Wordpress como CMS es muy seguro, el problema son los plugins

En el IV Congreso de Seguridad Informática Navaja Negra se habló de Wordpress y sus vulnerabilidades. El encargado de abordar este tema fue el joven Juan Manuel Fernández (@TheXC3LL), un biólogo amante de la informática que se dedica a encontrar las vulnerabilidades de este CMS. Desde COLIBRIS Openpartners charlamos con él para conocer más sobre este tema.

¿Es la primera vez que asistes a Navaja Negra?

“Vine el año pasado, invitado por Pedro. Me gustó mucho el ambiente, sobre todo el networking, cómo interaccionan las personas, y las charlas también, que eran muy buenas y técnicas. Así que he repetido este año. Pedro me invitó a que mandase mi propuesta, la gente la votó, no sé por qué, y aquí estoy”.

La charla que has impartido lleva por título 'The Walking Wordpress: zombificando webs'. ¿Qué es eso de zombificar webs?

“Realmente no es un término que exista. Los equipos que están infectados son boots, y se denominan zombies, por eso lo de zombificar una web. Básicamente lo que hago es controlar una web sin ser yo administrador de ella. La ataco, exploto una vulnerabilidad y la puedo utilizar para lo que quiera... para distribuir malware en ella, hacer ataques de negación de servicios, etcétera”.

¿Es Wordpress un CMS seguro?

“Wordpress en sí es bastante seguro. Las vulnerabilidades que están saliendo son más de tipo estadístico; es decir, por ejemplo puedes averiguar una cookie y loguearte como otra persona, pero a lo mejor tienes que mandar diez mil peticiones para que coincida. Son vulnerabilidades bastante débiles, que no te permiten acceder totalmente al interior. Como CMS es muy seguro, el problema son los plugins, que no tienen ningún mínimo de seguridad. Como Wordpress está tan distribuido, cuando se tiene una vulnerabilidad en algún plugin, puede afectar a más de 50.000 sitios en apenas tres días”.

¿Cuáles podrían ser las soluciones para atajar esas vulnerabilidades?

“Se podrían hacer cosas, pero para ello habría que modificar la filosofía de cómo funciona Wordpress. Lo que se puede hacer, y se está haciendo, es una fortificación por parte de los usuarios, mirar los permisos de los ficheros, cambiar las tablas de la base de datos, mover algunas carpetas que están por defecto para evitar ataques... Claro que Wordpress podría ser más seguro, se podrían hacer muchas cosas, pero tendrían que modificar cómo funciona realmente Wordpress”.

Para terminar. Con las constantes evoluciones a nivel informático, ¿una persona que se dedica a este campo debe estar continuamente en formación?

“Mi camino es un mal ejemplo. Yo soy autodidacta. Investigo en Internet e intento estar siempre al día, leyendo blogs, listas de correos, noticias y continuamente hay que reciclarse en lo que se sabe, porque diariamente aparecen nuevas vulnerabilidades. Hay que pasar mucho tiempo navegando y leer, leer y leer”.