Un reporte de la firma de seguridad web Patchstack menciona que la gran mayoría de las casi 600 vulnerabilidades de WordPress reportadas durante 2020 terminan impactando de forma negativa en plugins y temas desarrollados por terceros. Este informe se basa en la base de datos que recopila toda la información de las fallas de seguridad detectadas en este sistema de gestión de contenido (CMS).
WordPress está presente en al menos el 40% de los sitios web de todo el mundo, por lo que estas fallas pueden impactar de forma realmente seria a los usuarios afectados.
El análisis mostró que de las 582 fallas únicas detectadas, más del 96% impactan al software desarrollado por terceros; además, más de 450 fallas solo afectan a los plugins populares, mientras que solo 22 vulnerabilidades impactan al núcleo de WordPress.
Los investigadores también mencionaron que alrededor de 50 mil sitios web emplean unos 23 plugins vulnerables: “Con cada plugin instalado en un sitio web incrementan las posibilidades de explotación de vulnerabilidades; para empeorar las cosas, los administradores muchas veces dejan pasar las actualizaciones, incrementando aún más el riesgo de explotación.”
Entre las fallas de seguridad más comunes se encuentran errores de scripts entre sitios (XSS), inyecciones SQL, falsificación de solicitudes entre sitios (CSRF) y carga de archivos arbitrarios.
Los expertos aseguran que, según los informes presentados a través del programa de recompensas de WordPress en 2021, se ha detectado un incremento importante en el número de fallas descubiertas en comparación con el mismo periodo de 2020. Una encuesta realizada a casi 500 miembros de la comunidad de la ciberseguridad también muestra un incremento en el número de reportes en plugins y temas de terceros.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.