Wordpress,
el popular gestor de contenidos orientado a la creación de blogs, marca un antes y un después en su política de
seguridad tras publicar
la versión 3.7, nombre en clave "Basie".
La principal característica es la
capacidad de actualizaciones autónomas a partir de esta versión. Wordpress no anunciará al administrador que
hay actualizaciones disponibles sino que directamente se actualizará con
los parches de mantenimiento y seguridad que se vayan publicando. Eso sí,
existe una opción para filtrar según que tipo de actualización esté disponible.
Por ejemplo, podremos decidir si también actualizamos los complementos y temas
al igual que el núcleo de Wordpress o dejar su actualización a nuestro cargo.
Wordpress se suma así a la
tendencia que popularizó Google Chrome: Actualizaciones
transparentes al usuario. Un paso que no se ha dado sin motivación.
Recientemente, un
estudio realizado por WP WhiteSecurity, determinó que más de un 70% sobre una base de más de 40.000 instalaciones eran
vulnerables. Algunas versiones detectadas, como la 3.3.1, con hasta 24
vulnerabilidades sin parchear. Esto sin contar los innumerables complementos y
temas con agujeros críticos de seguridad que permiten el compromiso del sitio
con relativa facilidad. Como muestra: una búsqueda de exploits para Wordpress
en el sitio www.exploit-db.com devuelve
7 resultados para complementos y temas… tan solo en el mes de octubre, y la
mayoría de ellos permite subir archivos de manera arbitraria o inyección ciega
de código SQL.
Dentro de las estadísticas
internas del equipo Antifraude de Hispasec, Wordpress suele copar los primeros puestos de plataformas usadas para
alojar malware o phishing, casi siempre, eso si, muy cerca de otro CMS
popular: Joomla.
Otra característica interesante
es la integración de la librería 'zxcvbn'. Esta librería, escrita en su mayor
parte en Coffescript, realiza un análisis de la contraseña con la que el
usuario va a autenticarse en el sistema indicándole cuando esta es considerada
débil. Esto servirá para paliar en parte la elección de contraseñas sencillas
que favorecen las posibilidades de éxito en ataques de fuerza bruta,
diccionario o híbridos sobre cuentas de usuarios.
Finalmente, en el documento de
cambios, señalan también que se
han solucionado más de 400 tickets de mantenimiento. Esta versión no
incluye ningún parche de seguridad más allá de las mejoras comentadas.
Sin lugar a dudas una versión interesante desde el punto de
vista de la seguridad que podría ayudar a acortar la ventana de exposición
ante vulnerabilidades publicadas.
Más información:
WordPress 3.7 “Basie”
Version 3.7
Statistics Show Why WordPress is a Popular
Hacker Target
realistic password strength
estimation
David García
Twitter: @dgn1729
No hay comentarios:
Publicar un comentario