Un exhaustivo informe de seguridad realizado por Patchstack ha revelado datos preocupantes sobre el estado de la seguridad en WordPress durante 2023, identificando 7,966 nuevas vulnerabilidades en el ecosistema de esta popular plataforma de gestión de contenidos. El análisis destaca que la gran mayoría de las amenazas no se encuentran en el núcleo del sistema, sino en sus componentes adicionales.

Distribución y Alcance de las Vulnerabilidades

El estudio señala que el núcleo de WordPress mantiene un nivel de seguridad robusto, con solo siete vulnerabilidades detectadas en el código base. Sin embargo, la situación es más crítica en los componentes de terceros, donde los plugins acumulan el 96% de las vulnerabilidades (7,633 casos) y los temas el 4% restante (326 incidencias). Especialmente alarmante resulta que 1,018 de estas vulnerabilidades afectan a plugins con más de 100,000 instalaciones activas.

Análisis de Severidad y Vectores de Ataque

La investigación clasifica las vulnerabilidades según su nivel de riesgo: 69.6% presentan bajo riesgo de explotación, 18.8% son susceptibles a ataques dirigidos, y 11.6% están bajo explotación activa. Los tipos más frecuentes de vulnerabilidades identificadas incluyen:

Principales Amenazas Detectadas

Las vulnerabilidades más prevalentes son:
– Cross-Site Scripting (XSS): 47.7%
– Fallos en Control de Acceso: 14.19%
– Cross-Site Request Forgery (CSRF): 11.35%
Un dato significativo es que el 43% de estas vulnerabilidades pueden ser explotadas sin necesidad de autenticación en el sistema.

Impacto en la Comunidad WordPress

La magnitud del problema se evidencia en que 115 plugins vulnerables cuentan con más de 1 millón de instalaciones cada uno, y siete superan los 10 millones de instalaciones. Más preocupante aún es que el 33% de las vulnerabilidades reportadas permanecieron sin parchar hasta su divulgación pública.

Este análisis subraya la necesidad crítica de implementar mejores prácticas de desarrollo seguro en la comunidad WordPress y establecer procesos más ágiles de respuesta ante vulnerabilidades. Se recomienda a los administradores de sitios mantener actualizados todos los componentes, implementar soluciones de seguridad proactivas y realizar auditorías regulares de sus plugins y temas instalados.