Auditando seguridad de WordPress con WPScan

Es conocido que WordPress es uno de los sistemas de gestión de contenidos más utilizados a lo largo de la red. La sencillez que provee a la hora de gestionar los distintos artículos generados por los autores y la diversidad de plugins existentes han transformado a esta plataforma de CMS en una de los más populares. Sin embargo, es muy recomendable auditar la seguridad del blog que utilice WordPress y de esa forma poder determinar si es vulnerable o no. Para ello, existe una herramienta sumamente recomendable llamada WPScan.

Han existido casos donde la seguridad de un blog ha sido vulnerada por algún plugin de terceros que ha sido instalado en el servidor. Un ejemplo claro de esto fue la vulnerabilidad en el módulo Count Per Day de WordPress. Otro caso de gran repercusión fue el aquel donde WordPress fue vector de propagación de Flashback. Los ciberdelincuentes pudieron lograr esto a  través de plugins que permitieron la inyección de código al sitio original.

Debido a esta problemática es importante evaluar la seguridad de los blog así como también considerar los diferentes plugins instalados. WPScan es una herramienta que se actualiza periódicamente y contempla muchos de los plugins instalados así como sus problemas de seguridad.

Con WPScan es posible determinar los plugins que fueron instalados en WordPress a través del siguiente comando:

ruby wpscan –url [URL del blog] –enumerate p

De esta manera, es posible enumerar y conocer los plugins que se encuentran instalados. Para aquellos que fueron detectados, se realiza un chequeo contra vulnerabilidades conocidas en los mismos. En caso de que el resultado sea afirmativo, WPScan informará sobre la vulnerabilidad y proveerá un enlace con más información y, en algunos casos, indicará el exploit público para explotar la misma. A continuación, puede visualizarse una captura con los plugins detectados por WPScan en un entorno de prueba:

WPScan
Asimismo, mediante el siguiente comando es posible enumerar aquellos usuarios que utilizan la plataforma:

ruby wpscan –url [URL del blog] –enumerate u

WPScan posee un módulo que permite realizar fuerza bruta sobre aquellos usuarios que fueron enumerados utilizando un archivo del tipo diccionario. Mediante esta técnica será posible auditar la fortaleza de las contraseñas utilizadas por los usuarios del sistema. Es importante recordar que las contraseñas siguen siendo el punto débil de los usuarios.

Otra de las funcionalidades que brinda WPScan es  información sobre el tema (perfil gráfico) que tiene instalado el blog. Además, especifica la versión de WordPress que se encuentra instalada en el servidor. Esto puede utilizarse para comprobar de que realmente se esté utilizando la versión más actual del sistema de gestión de contenidos. Además, en caso de que se tenga instalado una versión vulnerable de WordPress, WPScan especificará información relevante sobre dichas vulnerabilidades.

Si bien WPScan provee otras funcionalidades además de las especificadas, cabe destacar que la seguridad debe gestionarse en todo ámbito. Tal cómo hechos pasados lo han demostrado, una vulnerabilidad puede comprometer un sistema a nivel general. Realizando pruebas similares, y conociendo de forma más profunda el escenario global de aquellos sistemas que se gestionen, es posible estar preparados y disminuir las probabilidades de sufrir un ataque. Contemplando esta posibilidad, desde ESET Latinoamérica contamos con ESET Security Services, donde brindamos diferentes tipos de auditoría de seguridad recurriendo a las necesidad de cada compañía u organización.

Fernando Catoira
Analista de Seguridad

Autor , ESET

Síguenos