Ataques a Dropbox, filtraciones de fotografías de Snapchat, imágenes comprometedoras de famosas que aparecen en la Red… Es más que probable que algo hayas leído sobre los mediáticos ataques informáticos que han tenido lugar en las últimas semanas.

Todos los sitios web en los que has visto esas o cualquier otra noticia tienen una ‘cara B’. Lo que ves está construido sobre un gestor de contenidos, también conocido como CMS. El más popular de todos los que hay es WordPress.

Seguramente hayas oído hablar de él, e incluso puede que hayas dado algún paso que otro en la blogosfera de su mano. De hecho, 75 millones de páginas se ejecutan con WordPress. Y sí, también sufren ataques informáticos.

chapa-wordpress

Eso de ser el CMS más popular también lo convierte en el más vulnerable. No porque WordPress sea el gestor de contenidos con más brechas en su seguridad, sino por el simple hecho de que es el más investigado por los cibercriminales.

Así, en los últimos meses, decenas de miles de páginas construidas sobre WordPress han sido hackeadas. Obviamente, este gestor de contenidos no es perfecto y presenta alguna que otra vulnerabilidad, pero nada que explique estos ataques en masa: “WordPress ha tenido la oportunidad de arreglar muchas vulnerabilidades y de desarrollar su ‘software’ de una forma segura”, según el investigador Ryan Dewhurst. “Tienen un gran equipo”, continúa, “y aunque todavía se encuentran vulerabilidades, es menos común encontrarlas en el núcleo de su código”.

El propio Dewhurst ha publicado una base de datos con las vulnerabilidades halladas en WordPress en los últimos años, aunque no esperes una larga lista de fallos de seguridad.

Entonces, ¿cómo se explica el ‘hackeo’ de 50.000 de estos el pasado verano? La respuesta no está en el CMS de WordPress, sino en los aparentemente inofensivos ‘plugins‘.

tiza-wordpress

Los ‘plugins’ son esas herramientas, pequeños programas adicionales, que permiten ampliar las funcionalidades que ofrece WordPress por defecto.

Además, se han convertido en un verdadero caballo de Troya. El problema es similar al que han protagonizado Snapchat o Dropbox en las últimas semanas. Al tratarse de un servicio prestado por terceros, WordPress no puede controlar las posibles brechas de seguridad que presenten los ‘plugins’.

Existen más de 30.000 diferentes y, para la empresa, controlar esa cantidad de herramientas creadas por desarrolladores diferentes supondría una tarea titánica. Ahí es donde los cibercriminales entran en escena.

¿Hay solución?

De esta forma, no parece que esté en manos del gestor de contenidos evitar futuros ataques, pero quizá con un poco de precaución por nuestra parte no habrá que lamentar daños en el futuro.

En principio, una de las posibles soluciones pase por huir de WordPress. Si es el CMS más atacado por culpa de su popularidad (según un informe de Imperva, el número de ataques a los sitios que usan WordPress es un 24% mayor que para webs con otro CMS), dejar de usar ese gestor de contenido sería suficiente. Sin embargo, que los números no te engañen: WordPress sufre más ataques, pero otras herramientas como Joomla o Drupal son igual de vulnerables.

Por ahora, habrá que conformarse con andar con pies de plomo a la hora de utilizar ‘plugins’ en WordPress (y en otros gestores de contenidos): un par de búsquedas para saber si el ‘plugin’ que quieres instalar es seguro o si ha sido atacado en otras ocasiones puede ahorrarte más de un disgusto en el futuro.