Una historia de operaciones de seguridad de WordPress y qué significan

Siendo uno de los proyectos de software de código abierto más importantes del mundo, WordPress ha sido un objetivo natural para ejecutar seguridad desde que apareció en el escenario. Dado que la base de usuarios continúa aumentando su posición como el CMS más popular del mundo, es cierto que esto no cambiará demasiado pronto. La aparición de vulnerabilidades de seguridad significativas este año nos ha recordado una vez más la necesidad de una vigilancia continua y la importancia de mantener los sitios actualizados. En este artículo, cubriremos una selección de las principales exploits de seguridad de WordPress hasta ahora y lo que han significado tanto para los usuarios como para el futuro de WordPress.
Pero antes de ingresar al pasado, completaremos algunos espacios gratuitos en la seguridad de WordPress en general. Alguna información de seguridad de WordPress

El libro de seguridad blanco WordPress. La seguridad estaba en el radar de la comunidad de WordPress desde el principio por razones bien fundadas y es una parte crítica del proyecto en su conjunto. Una medida de cuán alta es la seguridad de la cola de prioridad al acceder a la página sobre wordpress.org, donde la sección de seguridad se muestra muy visiblemente.
El libro de seguridad de WordPress White Si no ha leído el libro de seguridad de WordPress White anteriormente, vale la pena tomarse unos minutos para viajar.
Proporciona una breve imagen del enfoque del proyecto a la seguridad y cubre una serie de puntos útiles, incluido lo siguiente:
Numeración de versiones y lanzamientos de seguridad: las versiones menores están reservadas para el enfoque de las vulnerabilidades de seguridad, como se destaca en la reciente edición de seguridad 4.1.2. WordPress Organización de seguridad interna: WordPress Security Team contiene aproximadamente 25 personas, contribuyendo automáticamente a la mitad. De los recursos. Tienen una experiencia sólida para trabajar con otros líderes de la industria en vulnerabilidades comunes y se dedican a una política de apertura.
Los tipos más comunes de amenazas: el trabajo también enumera una presentación útil general de las amenazas de seguridad más comunes, según lo definido por el proyecto de seguridad de aplicaciones web abiertas. Esto incluye vectores de ataque ordinarios, como inyección SQL y scripts entre sitios.
El papel de los complementos y los temas: con aproximadamente 30,000 complementos y más de 2,000 temas disponibles en WordPress.org, es obvio que son, con mucho, la entrada más vulnerable.
La importancia del alojamiento: las mejores medidas de seguridad del mundo en WordPress local significarán poco si encuentra que su entorno de host se ve comprometido.
WordPress Security Archive La forma más rápida de obtener una visión general de cuánta actividad ha existido en el frente de seguridad de WordPress a lo largo de los años es una visita rápida al archivo de seguridad de WordPress:
Allí encontrará detalles sobre todas las versiones de seguridad hasta ahora, convenientemente ensambladas en un solo lugar. Como puede ver en el diario de entrada, los problemas de seguridad tienden a aparecer en las explosiones y pronto entraremos en los detalles de algunos de ellos. Conocer como Matt Mullenweg no deja de enfatizar, la mayor mejora de la seguridad que puede aportar a su sitio es asegurarse de que se actualice permanentemente. Los ataques en curso son, desafortunadamente, un hecho de la vida en línea, pero la comunidad tiene una excelente historia de acercarse a ellos de manera rápida y transparente. Pasemos a algunos de los períodos notables en los que el nivel de amenaza era particularmente alto y se vio obligado a hacer eso. exactamente que. 2007/2008 – Ataques tempranos La creciente popularidad de WordPress como CMS, ya que se acerca al aniversario de cinco años condujo al aumento considerable en el nivel de ataques. Los piratas informáticos se centraron naturalmente en frutas que no se esperan y una ola de exploits dirigidas a blogs de SEO y Adsense apareció en 2007 y 2008:

TechCrunch condujo con este título bastante alarmante.
Para empeorar las cosas, los propios servidores de WordPress se comprometieron en este momento, lo que condujo a la inclusión de un potencial de puerta trasera en WordPress 2.1.1 en 2007.

El problema se resolvió rápidamente en la versión de seguridad 2.1.2, pero hizo poco por la reputación de software temprana. A mediados de 2007, el tema de la seguridad era cada vez más un punto de interés importante entre los líderes de la comunidad, uno de los efectos importantes a largo plazo de esta concentración renovada es la posible introducción de un solo clic en WordPress 2.7 (Coltrane). El proceso de actualización manual anterior se ha informado durante mucho tiempo como un obstáculo importante para usar a los usuarios para actualizar nueve explosiones regulares de actividad de julio a octubre, con una serie de correcciones de seguridad que se han lanzado, que cubren las versiones de WordPress 2.8.1 a 2.8.6. La situación comenzó con el descubrimiento de Corelabs de una seria vulnerabilidad que afecta las versiones 2.8 y las versiones posteriores. Esto se resolvió con el lanzamiento de la versión 2.8.1, pero también marcó el comienzo de una serie de lanzamientos que abordan la consolidación general de WordPress o el remedio de las vulnerabilidades agudas. Esta secuencia terminó con el lanzamiento de 2.8.6 por Acción de Gracias 2009.
Aunque el efecto a largo plazo de ajustar la seguridad general de WordPress ha sido increíblemente positiva, muchos en la comunidad recordarán un momento oscuro para la plataforma, cuando parecía que se necesitaba una actualización cada dos semanas.
Hay una excelente reescritura de este período de tiempo de Jason Cosper en torque, poniendo toda la serie de incidentes en perspectiva y enfatizando el punto de cambio para la plataforma que representó. 2011 – Problemas de imagen El año 2011 fue principalmente notable por la gran aparición a gran escala de la vulnerabilidad de Timthumb, a través de la cual la utilidad de cambio de tamaño de imagen popular podría usarse para cargar y ejecutar el código PHP arbitrario. Aunque el problema inicial se ha corregido rápidamente y se ha realizado Trabajos adicionales significativos en la utilidad En los próximos años, Timthumb siguió siendo un objetivo para los ataques actuales hasta 2014.
El desarrollador Tim Thumb, Ben Gillbanks retiró oficialmente el código el 27 de septiembre de 2014.
Sirve como un excelente recordatorio de la persistencia de los piratas informáticos para atacar una ruta una vez que se ha establecido una vulnerabilidad. Sitios de 2013 en peligro en 2013, se han sacudido varios problemas de seguridad con el lanzamiento de una serie de informes que resaltan las vulnerabilidades continuas de los sitios de WordPress de alto perfil en la naturaleza.

La compañía de seguridad Enable de Security ha perfilado los sitios de WordPress enumerados entre los primeros millones de sitios web Alexa y llegó a la conclusión de que de 42,106 sitios de WordPress encontrados, el 73.2% eran vulnerables al ataque como resultado de versiones que ejecutan software obsoleto. Aunque hubo algunas disputas en el nivel de amenaza, las cifras actuaron como un recordatorio adicional de que la actualización regular sigue siendo una preocupación incluso para las instalaciones más grandes de WordPress. Un informe separado sobre los complementos de la compañía israelí CheckMarx descubrió que siete de los diez complementos de comercio electrónico más populares también contenían vulnerabilidades potenciales. 2015-Major comprometidos complementos y finalmente llegamos a 2015, otro año de nota. Esto se debió en gran medida al reciente descubrimiento de una vulnerabilidad de XSS que afecta a varios complementos más instalados en el ecosistema de WordPress. La lista de complementos afectados fue real que es de la gran y buena WordPress, incluidos Yoast, Forms de gravedad e incluso Jetpack.
Incluso los complementos de WordPress más grandes del mundo pueden ser vulnerables, pero las actualizaciones de seguridad se lanzan casi al instante.

Como de costumbre, la vulnerabilidad básica se ha resuelto rápidamente en la versión 4.1.2, pero solo muestra que incluso en 2015, con más de una década de monitoreo activo y fortalecimiento de la plataforma, pueden ocurrir problemas importantes de seguridad en algún momento. . Obtenga más información sobre WPMU Dev, además de la actualización, por supuesto, hay un conjunto mucho más amplio de medidas que puede tomar con WordPress para que su sitio sea lo más seguro posible. He abordado el tema de la seguridad varias veces aquí en WPMU Dev a lo largo de los años y he proporcionado guías integrales para ayudarlo a mantener esas puertas digitales bien bloqueadas. Consulte estos tres artículos, especialmente para obtener información completa sobre los pasos a seguir para proteger su sitio: Seguridad de WordPress: Consejos probados y verdaderos para asegurar WordPress. Jenni McKinnon ofreció una presentación general actualizada del tema de seguridad general de WordPress a principios de año. Un súper punto de partida si recién está comenzando a investigar este tema.
Elementos de seguridad esenciales de WordPress. Raelene Wilson le presenta nuestra serie de videos de cinco partes de todo lo que necesita saber para asegurar su sitio. Un reloj esencial para los propietarios de sitios.
Seguridad de WordPress: Guía Suprema. La canción 2014 de Kevin Muldoon es una maravillosa guía profundamente profundizada de los pasos que dio después de que su propio sitio se rompió. Una grave profundización del sujeto.
Recursos adicionales El tema de la seguridad en línea es obviamente vasto, por lo que nos limitaremos a dos puntos sólidos para una exploración posterior:

Refuerzo de WordPress. El códice de WordPress en sí es un excelente punto de partida para profundizar y no hay mejor lugar para comenzar allí que la sección de WordPress.sucuri.net. Además de ayudar a resaltar los problemas con los complementos de este año, Good Juice People ha seguido problemas de seguridad de WordPress durante un período de tiempo considerable. Su blog es un excelente recurso de seguridad en línea en general y WordPress en particular.
Conclusión Como puede ver tanto en los episodios históricos que hemos destacado aquí como de la serie actual de exploits que han hecho ira en 2015, la seguridad es un tema que los propietarios de WordPress deben mantener constantemente. La plataforma en sí ha tomado pasos significativos a lo largo de los años para formar un equipo de seguridad de clase mundial, y su reacción a las hazañas individuales rara vez fue menos que inmediata. Las actualizaciones regulares y la atención prestada al tipo de recursos de seguridad que mencionamos al final del artículo siguen siendo la mejor manera de mantener las cosas seguras si administra su propio sitio.
Tenemos curiosidad por escuchar sus opiniones sobre cómo WordPress ha manejado este tema a lo largo de los años y si cree que la última ola de exploits es un duro golpe para la reputación de la plataforma o no. Comparta su opinión en los comentarios a continuación.
Etiquetas:
Seguridad de WordPress