¿Es su sitio de comercio electrónico de WordPress vulnerable a los ataques de inyección de código?

Este mes ha traído malas noticias para los minoristas de comercio electrónico cuyos sitios se ejecutan en WordPress: un complemento extremadamente popular tiene un defecto extremadamente peligroso. Welcart, que tiene una gran cuota de mercado en Japón, permite a los piratas informáticos robar información de tarjetas de crédito y bloquear los sitios web. La noticia, aunque ciertamente perjudicial para Welcart, no afectará la popularidad de WP. Todavía hay muchas razones para elegir WordPress para el comercio electrónico y muchos ejemplos excelentes (y seguros). Del mismo modo, nadie acusa a WP de eso es incierto en sí mismo. Sin embargo, la vulnerabilidad resalta que los complementos y los temas, incluso los muy populares, pueden ser susceptibles a fugas de datos y hacks.
En este artículo, explicaremos la vulnerabilidad recientemente descubierta, analizaremos algunos problemas similares que han aparecido recientemente y exploraremos lo que puede decirnos sobre la seguridad de comercio electrónico de WP en general. WelCart ha sido vulnerable a WelCart es un complemento poco conocido en Occidente, pero tiene una gran cuota de mercado en Japón. El complemento ofrece muchas funciones útiles a los propietarios de tiendas de comercio electrónico, que ofrece función de carrito de compras y una amplia gama de opciones de pago. Esto lo hizo descargar más de 20,000 veces desde la tienda WP oficial. Desafortunadamente, Welcart no es tan seguro como parece. En una publicación de blog, la compañía de investigación de seguridad de WordFency explicó que han encontrado una vulnerabilidad en Welcart que teóricamente permitiría a los piratas informáticos infiltrarse en sitios. Aunque debe enfatizarse que no se han informado tales amenazas “salvajes”, la amenaza es real y actual.
El error fue catalogado inmediatamente como serio por Oswap, y el editor del complemento, Coline Inc., pasó para corregir su complemento. Comenzando con la versión 1.9.36 de WelCart, lanzado en octubre, los sitios son seguros. Sin embargo, la historia no termina aquí. Aunque las colinas deben ser aplaudidas porque se movió tan rápido para cerrar este agujero de seguridad, ha dejado muchos sitios muy vulnerables durante semanas. Además, este fue un momento muy malo para parecer una gran vulnerabilidad de arado, no solo porque la temporada de vacaciones está casi con nosotros, pero también porque el ransomware contra los sitios de WordPress ha aumentado de manera alarmante en el último año. Cuenta estos factores, para analizar más de cerca los detalles de error descubiertos recientemente y usarlos para obtener algunas lecciones sobre cómo asegurar los sitios comerciales electrónicos contra los ataques de inyección de código. Así es como funciona el ataque, explicado para las no tecnologías. WelCart Plugin en realidad utiliza un conjunto de cookies completamente diferente en comparación con las utilizadas por WP. Normalmente, no hay nada de malo en estas cookies, se utilizan para realizar un seguimiento de las sesiones de usuarios. Específicamente, WelCart llama a una cookie llamada USCES_COOKIE usando la función get_cookie. El complemento utiliza USCES_UNSERIATIZE para decodificar el contenido de la cookie, lo que les permite leer las cookies que ya se han entregado a los usuarios.
Aquí las cosas se vuelven peligrosas. Los investigadores encontraron que es posible establecer el parámetro USCES_OOKIE que luego inyectaría objetos PHP. Este problema debería haber (y habría sido) detectado por protocolos de seguridad de aplicaciones dinámicas o cuando las aplicaciones se escanean constantemente para detectar vulnerabilidades antes de agravarlos, pero parece que esto no se ha hecho correctamente en el sistema de cookies Welcart. En cualquier caso, los piratas informáticos pueden usar este agujero para cargar un objeto PHP malicioso en un sitio de WP, y una vez que este objeto está cargado, se puede usar como una forma de inyectar código malicioso en el mismo sitio. Como dice Oswap, “porque PHP permite la serialización de los objetos, los atacantes podrían transmitir cadenas serializadas ad-hoc a una llamada vulnerable poco lactante, lo que resulta en un PHP de inyección arbitraria en el campo de la aplicación”. Usando esta funcionalidad, los piratas informáticos Luego podría solicitar tablas PHP de un sitio. PHP, para los no iniciados, es el sistema de base de datos detrás de la mayoría de los sitios de WP y tiene datos confidenciales sobre clientes y productos. Por lo tanto, los atacantes pueden haber obtenido acceso a nombres, direcciones o incluso información sobre la tarjeta de crédito de clientes individuales. El problema con los complementos es posible, por supuesto, exagerar la importancia o el impacto de esta última vulnerabilidad. Sin embargo, se puede usar para ilustrar un punto mucho más amplio: que todos los propietarios de comercio electrónico deben tener cuidado al elegir e instalar complementos y deben asegurarse de que se actualicen.
Los complementos de WordPress se han convertido en una forma muy “conveniente” para que los hackers obtengan acceso injustificado a los sitios. En septiembre de este año, se descubrió que un mal funcionamiento significativo descubierto en el complemento de Icegram para suscriptores y boletines de correo electrónico afecta a más de 100,000 sitios web individuales de WordPress. Los arados son vulnerables por varias razones. Uno es el hecho de que muchos están diseñados para permitir que WP se comunique con otros sitios. La mayoría de las personas comienzan a buscar los productos que necesitan en los mercados en línea y, como resultado, los complementos que integran WP con tales mercados son muy populares. Desafortunadamente, también son vulnerables a los piratas informáticos que se presentan como los mismos mercados para extraer información. Una segunda razón para la vulnerabilidad es que los complementos a menudo dejan de ser mantenidos por sus creadores o los propietarios del sitio los dejan muy instalados. Tiempo después de que estuvieron marcados como obsoletos. . Uno de los crímenes cibernéticos más comunes son los ataques XSS, que actualmente son más de la mitad de todos los ataques contra complementos. Los ataques XSS ocurren cuando los scripts de naturaleza intencional se inyectan directamente en los códigos de complementos obsoletos, dando a los piratas informáticos acceso al sitio de WordPress ahora comprometido. A pesar del hecho de que los peligros de ejecutar tales arados y temas no utilizados o obsoletos son bien conocidos, muchas tiendas comerciales electrónicas simplemente no tienen tiempo para hacer auditorías regulares en sus sitios y eliminar cualquier complemento y temas que ya no necesitan.

Dicho el resultado final, no debe evitar completamente complementos o temas. Después de todo, son parte del valor único de WP para muchos propietarios electrónicos de tiendas comerciales. Hay muchos temas de WordPress para estimular su tienda, por ejemplo, y los complementos como WelCart ofrecen un conjunto increíblemente útil de herramientas y servicios para minoristas electrónicos. Sin embargo, el reciente descubrimiento de la vulnerabilidad trae a casa la importancia de pasar cuidadosamente. Solo porque se ha descargado un complemento muchas veces, no asuma que es seguro, dale tiempo para una búsqueda rápida en línea para verificar si no era la fuente de hacks recientes. Del mismo modo, planifique en una auditoría trimestral de los complementos y los temas que ha instalado y elimine los que no usa. Y finalmente, no asuma que los complementos son la única forma de mejorar su sitio. También hay muchas prácticas de actuación para que los sitios web aumenten sus ventas sin depender de los terceros complementos, lo que puede dejarlo vulnerable a los piratas informáticos.