Plugins más peligrosos de WordPress (WP) para tu seguridad

¿Sabías que los plugins de WordPress pueden ser un punto de entrada de malware en tu sitio web?

WordPress ofrece infinidad de plugins que permiten personalizar los sitios web realizados con esta plataforma, para adaptarlos a las necesidades de cada usuario. No obstante, no todas las empresas son conscientes de que los plugins también pueden ser motivo de entrada de malware en su sitio web.

‍

A continuación, vamos a presentar algunos de los plugins de WordPress más peligrosos para la ciberseguridad de un sitio web. 

Plugins que no deberías instalar o activar en tu WordPress 

‍

Existen unos plugins específicos, conocidos como plugins abandonados. Estos representan un riesgo significativo por la seguridad de los sitios web, debido a su falta de actualizaciones, presentando vulnerabilidades y problemas de compatibilidad y seguridad. 

‍

Los plugins abandonados no reciben parches de seguridad, lo que los hace objetivos fáciles para los ciberdelincuentes. Un plugin que no se actualiza puede contener vulnerabilidades explotables que comprometen la seguridad del sitio web​. Además, con cada nueva versión de WordPress existe la posibilidad de que los plugins desactualizados dejen de funcionar correctamente, causando errores en el sitio o incluso su caída. 

‍

A continuación te presentamos un listado de plugins abandonados que no deberías instalar en tu sitio web por estar desactualizados.  

• Jason’s User Comments (19 años sin actualizar).
  ‍
• Starbox Voting (14 años sin actualizar).
  ‍
• WP PHP widget (13 años sin actualizar).
  ‍
• PS Auto Sitemap (8 años sin recibir actualizaciones).
  ‍
• Real Estate Listings Plugin for Professionals (5 años sin actualizar).
  ‍
• P3 (Plugin Performance Profiler) (Más de 3 años sin actualizar).
  ‍
• Add From Server (3 años sin actualizar).
  ‍
• Header and Footer Scripts (3 años sin actualizar).
  ‍
• AddQuicktag (2 años sin actualizar).
  ‍
• Show Current Template (2 años sin actualizar).
  ‍
• Simple Post Views Count (2 años sin actualizar).
  ‍
• Delete Pending Comments (2 años sin actualizar).
  ‍
• WordPress Review Plugin (2 años sin actualizar).
  ‍
• One Click Close Comments (2 años sin actualizar).
  ‍
• Custom Post Type Permalinks (2 años sin actualizar).
  ‍
• Easy Google Fonts (2 años sin actualizar).

‍

Por otro lado, encontramos plugins que, a pesar de sus actualizaciones constantes, presentaron un problema de seguridad para el sitio en el cual fueron instalados. Por suerte estas brechas de seguridad ya fueron solventadas por sus desarrolladores. 

‍

Plugins que presentaron problemas de ciberseguridad pero que han sido parcheadas

‍

POST SMTP

Este plugin tuvo dos vulnerabilidades críticas. Una de bypass de autorización y otra de cross-site scripting (XSS). Los ciberdelincuentes utilizaban estas vulnerabilidades para tomar el control total del sitio web, lo que podría llevar a la instalación de backdoors, la modificación de contenido y la redirección de usuarios a páginas maliciosas. 

‍

Para mitigar estos riesgos y vulnerabilidades, recomendamos actualizar el plugin hasta su versión 2.8.8. 

‍

Website Builder de SeedProd

‍

A pesar de que las vulnerabilidades de este plugin ya han sido parcheadas con su versión 6.15.22, hasta la fecha, provocaba que los ciberdelincuentes pudieran modificar contenido crítico del sitio web, como por ejemplo páginas de “coming soon” y mantenimiento. 

‍

Essential Addons for Elementor

‍

Essential Addons for Elementor presentó una vulnerabilidad de escalación de privilegios, permitiendo a terceros no autorizados obtener privilegios de administrador. A pesar de que esta vulnerabilidad ya ha sido solventada, es de suma importancia mantener el plugin actualizado. 

‍

¿Cómo saber si un plugin es peligroso para la ciberseguridad de un sitio? 

‍

Petam.io ofrece un add-on específico para WordPress, que analiza los plugins activos de un sitio web y te dice su nivel de ciberseguridad. 

‍

¿Qué analiza WordPress Scan?

‍

• Página de login por defecto: en caso que la página de login por defecto (wp-admin) esté activa, podría convertirse en un punto de ataque fácil.
  ‍
• Tema en uso: identifica el tema activo del WordPress para verificar vulnerabilidades conocidas.
  ‍
• Plugins en uso: identifica todos los plugins en uso dentro del WordPress y sus versiones.
  ‍
• Busca las vulnerabilidades de los plugins y temas utilizados en el WordPress: some text
  • Título: descripción breve de la vulnerabilidad. 
  • Descripción: explicación detallada de la vulnerabilidad y su impacto. 
  • Impacto: gravedad de la vulnerabilidad (alta, media y baja). 
  • URL para encontrar más información: enlace a una página web con más información sobre la vulnerabilidad. 
  • Remediaciones con IA: se ofrecen soluciones automatizadas para algunas vulnerabilidades, aprovechando la inteligencia artificial.

WordPress Scan es uno de los escáneres online más potentes y completos que existen para la detección de vulnerabilidades y brechas de seguridad en páginas web de WordPress.

Al introducir una IP o URL específica, WordPress Scan escanea y analiza los diferentes puntos débiles que existen en la infraestructura de WordPress, lo cual la hace vulnerable a ciberataques. Este análisis puede tardar hasta 48 horas en completarse. Después de analizar la URL, la herramienta extrae un informe detallado de las vulnerabilidades encontradas con el objetivo de implementar medidas de ciberseguridad que permitan minimizar los riesgos de ser atacado.

‍

Puedes probar petam y su add-on clicando al siguiente enlace.