«De la Planta a la Cremá: el Ciclo de Vida de las Vulnerabilidades de WordPress», de la mano de Néstor Angulo.

El jueves pasado 27 de marzo de 2025 celebramos otro encuentro de la MeetUp de WordPress Valencia la cual tuve la oportunidad de coorganizar. Estas reuniones son parte de los eventos celebrados por la Comunidad de WordPress, una red global de personas que contribuimos al proyecto de WordPress, un CMS de código abierto, usado por un 42% de la web. En la primera parte tuvimos una charla y en la segunda el networking. Esta vez en el público había muchos viejos amigos e integrantes de la comunidad que se acercaron para una vez más escuchar hablar sobre ciberseguridad.

El mundo actual depende casi totalmente de la tecnología, y los cibercriminales lo saben muy bien. La ciberseguridad es un tema que cada día tenemos más presente con la creciente digitalización de muchos aspectos de nuestras vidas. Hace dos MeetUps tuvimos a Sara Martínez como invitada quien en su charla “Ciberseguridad en WordPress: Riesgos y Protecciones” nos habló de la importancia de crear un código seguro y testearlo para entregar un producto seguro al cliente.

Considerar todos estos principios es necesario, pero no siempre controlamos el código con el que trabajamos y este es el caso de WordPress.org. Una de sus grandes ventajas, es que añadiendo plugins conviertes un blog en e-commerce o en una escuela de cursos online, pero estas utilizando un código de terceros que podría tener vulnerabilidades. El año pasado cinco plugins infectados afectaron a más de un millón de webs. A esto se añade el hecho de que al ser un CMS muy usado es un blanco deseable y económico para atacar. Aunque cada vez hay una mayor preocupación por hacerlo más seguro: ¿Cómo protegernos de estas vulnerabilidades?

En esta segunda charla de este ciclo de ciberseguridad, se habló específicamente de ello, de la mano de nuestro invitado Néstor Angulo con: “De la Planta a la Cremá: el Ciclo de Vida de las Vulnerabilidades de WordPress”.

Néstor es un miembro de la comunidad con alrededor de unas treinta charlas en WordCamps sobre este tema. Es un entusiasta de la tecnología, ingeniero informático graduado de la Universidad de las Palmas de Gran Canarias, además es un profesional certificado en seguridad de sistemas informáticos, CISSP, una certificación internacional de mucho prestigio. Trabajó durante muchos años en GoDaddy y Sucuri, esta última adquirida por la primera. Actualmente es jefe de Seguridad e Ingeniería en Patchstack una empresa de ciberseguridad también vinculada a WordPress.

Comenzó dejando una idea clave: “Un atacante solo tiene que acertar una vez. Un defensor tiene que acertar siempre”. A partir de aquí articuló un discurso donde explica las dos maneras de entender la seguridad, una preventiva y otra reactiva, explicando en cada ejemplo o definición de conceptos ambas perspectivas. La primera es una acción proactiva y la segunda es solucionar el problema y mitigar el riesgo de manera constante, aconseja no pasar a la segunda fase (POST). Como dueño de una web, eres responsable de los datos que almacenas y hay leyes que establecen protocolos y multas en caso de ciberataques.

En la siguiente secuencia se puede ver unas diapos con una explicación más detallada del ciclo de vida de las vulnerabilidades en WordPress. Esta parte la explicó más adelante en la charla.

Posteriormente, afirmó que el core de WordPress es seguro, pero delega todo lo demás: plugins, desarrolladores, admin, hosting, etc. Este es un principio que se conoce como “security by default”. “En otras palabras si lo sacas de la caja y no lo tocas es seguro, si lo personalizas entonces debes asumir los riesgos” -explica. Nos recomienda este post para saber más sobre las medidas de seguridad de WordPress: https://es.wordpress.org/about/security/

Igualmente habló de una de las preocupaciones más recurrentes de los desarrolladores, diseñadores e implementadores de WordPress ¿Cuáles son los pasos para infectarlo?:

1. Necesita una vulnerabilidad, que es la puerta de entrada, el agujero en la muralla por donde acceden para hacer un
2. Exploit y luego
3. Inyección de: código final, backdoor, spam/defacement, BotNode o código. 

Para comprender el proceso de infección es importante comprender y definir algunos conceptos. Por ello nos explica que una vulnerabilidad no siempre es algo negativo. Es un error en el código, o posibilidad de uso indebido, que puede ser utilizado para realizar acciones no autorizadas dentro de un sistema informático. A veces se construye para una función determinada y se usa de otra como para realizar acciones no autorizadas en un sitio informático.

También debemos entender el concepto de Exploit: es la pieza de código que se introduce a través de una vulnerabilidad.

Posteriormente, nos enumera algunas de las vulnerabilidades más comunes:

• Inyección SQL (SQLi): los atacantes pueden inyectar e insertar consultas SQL.
• Cross Site Scripting (XSS): es la vulnerabilidad más común en los plugins de WordPress. Puede secuestrar sesiones o redirigir a los usuarios a sitios maliciosos.
• Falsificación de solicitudes entre sitios (CSRF): engaña a los usuarios para que ejecute acciones no deseadas en un sitio web donde está autenticado. Un ejemplo: un usuario logeado en su banco hace click para ver sus recibos, pero en realidad da una orden al banco para transferir dinero. El banco lo acepta como auténtico porque el usuario lo hace desde su cuenta, pero no sabe que está siendo engañado.
• Inclusión de archivos: permite leer archivos confidenciales en el servidor o remoto (RFI), y con ello ejecutar scripts maliciosos desde un servidor remoto.
• Ataques de fuerza bruta: método de prueba y error para encontrar las credenciales de acceso, las claves de cifrado o encontrar una página oculta. Si tu sitio no tiene política de contraseña segura o límites de inicio de sesión puede ser muy vulnerable.
• Denegación de servicio (DoS): se envía tráfico excesivo a un sitio web para dejarlo inoperativo.

Otra de las áreas importantes a tener en cuenta es la vulnerabilidad de la cadena de suministros (Supply Chain). Se refiere a los riesgos de seguridad que surgen a lo largo de los diferentes eslabones de la cadena de producción, distribución y operación de software, hardware y servicios digitales. Es un problema crítico porque una vulnerabilidad en cualquier proveedor o socio puede comprometer toda la infraestructura de una organización.

Néstor le llama “la tormenta perfecta” porque WordPress utiliza muchos servicios externos y si uno deja de funcionar compromete el sistema informático y “es hoy en día lo más fácil de reventar”, nos dice en lenguaje “técnico”.

Para ilustrarlo se refirió a un ejemplo de enero de 2022. Marak Squires, un desarrollador de código abierto, saboteó dos de sus propios paquetes de Node.js, colors.js y faker.js, en protesta por no recibir compensación económica por su trabajo. Estos paquetes eran ampliamente utilizados en la comunidad de desarrollo, con millones de descargas mensuales y dependencias en numerosos proyectos1. Estas acciones afectaron a innumerables proyectos interrumpiendo sus operaciones y destacando la vulnerabilidad inherente en la cadena de suministro de software de código abierto.

Resaltó también el ejemplo de Freemius que en 2012 estuvo afectado por un XSS. Como consecuencia, más de 1200 plugins heredaron la vulnerabilidad, no porque su código fuera vulnerable, sino porque usaban una librería que sí lo era.

Estos incidentes subrayan la importancia de la gestión adecuada de dependencias en proyectos de software y plantea preguntas sobre la sostenibilidad y el apoyo financiero a los proyectos de código abierto.

Insiste, desde su posición de “guardián de la información”, como se define al comenzar la charla en aplicar medidas de protección como:

• “Sanitizar”: limpiar, filtrar y validar las entradas y salidas del código.
• Zero Trust: Concepto basado en el principio de «Nunca confíes, siempre verifica». No se debe confiar en ningún usuario, dispositivo o aplicación de manera predeterminada, dentro o fuera de la red corporativa.
• Security by Design and Security by Default,
• Least Privilege Principle,
• Monitorea,
• Copias de seguridad,
• HTTPS,
• Contraseñas fuertes,
• 2FA,
• Entre otras

Con respecto a las actualizaciones siempre le preguntan: ¿Tengo que actualizar? Su respuesta: ¡Sí! Siempre, ni lo dudes. Recomienda comprobar si hay parches de seguridad en el Changelog de la nueva versión, actualizar el staging, y el sitio en production, por su puesto tener una copia de seguridad. Esta parte da para otra charla.

Además, señala la importancia de usar un WAF porque filtra todo el tráfico, protege contra XSS, DDoS, parchea vulnerabilidades de software conocidas, si incluye CDN mejora la velocidad y el rendimiento del sitio, herramienta de análisis forense, y permite el bloqueo de acceso manual. Esta explicación la acompaña del título “el perro guardián”, explicando que WAF le recuerda el ladrido en inglés de un can. Un recuerso nemotécnico muy interesante para no olvidar su importancia.

Para finalizar nos cuenta sobre la nueva ley Ciber Resiliant Act (CRA). Esta, emitida desde la Unión Europea exige un mínimo de normas de ciberseguridad para proteger a la ciudadanía. Debería entrar en vigor en junio de 2026. Algunas de ellas son:  

• Actualizaciones separadas: seguridad y características.
• Changelog separado para seguridad, reflejando la vulnerabilidad.
• Software Bill of Materials (SBOM)
• Sin vulnerabilidades en producción
• Vulnerability Disclosure Program (VDP)

Final

Este es un resumen de una charla muy completa y con mucha información. Ahora tenemos el reto de llevar todos estos conocimientos a la práctica y aplicarlos en nuestros proyectos. El público se quedó muy satisfecho con todas las explicaciones. Os invito a mirar la sesión, más abajo podéis encontrar el enlace al video. El ponente recibió la deliciosa galleta de Raiola. Este es un momento muy especial porque los invitados siempre se quedan sorprendidos y encantados con el detalle y el texto «Pato La Vida». Gracias Raiola por este detalle. Desde el público le alertaron que “estaban buenísimas”. Como no teníamos tiempo, pasamos la ronda de preguntas al momento “beerworking”. Nos acompañaron algunas «celebrities» de la comunidad de WordPress Valencia, les llamo así con respeto, porque llevan muchos años colaborando con la comunidad.

Entre conversaciones y conversaciones Néstor Angulo y Borja López comentaron que son integrantes del ISC2 Spain Chapter, fundado en 2023 con sede en Madrid. Se trata de una comunidad local de profesionales dedicada a promover y avanzar en el campo de la seguridad de la información y la ciberseguridad en España. Como capítulo oficial de ISC2, una asociación internacional sin ánimo de lucro para profesionales de la ciberseguridad ​tiene como objetivos impulsar iniciativas de seguridad a nivel nacional, educar a la comunidad sobre cómo protegerse ante amenazas cibernéticas y colaborar con empresas y gobiernos para desarrollar certificaciones que respondan a las necesidades del mercado. ​

Entre cervecitas, algún vinito, patatas, aceitunas y cacahuetes seguimos hablando de seguridad, de nuevos proyectos y de WordPress. Luego, nos fuimos de cenita.

Muchas gracias a Wayco por cedernos el espacio para la MeetUp WordPress Valencia y a Raiola por patrocinarnos las cervecitas del final. ¡Nos vemos en la próxima!

Puedes ver la charla aquí:

Cita:

1. Julien Maury. Open Source Sabotage Incident Hits Software Supply Chain. January 13, 2022. E Security Planet. https://www.esecurityplanet.com/applications/open-source-sabotage-incident-hits-software-supply-chain/?

Fuente:

Julien Maury. Open Source Sabotage Incident Hits Software Supply Chain. January 13, 2022. E Security Planet. https://www.esecurityplanet.com/applications/open-source-sabotage-incident-hits-software-supply-chain/?