Por qué los plugins desactualizados son la causa número uno de los hackeos en WordPress

Si preguntas a cualquier agencia o investigador de seguridad qué causa la mayoría de las brechas en WordPress, obtendrás siempre la misma respuesta. Los plugins. No el núcleo de WordPress, ni el servidor, ni las contraseñas robadas. Los plugins. La razón es sencilla. Solo en el repositorio oficial hay cerca de 60.000 plugins, con miles más vendidos de forma privada, y todos se ejecutan con acceso completo de PHP a tu sitio. Cuando uno de ellos tiene un fallo de seguridad y no lo actualizas, tienes una puerta conocida abierta en tu servidor.

Este artículo analiza por qué los plugins desactualizados son un problema tan constante, cómo se explotan las vulnerabilidades en la práctica y qué puedes hacer para que tu sitio no forme parte de las estadísticas del mes que viene.

La estructura de una vulnerabilidad de plugin

Cada plugin que instalas añade código que se ejecuta como parte de tu sitio de WordPress. Ese código puede leer tu base de datos, escribir archivos en tu servidor, enviar correos, llamar a APIs externas y ejecutar comandos. Cuando el código está bien escrito, hace todo eso de forma segura. Cuando no lo está, entrega a los atacantes herramientas de las que pueden abusar.

Entre los fallos habituales de los plugins están la subida de archivos sin autenticación, donde una función pensada para administradores con sesión iniciada queda accesible a cualquiera en internet. La inyección SQL, donde la entrada del usuario se concatena en una consulta a la base de datos sin el escapado adecuado. El cross site scripting, donde contenido controlado por el atacante se renderiza como HTML vivo dentro del navegador de un administrador. La escalada de privilegios, donde una cuenta de nivel suscriptor puede convertirse en administradora. La deserialización insegura, donde estructuras de datos complejas enviadas desde fuera desencadenan la ejecución de código.

Cada uno de estos fallos puede dar a un atacante la capacidad de instalar puertas traseras, dejar archivos maliciosos, crear cuentas de administrador fraudulentas o saltar a otros sitios del mismo servidor. El plugin no tiene por qué ser oscuro. Algunos de los plugins más explotados en la historia de WordPress han tenido decenas de millones de instalaciones.

Por qué la divulgación es un arma de doble filo

La comunidad de seguridad funciona con la divulgación responsable. Un investigador encuentra un fallo, lo informa de forma privada al autor del plugin, el autor publica una versión parcheada, y unos días o semanas después los detalles se publican en avisos CVE y boletines de seguridad. Esto es sano. Es como mejora el ecosistema.

La parte insana es lo que ocurre a continuación. Los escáneres automatizados vigilan de cerca esos avisos. A las pocas horas de una divulgación pública, los bots barren la web pública identificando sitios de WordPress y comparándolos con la lista de versiones vulnerables. Si tu sitio aún ejecuta la versión sin parchear, serás encontrado, a menudo dentro del primer día.

Por eso importa tanto la ventana entre la divulgación y la actualización en tu sitio. Una rutina de actualización semanal suele atrapar las cosas a tiempo. Una trimestral casi nunca lo hace.

El plugin que ya nadie mantiene

Aún peor que un plugin desactualizado es uno abandonado. Los autores de plugins van y vienen, y no todos anuncian cuándo han dejado de mantener su código. Un plugin que lleva dos años sin actualizarse no es más seguro porque nada haya cambiado. Es más peligroso, porque cualquier vulnerabilidad descubierta desde entonces nunca se parcheará.

El repositorio de WordPress ahora señala los plugins que llevan mucho tiempo sin actualizarse, pero es conservador a la hora de eliminarlos por completo. La responsabilidad de notarlo y migrar recae en ti. Una rutina de soporte mensual debería incluir la comprobación de la fecha de última actualización de cada plugin que ejecutas.

Un caso práctico: cómo un plugin de gestor de archivos tumbó un sitio de Sídney

Una auditoría reciente de un cliente contó una historia clara. El sitio, gestionado por una pequeña agencia de Sídney, tenía instalado un plugin de gestor de archivos que daba a los administradores una interfaz web para navegar y editar archivos del servidor. Cómodo, pero también un objetivo históricamente conocido. Esa familia de plugins ha tenido múltiples vulnerabilidades críticas de ejecución remota de código publicadas a lo largo de los años.

El plugin no se había mantenido al día. Un atacante explotó un fallo conocido, obtuvo acceso de escritura a la raíz del documento y dejó quince archivos maliciosos en directorios que imitaban los nombres de páginas reales de WordPress. El resultado fue un ataque de cloaking SEO que servía spam a Googlebot y quemó el posicionamiento del dominio en buscadores.

La limpieza fue cara. El SEO perdido fue más caro aún. Una rutina de actualización mensual habría detectado el plugin vulnerable y motivado un parche inmediato o la eliminación total del plugin. La reparación completa habría sido un trabajo de quince minutos durante el mantenimiento rutinario.

Por qué la gente no actualiza los plugins

Las razones que da la gente para no actualizar los plugins encajan en unos pocos patrones conocidos. Vale la pena conocerlos, porque cada uno tiene una respuesta mejor.

Algunos propietarios temen que las actualizaciones rompan el sitio. La respuesta es probar primero en un entorno de pruebas, hacer una copia de seguridad y actualizar de forma controlada. No la de no actualizar nunca.

Algunos propietarios no revisan su sitio a menudo. La respuesta es configurar alertas por correo cuando hay actualizaciones disponibles, o poner el sitio en un plan de soporte donde otra persona sí lo revise.

Algunos propietarios usan un plugin muy personalizado y temen que una actualización sobrescriba sus cambios. La respuesta es no editar nunca los archivos del plugin directamente. Usa los hooks y filtros del plugin desde un tema hijo o un plugin propio, para que las actualizaciones dejen de romper tus personalizaciones.

Algunos propietarios no saben que el plugin existe. Heredaron el sitio, o un freelance instaló algo hace años y nunca se lo dijo. La respuesta es una auditoría. Abre la página de plugins y mira. Si no sabes qué hace algo, averígualo o elimínalo.

Cómo es una rutina segura de actualización de plugins

La rutina básica es la misma en todos los sitios que gestionamos. Haz una copia de seguridad completa, incluidos base de datos y archivos. Aplica las actualizaciones en pruebas si el cambio parece arriesgado. Actualiza los plugins por lotes, no todos a la vez, para que si algo se rompe sepas qué plugin lo causó. Prueba el sitio rápidamente después, visitando al menos la página de inicio, una landing clave, el proceso de compra si lo hay y el área de administración. Documenta cualquier plugin que cause problemas de forma recurrente y plantéate reemplazarlo.

Para los plugins premium, mantén la licencia activa. Una licencia caducada significa sin actualizaciones, sin parches de seguridad y sin soporte. La cuota anual de licencia casi siempre es menor que el coste de una sola recuperación tras una brecha.

Reducir el número de plugins que ejecutas

El movimiento de seguridad más infravalorado es simplemente tener menos plugins. Cada plugin es más superficie de ataque. Cada plugin es otro proveedor de cuyo calendario de actualizaciones dependes. Muchos sitios de WordPress que auditamos tienen 25 o 30 plugins activos, y al menos un tercio de ellos hacen cosas que o ya no se usan o podrían combinarse.

Repasa la lista. Si no recuerdas por qué instalaste algo, probablemente no lo necesitas. Si dos plugins se solapan en función, consolídalos. La menor huella de plugins que entregue lo que realmente necesitas es la más segura.

El resumen

Los plugins son la parte más potente y la más peligrosa de WordPress. Te dan las funciones que hacen atractiva la plataforma, y dan a los atacantes las puertas que convierten a los sitios de WordPress en un objetivo tan habitual. La solución no es evitar los plugins, sino gestionarlos. Mantenlos actualizados. Mantenlos ligeros. Date cuenta cuando uno queda abandonado y migra a otra cosa. Trata tu lista de plugins como un presupuesto, no como un cajón de sastre.

¿Necesitas ayuda?

Si quieres que en Defyn auditemos los plugins de tu sitio de WordPress y te digamos cuáles están en riesgo, cuáles pueden eliminarse y cuáles necesitan reemplazo, ponte en contacto. Una auditoría de plugins centrada es una de las cosas de mayor impacto que puedes hacer por la seguridad de tu sitio.