En recientes semanas, el universo de WordPress ha sido testigo de un nuevo y preocupante vector de ataque dirigido a sus plataformas: las consolas de gestión. Cabe destacar que estos incidentes no están relacionados con errores o fallos en la programación de los proveedores de dichas consolas, sino con hackers que, con un conocimiento profundo del ecosistema de WordPress, han encontrado brechas para acceder.
Inicios del problema
Expertos en seguridad comenzaron a registrar modificaciones anómalas en archivos y la instalación de plugins no autorizados en varios sitios con WordPress. Un análisis minucioso de los registros de acceso reveló que estos plugins eran instalados desde diversas consolas de gestión. Algunas de las más comunes identificadas fueron ManageWP, WPUmbrella y MainWP, entre otras.
A pesar de la gravedad, es fundamental entender que estos ataques no emergen de problemas en las plataformas de las consolas, sino de hackers que manipulan las vulnerabilidades existentes.
Algunas consolas permiten gestionar los sitios después de iniciar sesión en sus plataformas, mientras que otras ofrecen servicios auto-alojados. En estos casos, los usuarios alquilan un servidor y luego instalan el software de gestión. Estos servidores no están destinados para alojar páginas web, sino para administrar sitios WordPress.
¿Cómo operan los hackers?
Un análisis más detallado de los registros arrojó un patrón inquietante: los hackers se estaban logueando en las consolas de gestión como usuarios legítimos y, posteriormente, aprovechaban esas funciones para instalar plugins maliciosos.
Una gran cantidad de sitios comprometidos fueron detectados en un corto período. En muchos de estos, se identificaron inicios de sesión de servidores externos. Estos inicios de sesión provenían de servidores ubicados en diferentes partes del mundo, indicando que los hackers podrían estar utilizando servidores comprometidos para ocultar sus acciones y evitar ser rastreados.
¿La causa del compromiso?
La investigación también reveló que una gran mayoría de los usuarios afectados eran de Mac. A pesar de someter sus dispositivos a múltiples análisis de malware, no se encontró ninguna amenaza. Sin embargo, se observó que muchos de estos usuarios habían accedido a sus consolas de gestión a través de redes WiFi públicas y no cerraban sesión adecuadamente. Por eso es muy importante utilizar una conexión VPN.
Esto pone de manifiesto la importancia de adoptar prácticas seguras al navegar en la web, como evitar redes WiFi abiertas o asegurarse de cerrar sesión en plataformas de gestión después de su uso. Además, se recomienda el uso constante de sistemas de autenticación de dos factores y la implementación de software antivirus en todos los dispositivos.
Este reciente episodio en la comunidad WordPress es un recordatorio de que la ciberseguridad es un campo en constante evolución y que tanto desarrolladores como usuarios deben estar siempre alerta y actualizados para proteger sus activos digitales.
