Pandemia WordPress

La amplia difusión y popularidad de WordPress ha convertido a este CMS en una de las plataformas más utilizadas a la hora de producir y publicar contenido web; el tiempo escasea y sobre todo hay limitaciones en los recursos económicos para tirar adelante proyectos que requieren diseño, programación y creación/maquetación de contenido: esto hace que el DIY (Do It Yoursef) triunfe en todos los ámbitos y la autoedición web no se escapa de esto. Además la serialización de sitios web es muy práctica y apetecible para cualquier agencia o profesional del diseño y desarrollo web por lo que esta solución Open Source (coste cero en licencias nativas) se percibe como una medida estratégica para sobrevivir a la caída de la demanda de servicios profesionales y a la vez para recortar costes y minimizar el tiempo de entrega de proyectos web, lo cual redunda en cobrar las facturas antes y disponer de liquidez.

Pero esto genera una situación de inseguridad generalizada en un área extensa de la WWW. La cadena es tan fuerte como el eslabón más débil, la vulnerabilidad WordPress dicta el destino de muchas instalaciones.

 

Pandemia WordPress

Cuando una población entera o gran parte de ella comparte una carencia defensiva o una sensibilidad acusada a una serie de males, los brotes de enfermedad suelen expandirse de forma geométrica y no lineal, esto se debe a que la población afectada es más propensa a servir de «combustible» a un mal común, sea un virus, una bacteria… O el malware. Cuando el brote afecta a la población independientemente de su ubicación geográfica hablamos de pandemia y no de epidemia, que sería la versión localizada en lugares concretos.

Trasladando el problema de la pandemia de la biología al ámbito de la edición web, es obvio que cogiendo perspectiva sobre el «espacio WP» esto se veía venir. Un número importante de intereses ha encontrado en WordPress y sus vulnerabilidades inherentes una puerta de entrada barata y muy productiva hacia los objetivos económicos, político-religiosos o de cualquier tipo que estuvieran persiguiendo: cualquier aprendiz de hacker solamente tiene que acudir a una biblioteca pública o pasar por una librería y adquirir un ejemplar de entre los cientos o miles de obras que de forma metódica y detallada destripan la arquitectura interna de WordPress y sus plugins más populares. No te digo la de contenido disponible online…
No veremos una crisis Concrete5, pero Joomla 1.5 está incluso peor que WordPress. Veremos una crisis Prestashop?

Asumiendo esto, es fácil ver que esta situación de alerta generalizada tenía que llegar, la única diferencia respecto a brotes como el virus Blaster/Sasser (2003) es que estos fueron los primeros gusanos inteligentes que se pasearon a sus anchas por los sistemas de Windows 2000 y XP de todo el mundo, paralizando economías por todas partes. De hecho hay quien dice que aún hoy puedes probar a instalar un XP a pelo (sin Service Packs) y conectarlo a Internet, a ver qué pasa…

Como el malware no afecta al servidor Exchange de tu empresa ni a tus Terminal Servers ni a tus servidores ERP o de bases de datos el impacto económico es menor porque no inhabilita a las empresas e instituciones para seguir con sus actividades habituales, todo lo cual repercute en que la «fiebre del XSS» no sale en las Noticias y el público en general ignora totalmente esta historia.

Pero la comunidad especializada que gira entorno a WP sí que está (o debería estar) alerta. Prueba de ello es este anuncio de una de las mayores plataformas de venta de plantillas WordPress (themes)  y Plugins, Themeforest & Codecanyon.

Si has llegado hasta aquí puede que te ronde la pregunta clave de todo este asunto:

¿Qué intereses son esos que convierten a la comunidad WordPress en un hospital de campaña?

Bueno, haberlos hay muchos y variados, pero por lo que a mi especialidad en tráfico orgánico representa existen 2 tipos principales de «sospechosos habituales» (gran película de Brian Singer, por cierto ;)

¿Quién anda detrás de este malware?

  • Black hat SEO: los de verdad, los chungos, los que debes temer… Se ha aplicado durante mucho tiempo este mote a la gente equivocada, las prácticas de riesgo en SEO no deberían ser etiquetadas como «Black Hat», hacer campañas de enlaces de pago encubiertas o utilizar variantes imaginativas de cloacking y otros subterfugios no es ser «chungo», es jugar con las probabilidades de poner a Google a tu servicio o que Google te ponga a cuatro patas. Esta categoría de interesados en introducir malware en tu WordPress pretenden inyectar enlaces en tu contenido, ya sea en páginas legítimas que llevan tu firma o en contenidos autogenerados que escapan a tu control mientras residen en tu sitio web. Puedes ver un buen ejemplo de hacking SEO en este artículo que muestra cómo se han colado en una web de ex-alumnos de una universidad norteamericana y esta acaba llevando tráfico a una serie de tiendas online, las cuales seguramente desconocen los métodos de la agencia SEO que han contratado para que les consigan tráfico.
    Offtopic: si has visto la peli que comentaba más arriba, esta es la categoría de Keyser Söze
  • Monetizadores de landing sites: estos vendrían a ser de hecho una subcategoría de los anteriores, lo que pretenden es producir impresiones de banners y anuncios o simplemente «hits» en páginas que pagan cantidades ínfimas por una impresión o hit, pero que acaban dando una pasta a quien sabe manipular este tráfico robado y consigue traducirlo en cifras masivas, a costa de los activos web de otra gente.

Y ahora, señoras y señores, la constatación de los hechos…

El anuncio sobre la pandemia WordPress

Este es un anuncio a la comunidad en general para llamar su atención sobre una vulnerabilidad XSS que afecta a múltiples plugins de WordPress y temas . La vulnerabilidad se debe a un patrón común en el código utilizado en los plugins WordPress y temas disponibles en ThemeForest y CodeCanyon, el sitio oficial WordPress.org y otras fuentes.

Este problema no se limita a los temas y plugins comprados a ThemeForest o CodeCanyon. Cualquier persona que use un sitio web de WordPress, independientemente de donde era originario el tema o plugin, tiene que ser consciente de esto y tomar medidas inmediatas para garantizar que es seguro.

este problema no se limita a los temas y plugins comprados a ThemeForest o CodeCanyon!

Qué tengo que hacer?

Como no hay una manera sencilla de saber exactamente cómo se ven afectados los plugins y temas y el problema es generalizado, nuestro mejor consejo es comprobar periódicamente si hay actualizaciones para temas de WordPress o plugins que está usando y aplicar los disponibles tan pronto como sea posible.

Envato está trabajando activamente con todos los autores ThemeForest y Codecanyon, explicando el problema y pidiéndoles que comprueben que sus productos sean seguros y actualizarlos si es necesario.

Esperamos que los productos disponibles en ThemeForest y Codecanyon sean actualizados (y lo sean continuadamente) durante las próximas semanas, estando ya la mayoría actualizado ya o en estos próximos días. Las actualizaciones pueden descargarse desde la página de descargas a medida que estén disponibles. Si a usted le gustaría ser notificado automáticamente sobre los nuevos cambios, por favor active «notificaciones de actualización del artículo» en la configuración de correo electrónico.

Para cambios a los artículos obtenidos de otras fuentes, por favor verifique los Plugins y Temas de páginas en el área de administración de WordPress o póngase en contacto con el proveedor del producto.

Le recomendamos que siga atento a las actualizaciones, especialmente en las próximas semanas, pero también de manera continua. Es importante mantener siempre su instalación de WordPress, plugins asociados y temas actualizados. Si aún tiene dudas, le sugerimos contratar a un desarrollador con experiencia en WordPress para verificar si su sitio se ve afectado.

Más detalles están disponibles a través de los siguientes enlaces:

¿Cuál es tu opinión?

Tu cuenta de correo no se hará pública.

¡Pon tu web a trabajar ya! Contacta hoy sin compromiso