#XSS en múltiples plugins para #WordPress

El investigador de seguridad Tim Coen ha publicado múltiples vulnerabilidades en hasta 11 Plugins diferentes para WordPress. Estas vulnerabilidades podrían permitir realizar ataques ‘Cross-site Scripting’ (XSS) reflejados debido a la falta de filtrado antes de mostrar determinados parámetros con contenido proporcionado por el usuario.

A continuación se enumeran dichos plugins, las versiones vulnerables y actualizadas, el parámetro causante del fallo de seguridad y una prueba de concepto para comprobar si la versión instalada se encuentra afectada:

Blog2Social

• Versión vulnerable: 5.0.2
• Versión actualizada: 5.0.3
• Parámetro ‘b2s_update_publish_date’
• PoC: http://[WP-BLOG]/wp-admin/admin.php?page=blog2social-ship&postId=70&b2s_action=1&b2s_update_publish_date='”;><img src=x onerror=alert(‘Prueba de concepto: ¡¡¡vulnerable!!!’)>

Contact Form Email 7.10.41

• Versión vulnerable: 1.2.65
• Versión actualizada: 1.2.66
• Parámetro ‘item’
• PoC: http://[WP-BLOG]/wp-admin/admin.php?page=cp_contactformtoemail&edit=1&cal=1&item='”;><img+src%3Dx+onerror%3Dalert(‘Prueba de concepto: ¡¡¡vulnerable!!!’)>

Font_Organizer

• Versión vulnerable: 2.1.1
• Versión actualizada: Este plugin no ha recibido ninguna actualización por el momento.
• Parámetro ‘manage_font_id’
• PoC: http://[WP-BLOG]/wp-admin/options-general.php?page=font-setting-admin&manage_font_id='”;><img src=x onerror=alert(‘Prueba de concepto: ¡¡¡vulnerable!!!’)>

Give

• Versión vulnerable: 2.3.0
• Versión actualizada: 2.3.1
• Varios parámetros como ‘csv’, ‘mode’, ‘create_user’ y ‘delete_csv’.
• PoC: http://[WP-BLOG]/wp-admin/edit.php?post_type=give_forms&page=give-tools&tab=import&importer-type=import_donations&step=3&mapto%5B0%5D=email&mapto%5B1%5D=first_name&mapto%5B2%5D=amount&mapto%5B3%5D=form_id&csv='”><img+src%3dx+onerror%3dalert(‘Prueba de concepto: ¡¡¡vulnerable!!!’)>

KingComposer

• Versión vulnerable: 2.7.6
• Versión actualizada: Los desarrolladores de este plugin no han dado ninguna respuesta sobre el estado de este error. Se recomienda actualizar a la última versión disponible (en estos momentos la 2.7.8).
• Parámetro ‘id’
• PoC: http://[WP-BLOG]/wp-admin/admin.php?page=kc-mapper&id=<%2Fscript><script>alert(‘Prueba de concepto: ¡¡¡vulnerable!!!’)<%2Fscript>

NextScripts: Social Networks Auto-Poster

• Versión vulnerable: 4.2.7
• Versión actualizada: 4.2.8
• Parámetro ‘item’
• PoC: http://[WP-BLOG]/wp-admin/admin.php?page=nxssnap-reposter&action=edit&item=24′”;><img+src%3Dx+onerror%3Dalert(‘Prueba de concepto: ¡¡¡vulnerable!!!’)>

Quiz And Survey Master

• Versión vulnerable: 6.0.4
• Versión actualizada: Los desarrolladores de este plugin no han dado ninguna información sobre el estado de este error. Se recomienda actualizar a la última versión disponible (en estos momentos la 6.2.0).
• Parámetro ‘quiz_id’
• PoC: http://[WP-BLOG]/wp-admin/admin.php?page=mlw_quiz_results&quiz_id='”;><img+src%3Dx+onerror%3Dalert(‘Prueba de concepto: ¡¡¡vulnerable!!!’)>

wpGoogleMaps

• Versión vulnerable: 7.10.41
• Versión actualizada: 7.10.43
• Al hacer un eco de ‘PHP_SELF’ sin filtrado previo.
• PoC: http://[WP-BLOG]/wp-admin/admin.php/'”;><img src=x onerror=alert(‘Prueba de concepto: ¡¡¡vulnerable!!!’)>?page=wp-google-maps-menu&action=foo

WP Live Chat Support

• Versión vulnerable: 8.0.17
• Versión actualizada: 8.0.18
• Parámetro: ‘term’
• PoC: http://[WP-BLOG]/wp-admin/admin.php?page=wplivechat-menu-gdpr-page&term='”;><img+src%3Dx+onerror%3Dalert(‘Prueba de concepto: ¡¡¡vulnerable!!!’)>

YOP Poll

• Versión vulnerable: 6.0.2
• Versión actualizada: 6.0.3
• Parámetro: ‘poll_id’
• PoC: http://[WP-BLOG]/wp-admin/admin.php?page=yop-polls&action=view-votes&poll_id=1′”;><img+src%3Dx+onerror%3Dalert(‘Prueba de concepto: ¡¡¡vulnerable!!!’)>
• Adicionalmente también ha publicado varios errores de seguridad en el plugin Forminator para WordPress, de los cuales ya hablamos hace unos días: “Vulnerabilidades en el plugin de WordPress Forminator“.

Se pueden descargar las versiones indicadas de los anteriores plugins desde la página web oficial de WorPress.

Fuente | una-al-dia

Vulnerabilidades en el plugin de #WordPress Forminator

Se han hecho públicas 5 vulnerabilidades que afectan a Forminator en su versión 1.5 y han sido calificadas de alto riesgo.

Forminator es un plugin para WordPress, con el que se pueden realizar de forma cómoda formularios de contacto, encuestas, pruebas, etc.

La primera de las vulnerabilidades permitiría a un atacante no autenticado realizar un ataque XSS persistente través de un formulario de encuesta. Este error es debido a una incorrecta codificación en uno de los campos a la hora de mostrar los resultados de dicha encuesta.

La segunda vulnerabilidad permite la extracción de información sensible de la base de datos a través de una inyección SQL relaccionada con la acción de eliminar envíos. Para aprovechar este fallo de seguridad sí es requerido que el atacante esté autenticado en el sistema y tenga permisos para realizar esta acción.

La siguiente vulnerabilidad existe gracias a la carga de archivos, la cual podría ser aprovechada para realizar un ataque XSS, debido a que el fichero que se sube a través del formulario es añadido directamente al DOM.

Otra vulnerabilidad existe debido a una falta de protección al abrir una pestaña nueva en el navegador, la cual podría permitir a un atacante remoto el robo de información sensible a través de la recarga de una página falsa en la pestaña origen. A este tipo de ataque se le conoce como ‘Tab Napping’.

La última vulnerabilidad reportada aparece en la acción de exportación de resultados, que podría ser aprovechada para revelar información sensible a través del envío de datos especialmente manipulados en un formulario.

Las vulnerabilidades, que actualmente tienen pruebas de concepto para su explotación, fueron reportadas el día 25 de noviembre de 2018, y disponen de una solución oficial desde el día 10 de diciembre.

Enlace | una-al-dia

Más información
Forminator 1.5.4 – Unauthenticated Persistent XSS, Blind SQL Injection, Misc
https://security-consulting.icu/blog/2019/02/wordpress-forminator-persistent-xss-blind-sql-injection/

Un fallo de deserialización en PHP pone en riesgo a millones de sitios web WordPress

El investigador en seguridad Sam Thomas, que trabaja para Secarma, ha descubierto una nueva técnica que podría hacer más fácil a los atacantes la explotación de vulnerabilidades de deserialización en PHP mediante la utilización de funciones que eran consideradas como de riesgo bajo.

PHP es uno de los lenguajes de programación más populares, siendo la tecnología para el tratamiento de páginas web dinámicas desde el lado del servidor más utilizado del mundo. Además, muchos de los CMS más importantes lo utilizan, entre ellos WordPress, por lo que podría haber millones de sitios web vulnerables ante esta nueva técnica descubierta.

La deserialización en PHP fue documentada inicialmente en 2009 y abre la puerta a que atacantes puedan llevar a cabo diferentes tipos de ataques mediante el suministro de entradas maliciosas a la función unserialize(), la cual es una característica oficial y legítima de la implementación oficial del lenguaje que nos ocupa. Básicamente, la función seriar (serialize()) permite convertir los datos de los objetos en texto plano, mientras que deserializar (unserialize()) ayuda al programa a recrear el objeto a partir de la cadena en texto plano.

Sam Thomas ha descubierto que un atacante puede usar funciones de bajo riesgo contra archivos Phar (un formato de fichero en PHP que almacena los metadatos en un formato seriado que se deserializa cuando una función de operación de ficheros intenta acceder a él) para realizar de ataques de deserialización sin requerir la utilización de la función unserialize() en una gran variedad de escenarios.

Para explotar el fallo con éxito, el atacante solo tiene que subir al servidor objetivo un fichero para su conversión a un Phar válido que contenga una carga maliciosa en forma de objeto. Después se tiene que hacer que la función que opera con el archivo acceda utilizando el wrapper de transmisión “phar://” para ejecutar el código arbitrario cuando el programa deserializa los metadatos. Por ejemplo, el investigador ha conseguido explotarlo con una imagen JPEG, la cual pasó de un fichero Phar a una imagen JPEG válida al modificar sus 100 primeros bytes, algo que ha podido realizar a través de la funcionalidad de miniaturas de WordPress, que “habilita a un atacante con privilegios para cargar y modificar elementos multimedia y obtener el control suficiente del parámetro utilizado en una llamada ‘file_exists’ para causar una deserialización.”

Sam Thomas ha reportado la vulnerabilidad al equipo de WordPress a principios del presente año, pero a día de hoy todavía no hay un parche que neutralice al 100% la vulnerabilidad. También lo ha reportado a Typo3 el 9 de junio de 2018, aunque para este CMS sí hay un parche completo que ha llegado a las versiones 7.6.30, 8.7.17 y 9.3.

Fuente | Muy Seguridad

WordPress 4.9.8 - Versión de mantenimiento

Estamos encantados de anunciar la disponibilidad inmediata de WordPress 4.9.8. Esta versión de mantenimiento soluciona 46 fallos, mejoras y benditas tareas, incluida la actualización del tema Twenty Seventeen incluido.

A continuación tienes lo más destacado de las novedades.

Mensaje “Prueba Gutenberg”

A la mayoría de los usuarios se les mostrará un aviso en su escritorio de WordPress. Este “Prueba Gutenberg” es una oportunidad para los usuarios de usar el editor de bloques Gutenberg antes de su lanzamiento en WordPress 5.0.

En WordPress 4.9.8, el mensaje se mostrará a los siguientes usuarios:

• Si Gutenberg no está instalado o activo el mensaje se mostrará a los usuarios administradores en los sitios simples, y al super administrador en multisitios.
• Si Gutenberg está instalado y activo el mensaje se mostrará a usuarios colaboradores y superiores.
• Si está instalado y activo el plugin Classic Editor el mensaje se ocultará a todos los usuarios.

Puedes aprender más leyendo  “Try Gutenberg” Callout in WordPress 4.9.8 (en inglés).

Arreglos/mejoras de privacidad

Esta versión incluye 18 arreglos de privacidad centrados en asegurar la consistencia y flexibilidad en las nuevas herramientas de datos personales que se añadieron en la versión 4.9.6, incluyendo:

• El tipo de solicitud a confirmar ahora se incluye en la línea del asunto en todos los correos de confirmación de privacidad.
• Mejoras de consistencia con el nombre del sitio utilizado en los correos de privacidad en multisitio.
• Ahora se puede ajustar la paginación en las pantallas de administración de solicitudes de privacidad.
• Se ha incrementado la cobertura de pruebas para varias funciones de privacidad incluidas.

Esta entrada tiene más información (en inglés) sobre todos los problemas solucionados en la versión 4.9.8 si quieres aprender más.

Descarga WordPress 4.9.8 o pásate por tu Escritorio → Actualizaciones y haz clic en “Actualizar ahora”. Los sitios compatibles con las actualizaciones automáticas en segundo plano ya están empezando a actualizarse automáticamente.

Fuente | Comunidad de WordPress

Nuevo #WordPress 4.9.7 actualización de Seguridad

Está disponible para actualizar WordPress 4.9.7 como versión de seguridad, para solucionar 17 problemas detectados en la anterior versión hasta la 3.7 incluida, por lo que deberías actualizar previa realización de una copia de seguridad.

El mayor problema detectado en versiones vulnerables es que un usuario con ciertos privilegios pueda eliminar archivos fuera de /uploads.

Se han solucionado también problemas con taxonomías, eliminación de cookie de contraseña al cerrar sesión, mejoras en widgets HTML, y correcciones relacionadas con la privacidad.

Antes de actualizar es importante realizar una copia de seguridad (si tu actualización no es automática).

Mejoras y correcciones

Las versiones de WordPress 4.9.6 y las anteriores hasta la 3.7 se ven afectadas por un problema en Medios que puede facilitar el que un usuario con ciertas capacidades intente eliminar archivos fuera del directorio de subidas.

Se han solucionado 17 errores en WordPress 4.9.7:

• Taxonomía: se mejora la gestión de la memoria caché para consultas de términos.
• Publicaciones, tipos de publicaciones: se elimina la cookie de la contraseña al cerrar la sesión.
• Widgets: se permite etiquetas HTML básicas en las descripciones de la barra lateral en la pantalla de administración de Widgets.
• Panel de eventos de la comunidad: siempre muestra el WordCamp más cercano si aparece uno, incluso si hay múltiples Meetups primero.
• Privacidad: se comprueba de que el contenido predeterminado de la Política de Privacidad no cause un error fatal al sobrescribir las reglas de reescritura fuera del contexto de administración.
• Esta actualización no afecta a los temas nativos de WordPresss.org por lo que no sufren modificaciones.

Enlace | WebEmpresa

Un fallo en WordPress permite a un autor borrar ficheros y ejecutar código arbitrario

Los investigadores de RIPS Technologies GmbH descubrieron hace siete meses una vulnerabilidad en el conocido CMS WordPress que permite a un usuario con bajos privilegios poder secuestrar todo el sitio web y ejecutar código arbitrario a nivel del servidor.

A pesar de todo el tiempo transcurrido, en la actualidad todas las versiones de WordPress, incluida la 4.9.6, siguen afectadas por el fallo de seguridad descubierta por los investigadores, que reside en una de las funciones principales de WordPress y se ejecuta en segundo plano cuando un usuario borra de forma permanente una miniatura o una imagen subida.

La función de eliminación de miniaturas acepta entradas de usuario sin sanitizar, permitiendo a usuarios con privilegios restringidos, a partir de los autores, borrar cualquier fichero alojado en el almacenamiento web, algo que solo tendría que poder realizar los administradores del servidor o el sitio web. El requerir al menos una cuenta de autor reduce la gravedad del fallo hasta cierto punto, que puede ser explotado por cualquier colaborador o hacker que obtenga las credenciales de un autor mediante ataque de phishing, reutilización de contraseña u otros tipos de ataques.

Los investigadores avisan de que el actor malicioso podría terminar borrando ficheros críticos como “.httaccess” del servidor web, que contiene ciertas configuraciones relacionadas con la seguridad, en un intento de inhabilitar la protección. Otra posibilidad es borrar el fichero “wp-config.php”, abriendo así al puerta a que se vuelva a iniciar el instalador y poder así reconfigurar el sitio web con los parámetros que el hacker crea conveniente y obtener así control total.

Aquí es importante tener en cuenta una cosa, y es que el hacker no tiene acceso directo al fichero “wp-config.php”, así que no puede obtener parámetros de configuración como el nombre del base de datos, el nombre de usuario de MySQL y la contraseña de dicho usuario de MySQL, por lo que no le queda otra que reconfigurar utilizando un base de datos remota que esté bajo su control. Una vez terminado el proceso de instalación, el atacante podrá hacer lo que quiera con el sitio web, incluso ejecutar código arbitrario.

Los investigadores han publicado un parche propio para corregir este problema, mientras el equipo de seguridad de WordPress todavía busca una manera de parchearlo en la próxima versión de mantenimiento del CMS.

Fuente: The Hacker News

Nuevo #WordPress 4.9.3, actualización de mantenimiento

Ya se encuentra disponible una nueva versión de mantenimiento WordPress 4.9.3.

Figura 1: WordPress 4.9.3

Esta versión de mantenimiento soluciona 34 fallos de la versión 4.9, incluyendo soluciones a los registros de cambios del Personalizador, widgets, el editor visual, y compatibilidad con PHP 7.2. Para ver la lista de cambios consulta la lista de tickets y el registro de cambios.

Es muy importante llevar adelante y ejecutar esta actualización, para evitar cualquier tipo de problemas.

Por otro lado, para aprender a implementar diferentes esquemas de mantenimiento y actualización, no se olviden que se encuentra disponible mi libro "Máxima Seguridad en WordPress" publicado por la editorial 0xWORD.

Además, se encuentra el curso virtual de Seguridad en Entornos WordPress HCSWP para no perderse ningún detalle, con videos prácticos y mucha documentación.

Saludos!

Fuente | WordPress en español

Nueva campaña de KeyLogger en #WordPress

Una nueva campaña de malware ha sido descubierta, la cual está infectando a sitios web con WordPress instalando un KeyLogger que además está siendo aprovechado para minar #Bitcoins.

El malware ha sido descubierto por el investigador de seguridad de Sucuri, Denis Sinegubko, el cual tiene sospechas que esta nueva campaña pueda estar ligada a la campaña que sufrió este CMS en diciembre de 2017, en la cual se afectó a unos 5500 sitios web. El motivo de esta sospecha es debido a que en los dos ataque realizados se utilizó este keylogger de criptomoneda como método de ataque, un malware llamado “cloudflare[.]solutions”, aunque hay que aclarar que este malware no tiene nada que ver con la empresa Cloudflare.

El nombre de este malware es debido a que los scripts utilizados utilizaban los recursos de este dominio, actualmente inactivo, aunque esta nueva versión ya tiene nuevos dominios registrados como cdjs[.]online, cdns[.]ws y msdns[.]online.

El ataque se realiza en sitios WordPress con una seguridad débil, por medio de la injección de scripts en base de datos (en tabla "wp_posts") o en el archivo "functions.php".

Como medida de limpieza, se recomienda eliminar el código malicioso de los ficheros de temas "functions.php", revisar las tablas "wp_posts" y cambiar todas las contraseñas del sitio web.

Fuente | una-al-dia Hispasec

Actualización de Seguridad en #WordPress 4.9.1

A días de ser publicada la versión final de WordPress 4.9 "Tipton", ya se encuentra publicada una actualización de Mantenimiento y Seguridad 4.9.1.

Figura 1: Actualización de Mantenimiento y Seguridad en WordPress 4.9.1

Las versiones de WordPress 4.9 y anteriores están afectadas por problemas de seguridad que podrían, potencialmente, ser aprovechados como parte de un ataque en varios vectores. Como parte del lanzamiento en marcha del equipo principal del núcleo, para fortalecer las seguridad, se han implementado las siguientes soluciones en la versión 4.9.1

WordPress 4.9.1

Se han solucionado otros once fallos en WordPress 4.9.1. En concreto citamos estos:

• Problemas relacionados con la caché de los archivos de plantillas de temas.
• Un error de MediaElement JavaScript que impedía que usuarios de ciertos idiomas pudieran subir archivos de medios.
• La imposibilidad de editar archivos de temas y plugins en servidores basados en Windows.

Por esta razón, es recomendable llevar esta actualización de WordPress la última versión revisada para evitar que los datos sean comprometido.

Figura 2: Máxima Seguridad en WordPress

Recuerden que desde mi libro "Máxima Seguridad en WordPress" publicada por la editorial 0xWORD, van a encontrar mcuhos tips y recomendaciones para mantener un WordPress sano y "fuerte" y por otro lado los invito a apuntarse al curso HCSWP - Seguridad en entornos WordPress por The Security Sentinel.

Figura 3: Segurdad en entornos WordPress

Saludos!

Enalce | Actualización de Mantenimiento y Seguridad en WordPress 4.9.1

Actualización de Seguridad en #WordPress 4.8.3

Ya se encuentra disponible la actualización de seguridad de WordPress en su versión 4.8.3. Por esta razón es recomendable actualizar todos los proyecto que utilizan las versiones anteriores para lograr mitigar el problema.

Figura 1: Actualización de Seguridad en WordPress 4.8.3

En las versiones anteriores de WordPress se identificó una vulnerabilidad que afecta a la Clase $wpdb->prepare() donde es posible generar peticiones inseguras e inesperada, según lo informa el sitio web oficial de WordPress, donde podrían generar potenciales ataques de Inyección SQL.

Si bien se especifica que el core de WordPress no es vulnerable por sí mismo a este problema, sin embargo se refuerza en una actualización debido a que esta clase es utilizada en diferentes Themes o Plugins que incorporan los proyectos en general.

WordPress 4.8.3

Anthony Ferrara, fue el investigador quien colaboró en el descubrimiento y anuncio de esta vulnerabilidad, antes que caiga en manos equivocadas y sea explotada por otros medios.

Para conocer más sobre las modificaciones que incorpora esta nueva versión, los invito a revisar las notas de los desarrolladores.

Si estás interesado en aprender a mejorar y fortificar la seguridad de tus proyectos web, no dejes de consultar en The Security Sentinel por el Curso de "Seguridad en entornos WordPress" y llevate mi libro "Máxima Seguridad en WordPress" publicado en 0xWORD.

Figura 2: The Security Sentinel

Saludos!

Fuente | WordPress 4.8.3 Security Release

HCSWP - Seguridad en entornos #WordPress

Nuevo Curso Online de Seguridad en entornos WordPress para la plataforma de "The Security Sentinel"

En este curso serás capaz de obtener una visión de la seguridad de WordPress y las diferentes capacidades para proteger entornos WordPress.

El curso propone una serie de semanas en las que se irán viendo las diferentes capas de seguridad que tienen los sistemas WordPress.

El enfoque del práctico es eminentemente práctico.

El alumno tendrá un avance supervisado y guiado a través de la comunicación online, facilitando la comprensión de los conceptos expuestos en el curso.

Allí les voy a dar un enfoque a los siguientes temas:

Semana 1: Entendiendo necesidades de seguridad en WordPress

• Introducción a la Seguridad en WordPress
• Estructura interna de cada proyecto.
• Instalación de WordPress.

Semana 2: Configurando seguridad del usuario en WordPress

• Usuarios y Roles en WordPress.
• Configuraciones de Seguridad.
• Fortificando la autenticación de Usuario.

Semana 3: Aplicando capa de protección al framework

• Seguridad en Plugins.
• Catalogo de Plugins y recomendaciones.
• Seguridad en Themes.

Semana 4: Auditoría, política de restauración y política de actualización

• Políticas de actualización.
• MySQL y WordPress.
• Restauración ante desastres.
• Auditorías en WordPress.

A quienes participen de esta formación, como obsequio se va a obsequiar el libro "Máxima Seguridad en WordPress" publicado por la editorial 0xWORD.

A quienes están interesados, no dejen de realizar sus consultas a The Security Sentinel y además no se pierdan de todas las ofertas de educación técnica en temas de Seguridad que brinda esta plataforma.

Saludos!

Actualización de Seguridad en #WordPress 4.8.2

El equipo encargado del desarrollo de WordPress, publicó un nuevo parche de Seguridad crítico para la versión 4.8.2

Figura 1: Actualización de Seguridad WordPress 4.8.2

Se corrigieron 6 errores encontradas en las versiones anteriores y 9 fallos de seguridad principalmente de tipo XSS.

Para conocer como adoptar nuevos hábitos de seguridad y poder llevar a otro nivel la fortificación de sus proyectos en WordPress, junto a los chicos de la editorial 0xWORD publicamos "Máxima Seguridad en WordPress".

Figura 2: Máxima Seguridad en WordPress

Saludos!

Enlace | WordPress 4.8.2 Security and Maintenance Release

Google Hack: Buscando Logs en el Plugins File Manager de #WordPress

¿Como podemos evitar exponer más información de la que realmente necesitamos mostrar en un proyecto web? Esta tarea es sin duda un trabajo muy fino que deberíamos aplicar a cada sitio y la verdad que no es para nada simple.

Figura 1: Buscando Logs en el Plugin File Manager de #WordPress

El mínimo punto de exposición, es uno de los principios del Hardening para mejorar la seguridad de cualquier aplicación, y es el punto de inicio de ese proceso.

Hoy les quería mostrar un pequeño Google Hack que encontré hace un par de días y que ya se encuentra publicado en Exploit-db, en donde el Plugin File Manager de WordPress exponer un archivo Log bastante interesante.

inurl:"wp-content/uploads/file-manager/log.txt"

Figura 2: Google Hack

Pese a que esta búsqueda en Google es bastante general y es posible encontrar casi 500 posibles webs expuesta, la plataforma de Plugins de WordPress indica que existen más de 50.000 instancias activas y que potencialmente podrían ser comprometidas.

Figura 3: Resultado de log.txt

Ya sea en un plugin de WordPress, Joomla! o cualquier CMS. No olviden que antes de exponer un sistema o una web a Internet, tomen el tiempo de realizar un análisis exhaustivo de todos y cada uno de los componentes que incorporan y seguir los procesos de auditorías.

Saludos!

Que pasa cuando las Funcionalidades son más complejas que los modelos de Seguridad #WordPress

El día de hoy voy a tratar de dar un punto de vista a una de las noticias más comentadas de la semana pasada como fué los más de 300.000 sitios vulnerables por un fallo de seguridad en un Plugins de WordPress.

Figura 1: Que pasa cuando las funcionalidades som más complejas que los modelos de Seguridad

La situación para llegar a este punto es más compleja y hasta quizás más profunda de analizar, pero voy a tratar de hacer un resúmen no solo de lo que pasó, sino también como podemos estar un poco más alerta.

A fines del mes de Junio, el equipo de investigadores de Sucuri, descubre y publica un fallo de seguridad, en la que afectar a un Plugin de WordPress llamado WP Statistics en su versión 12.0.8

Al parecer, según la publicación escrita por Sucuri, es posible llevar adelante un ataque por medio de una vulnerabilidad SQL Injection en uno de los parámetros no controlado por el desarrollador del Plugin.

Como siempre, hay que reconocer el excelente trabajo de Sucuri, al informar y alertar sobre los posibles problemas a quienes están a cargo del desarrollo de éste Plugin, ya que corresponde sin duda una gran responsabilidad.

Para hacer un poco de memoria, afortunadamente, hoy contamos con bases de datos de vulnerabilidades como WPScan Vulnerability Database donde podemos encontrar estos datos:

Figura 2: WPScan Vulnerability Database

Estos datos tienen que ser una fuente importante al momento de decidir si un Plugin va a pertenecer o no a un Proyecto de WordPress.

Otra fuente importante es el archivo ChangeLog que incorpora el Plugin de forma obligatoria, donde allí es posible seguir la evolución el proyecto y algunos detalles más.

Con esto no vamos a decir que WP Statistics no es un buen Plugin, sino que el analista o la persona que está a cargo de llevar adelante la implementación de WordPress tiene que conocer estos datos y el antecedente de cada componente dentro del proyecto.

Ésto es algo implícito que se sabe al momento de instalar WordPress o cualquier CMS como Joomla!, Drupal, PrestaShop, etc, donde por ninguna razón se garantiza la seguridad del proyecto.

Otro punto que se descuida son las actualizaciones, o lo que se vió en muchos casos luego de esta noticia, es que en muchos proyecto se desactivó el plugin para dejar de trackear la información pero dejaron el directorio del Plugin sobre el servidor, que a nivel técnico es posible seguir comprometiendo.

¿Esto se podría haber evitado?

Puede que si o puede que no, la realidad es que hoy fue un Plugin muy popular donde era de esperar que el impacto sea muy grande, mañana el problema puede estar en otro Plugin, en una librería o incluso sobre el mismo core de WordPress.

Lo más importante que tenemos que entender es que las funcionalidades no tiene que ser más complejas o sobrepasar las medidas de seguridad, de lo contrario no estaremos haciendo un buen trabajo al mantener la seguridad de WordPress.

En el ecosistema de WordPress es muy importante estar dispuesto a mantener una actualización en cada uno de los componentes importantes. WordPress es un gran proyecto que mantiene a sus usuarios acostumbrados a publicar varias actualizaciones por cada versión.

Si a priori sabemos que los componentes a lo largo del tiempo se van a actualizar, lo mejor que podemos hacer es redactar y poner en práctica como es la forma que vamos a actuar al momento que esto ocurra, cuáles van a ser los procedimientos que se van a ejecutar cuando ocurra X o Y evento.

De esta manera, cuando ocurra este tipo de publicaciones, rápidamente vamos a saber como actuar, e independientemente del valor de proyectos comprometidos, vamos a saber como actuar en el momento indicado.

Para conocer como adoptar nuevos hábitos de seguridad y poder llevar a otro nivel la fortificación de sus proyectos en WordPress, junto a los chicos de la editorial 0xWORD publicamos "Máxima Seguridad en WordPress".

Figura 3: Máxima Seguridad en WordPress

Saludos!

¿Seguro que creo webs seguras? por @TomyCant

El 22 y 23 de Abril de este año se llevó adelante el evento llamado WordCamp Madrid 2017 con más de 20 conferencias todas relacionadas con el apasionante ecosistema de WordPress.

Imagen 1: WordCamp Madrid 2017

Con temas que van desde Diseño, Posicionamiento, Rendimiento y Seguridad, una gran cantidad de entusiastas y profesionales del desarrollo web colmaron el Campus Madrid estos días.

En este evento, partició Tomás Sierra @TomyCant con su conferencia ¿Seguro que creo webs seguras? y en donde además le envío un agradecimiento muy especial por recomendar la herramienta WPHardening como una herramienta para fortificar los proyectos en WordPress.

Para más detalles, no se pierdan ni un solo minuto de su presentación en el siguiente video.


Saludos!

Actualización de Seguridad en #WordPress 4.7.5

El equipo de desarrolladores de #WordPress anunción que se encuentra disponible y liberada una nueva actualización crítica para WordPress 4.7.5

Actualización de Seguridad en WordPress 4.7.5

La misma corrige 6 problemas de seguridad detectadas en versiones anteriores, entre las que encontramos:

• Validación de redirección insuficiente en la clase HTTP.
• Manejo inadecuado de los valores post-meta-datos en la API XML-RPC.
• Falta de capacidad de comprobación de post-metadatos en la API XML-RPC.
• Se detectó una vulnerabilidad de Cross Site Request Forgery (CSRF) en el diálogo de credenciales del sistema de archivos.
• Se descubrió una vulnerabilidad de XSS (cross-site scripting) al intentar cargar archivos muy grandes.
• Se descubrió una vulnerabilidad de XSS (cross-site scripting) relacionada con el Personalizador (Customizer).

Por otro lado, recuerden que aquellos que quieran aprender como mantener fortificadas los proyectos en WordPress, los invito a que adquieran mi libro llamado "Máxima Seguridad en WordPress" publicado por 0xWORD.

Por otro lado, ya estoy trabajando para verificar que WPHardening sea completamente compatible con esta nueva versión de WordPress a la hora de fortificarlo.

Saludos!

Enlace | WordPress 4.7.5

Disponible #WPHardening 1.6

Luego de cerrar algun issues para mejorar y optimizar la herramienta, tengo el agrado de presentar WPHardening v1.6 que además, lo presenté la semana pasada en el evento OWASP Latam Tour 2017 - Chapter Buenos Aires.

Figura 1: WPHardening

WPHardening 1.6

Desde hace un par de años, todas las investigaciones que llevo adelante, las buenas prácticas en implementación de WordPress y mejoras en la seguridad, los fuí dejando a disposición de WPHardening para que cualquier persona tenga la posibilidad de aplicar niveles aceptables de seguridad mínima en sus proyectos.

Por otro lado, desde la editorial 0xWORD publiqué mi primer libro llamado "Máxima Seguridad en WordPress" donde capítulo tras capítulo lo va llevando al lector a entender los posibles problemas de seguridad y las mejores prácticas para solucionarlo.

Figura 2: Máxima Seguridad en WordPress

Luego de cerrar algunos issues dentro de la plataforma GitHub, ya se encuentra disponible la posibilidad de utilizar WPHardening 1.6 que incluye las siguientes características:

• Compatibilidad con WordPress 4.7.4 o inferiores.
• Remover el Theme por defecto llamado Twentyfifteen.
• Añade cabeceras X-Frame-Options, X-Content-Type-Options.
• Se añade a la lista de plugins Ninja Firewall y WPS Hide Login.
• Se agrega la opción para incorporar 6G Firewall.
• Se agrega la opción para desactivas REST API.
• Resumen de todos los cambios en un formato HTML.

En total 17 cambios implementados para mejorar aún más las bases de cada proyecto en WordPress.

Por otro lado, la experiencia en OWASP Latam Tour estuvo genial, compartiendo muy buenos momentos entre amigos.

Pueden colaborar con el proyecto indicando mejoras, colaborando con código, sumando críticas y cualquier comentario que ayude a crecer el proyecto.

Saludos!

Enlace | WPHardening v1.6

#WPHardening en OWASP Latam Tour 2017

Para este Viernes 28 de Abril, están todos invitados a la nueva edición de OWASP Latam Tour 2017 Buenos Aires.

Allí voy a estar presentando WPHardening como herramienta para fortificar y mejorar la Seguridad de los Proyectos en WordPress.

OWASP Latam Tour 2017 edición Buenos Aires se va a celebrar en la Sede de Belgrano de Digital House ubicado en Monroe 860

Listado de Charlas

9:20 Introducción a OWASP (Martín Tartarelli / Andrés Riancho)
9:35 String comparison timing attacks (Andrés Riancho)
10:25 Análisis de aplicaciones móviles [Android] (Juan Urbano Stordeur)
10:50 Cafe
11:20 HTTP/2 - Un viaje por el RFC (Maximiliano Soler)
11:45 Are we safe with No SQL? The answer is NO! (Maximiliano Berrutto)
12:35 Almuerzo
13:55 Malas Compañías (Fabian Martinez Portantier)
14:20 Seguridad en WordPress con WPHardening (Daniel Maldonado)
15:10 Cafe
15:40 Quantum Key Distribution - BB84 (Nicolas Videla)
16:05 Certificate Transparency, el qué y el cómo (Cristian Borghello)
16:30 Seguridad automatizada en SDLC (Alejandro Iacobelli Alexander Campos)
17:20 Cierre del evento (Martin Tartarelli)

Los espero allí para vivir un evento genial!

Saludos!

#Video - Como mejorar la Seguridad en #WordPress

Nada más interesante que juntarse con amigos y conversar, intercambiar opiniones sobre temas tan interesantes como la Seguridad en WordPress, tema que por cierto desde hace un par de años vengo trabajando muy fuerte.




Gracias a la invitación de Yolanda Corral @yocomu, Jorge Coronado @JorgeWebsec y Tomás Sierra @TomyCant por compartir un espacio de intercambio de opinión y ciberdebate.

Hace algunas horas el equipo de desarrollo y seguridad publicó una nueva versión de #WordPress 4.7.3 donde corrigen 6 fallos críticos de seguridad.

Cuál es la mejor estrategia o por donde podemos iniciar las actualización, los invito a que se encuentren con el libro que publiqué para la editorial 0xWORD llamado "Máxima Seguridad en WordPress".

Saludos!

Curso Virtual - Seguridad en WordPress

El próximo Lunes 6 de Marzo, damos inicio junto a Aula25 de la Facultad Regional San Francisco, al primer Curso Virtual de Seguridad en WordPress.

Figura 1: Curso Virtual de Seguridad en WordPress

Aún estás a tiempo de sumarte y conocer las bases de como mejorar la seguridad y fortificar tus proyectos en WordPress, haciendo foco en los problemas actuales y los nuevo hábitos para administrar de forma efectiva las plataformas.

Modalidad: Clases pregrabadas (en diferido) + Respuestas a preguntas por videos y foros.

Fecha y hora: Cada lunes, miércoles y viernes desde el 6 de marzo al 3 de abril se habilitará una nueva clase. El alumno podrá visualizarla indefinidamente hasta la fecha de finalización del curso.

Duración: 13 clases de 1 hora + 12 horas de actividades extra.

Audiencia: Docentes, Profesionales en el área de desarrollo web que desean introducirse a la implementación de nuevas tecnologías y seguridad informática. Desarrolladores webs, programadores, estudiantes en carreras informáticas y emprendedores.

Objetivos:

• Objetivos Generales
• Conocer los alcances de WordPress en el mercado de la web.
• Comprender los aspectos generales de WordPress.
• Realizar la instalación y puesta en marcha de un completo entorno de Pruebas Virtual junto a todos los componentes que requiere WordPress.
• Adquirir y fijar conocimientos sobre el rol de la seguridad en este tipo de entornos.
• Validar sus conocimientos de cara al mercado profesional de la Seguridad Web.
• Objetivos Específicos
• Implementar un proyecto con WordPress.
• Comprender cada componente dentro de WordPress.
• Configurar correctamente cada proyecto analizando diferentes factores.
• Aplicar de forma adecuada Usuarios y Roles.
• Conocer la estructura interna de cada Plugins y Themes.
• Aplicar diferentes políticas de actualización en cada componente del proyecto.
• Validar los conocimientos en restauración y análisis de riesgo en proyectos web en WordPress

Temario:

• Introducción a la seguridad en WordPress.
• Estructura Interna.
• Instalación de WordPress.
• Usuarios y Roles en WordPress.
• Configuraciones de Seguridad.
• Fortificando la autenticación de usuarios.
• Seguridad en Plugins.
• Catálogo de Plugins y recomendaciones.
• Seguridad en Themes.
• Políticas de actualización
• MySQL y WordPress
• Restauración ante desastres
• Auditorías en WordPress

Certificación:

Se entregarán certificados de asistencia o aprobación (en caso de superar las actividades prácticas y el examen final) avalados por la Universidad Tecnológica Nacional correspondientes a las 25 horas del curso.

Si estás interesa, dejanos tu mensaje o ingresá a Aula25 para más información. No te pierdas la oportunidad de mejorar la seguridad en tus proyectos de WordPress.

Saludos!