principal vía de ataque se produce a través de los plugins GutenKit y Hunk Companion. GutenKit es una extensión que amplía las funcionalidades del editor Gutenberg de WordPress, mientras que Hunk Companion actúa como un complemento para temas de ThemeHunk, añadiendo secciones como 'equipo', 'servicios' o 'portafolio'. Los atacantes aprovechan que muchos sitios web no aplican las actualizaciones de seguridad de manera diligente. Una vez explotadas estas fallas, los ciberdelincuentes instalan un plugin malicioso denominado 'up', que se distribuye como un archivo .ZIP a través de plataformas como GitHub.

El plugin 'up' otorga a los atacantes un control considerable sobre el sitio web afectado. Entre sus capacidades se encuentran la posibilidad de subir, descargar o eliminar archivos, así como modificar los permisos del sitio. Además, permite al actor malicioso iniciar sesión automáticamente como administrador. Wordfence señala que los atacantes utilizan este plugin para establecer persistencia en el sistema, sustraer información sensible y desplegar malware adicional. Dada la popularidad de WordPress como plataforma de creación de sitios web, es un objetivo recurrente para los ciberdelincuentes, quienes a menudo buscan vulnerabilidades en temas y plugins menos seguros o sin soporte.