Un estudio reciente descubrió que las vulnerabilidades relacionadas con WordPress han aumentado un 300% en 2018 en comparación con el año anterior. La mayoría de los errores estaban en los complementos que amplían la funcionalidad de los sitios web de WordPress.
Wordpress está presente en aproximadamente el 30% de todos los sitios web en Internet, WordPress es el sistema de administración de contenido (CMS) más popular, seguido por Joomla y Drupal que se quedan atrás a una distancia segura.
En 2018, la cantidad de vulnerabilidades asociadas con WordPress fue de 542, según un informe que la empresa de ciberseguridad Imperva compartió con BleepingComputer.
La cifra es casi tres veces más de lo que vio la compañía en 2017, cuando se registraron menos de 200 vulnerabilidades relacionadas con WordPress. Joomla y Drupal se vieron afectados por menos de 150 errores combinados.
Casi todas las vulnerabilidades, el 98%, están relacionadas con los complementos de WordPress, que son más de 50,000 en el sitio web oficial de CMS. Esto significa que solo el 2% estaba en el código de WordPress.
"Cualquier persona puede crear un complemento y publicarlo: WordPress es de código abierto, fácil de administrar, y no existe ninguna aplicación o proceso adecuado que exija estándares de seguridad mínimos (por ejemplo, análisis de código). Por lo tanto, los complementos de WordPress son propensos a las vulnerabilidades", dice la compañía .
El informe de Imperva también señala un aumento en la cantidad de fallas de seguridad que afectan a las aplicaciones web. Según los datos de la compañía, un exploit está disponible públicamente para más de la mitad (54%) de ellos, y en el 38% de los casos, no existe una solución de mitigación, como un parche o una actualización de software.
Los errores de tipo de inyección que afectaron a las aplicaciones web fueron los más numerosos en 2018, con Imperva contando cerca de 3,300 revelaciones. Una mirada más cercana reveló que casi 1,980 de ellos permitieron la ejecución remota de código (RCE) y 1,354 habilitaron ataques de inyección de SQL.
El informe informa que la cantidad de vulnerabilidades de scripts entre sitios (XSS) se duplicó desde 2017, lo que representa el 14% de todas las fallas de seguridad reportadas para las aplicaciones web el año pasado.
