WordPress es, a día de hoy, la opción líder en lo que se refiere a plataformas de gestión y publicación de contenidos online. Según los datos recopilados por W3Techs cuenta con un 63% de la cuota de mercado, seguido muy de lejos por Joomla (4,2%), Shopify (4%), Drupal (2,8%) y SquareSpace (2,5%). Una supremacía ganada por sus muchas virtudes, pero que como ya estamos acostumbrados a ver tiene un reverso menos agradable, ya que es un objetivo habitual de muchos tipos de ataques. No en vano, los servicios de seguridad son de los más valorados por los usuarios de la plataforma.
Ahora bien, una cosa es que sea un objetivo común, y otra muy distinta es lo que está ocurriendo estos últimos días, sobre lo que informa en su blog Wordfence, precisamente uno de esos servicios especializados en securizar instalaciones de WordPress. Y es que como podemos leer, el pasado 28 de abril se inició una campaña a gran escala contra sitios web basados en WordPress. Según los datos recopilados por la compañía, el volumen habitual de ataques se ha multiplicado por 30 durante los últimos días.
No hablamos, pues, de un pequeño incremento que sea justificable recurriendo a la estadística, no. Según la compañía se intentaron más de 20 millones de ataques contra más de medio millón de sitios individuales el 3 de mayo. También hay otro dato interesante, y que podría indicar que no hablamos de un nuevo ataque, sino más bien de una importante escalada por parte de una amenaza ya existente, puesto que durante el mes de abril se detectaron más de 24.000 direcciones IP enviando peticiones coincidentes con las que se están empleando en estos ataques. El pasado cinco de mayo el número de sitios atacados ya superaba los 900.000.
Hablamos, por lo tanto, de un enorme ataque que, aparentemente tendría un único actor ejecutándolo. El empleo del mismo javascript en todos los ataques detectados nos confirma que «alguien» ha decidido emplear todos sus recursos (o al menos una gran parte de los mismos) a un solo objetivo, sitios web con WordPress. Aunque el informe de WordFence no lo menciona específicamente, basta con comprobar el número de sitios atacados e IPs empleadas para entender que tras el mismo se encuentra una botnet de tamaño medio.
Un aspecto importante de este ataque es que está evolucionando. Fue identificado en primera instancia por el mencionado javascript que es común en todos los ataques. Sin embargo, un análisis más minucioso ha revelado que en el ataque se están intentando explotar varias vulnerabilidades y, lo que es peor, es bastante probable que el perfil de la campaña pueda variar, introduciéndose nuevos elementos con el fin de intentar incrementar el número de víctimas que sufran un ataque exitoso.
Con su configuración actual, el ataque persigue fundamentalmente dos objetivos. El fundamental consiste en intentar comprometer el acceso de un usuario que sea administrador de la instalación. Si lo consigue procederá, de inmediato, a descargar un archivo malicioso que empleará para crear una puerta trasera con la que el atacante podrá acceder al sistema. Para el resto de usuarios, se limitará a redirigirlos a scams online y otros contenidos maliciosos.
Un elemento razonablemente tranquilizador de la publicación es que la mayoría de las vulnerabilidades que está empleando este atacante afectan a versiones antiguas de plugins, elementos que ya han recibido actualizaciones desde entonces. Mantener actualizado WordPress y los plugins, así como desinstalar componentes que ya no se estén empleando, nos ayudará a reducir en gran medida el nivel de riesgo que estaremos asumiendo frente a esta amenaza.