g30rg3 Blog

Últimamente parece que hablar de la (in)seguridad en WordPress es el tema mas tratado por diferentes bloggers desde los mas apegados a WordPress (mejor conocidos como WP-Fans) hasta aquellos que solo quieren iniciar una guerra de flameos; sin embargo desgraciadamente son muy pocos los comentarios que “realmente” tienen una validez o sustento lo que dicen, son muy pocos los que hablan/discuten sobre este asunto conociendo cual es la realidad del mismo, me he visto en la necesidad de leer cada tipo de comentarios de gente que de verdad parece que solo esta haciendo Spam hacia algún CMS (de su preferencia) mas que aportar algo o discutir algo valido sobre el mismo tema.

La verdad es que no he querido hablar de este tema desde hace un buen tiempo por dos principales razones…
1.- Demasiadas notas acerca del mismo tema en este blog.
2.- Ya habia vaticinado esta serie de sucesos desafortunados desde poco mas de 7 meses.

Sin embargo los recientes eventos que han pasado en la semana pasada así como las incontables veces que me han preguntado por diferentes medios electrónicos acerca de mi opinión sobre el tema, he llegado al punto en que es necesario hacer publica mi opinión sobre lo que esta sucediendo, voy a sonar a lo mejor cruel (masiosare-style? XD) y un poco egocéntrico (blogging-style?), así que ruego me disculpen de antemano todo lo que sientan un poco ácido y fuera de la forma de expresión común que suelo hablar; sin irme mas halla dejare de lado los siempre 2 a 5 párrafos acostumbrados que hago para darle la vuelta a una o dos temas o ideas y pasare directo al grano.

Verdades
WordPress si tiene una PÉSIMA política de respuesta a incidentes de seguridad, los desarrolladores de WordPress esperan hasta juntar una cierta cantidad de “bugs reparados” (sean o no de seguridad) antes de sacar una de estas sub-versiones de WordPress, esto quiere decir que si algún exploit/0-day/PoC se filtra al publico miles de usuarios de WordPress se verán afectados y quedan desprotegidos por un tiempo bastante considerable, en la lista de correo WP-Hackers se ha hecho una discusión sobre este tema, sin embargo aunque se dio la discusión, no se llego a nada concreto debido a ciertos puntos de vista sobre la no-necesidad de estas sub-versiones de “emergencia” y prefieren seguir con la misma política, de hecho la ahora famosa “toolkit” para “hackear” blogs basados en WordPress conocida como PwnPress entre sus varios “exploits” se encuentra el Blind SQL Injection en el tratamiento de Query Strings en ciertas zonas de WordPress que alex concha descubrió (advisory aquí), este bug fue resuelto desde finales de agosto y pasaron alrededor de 12 a 15 días para que el publico tuviera en sus manos la sub-versión 2.2.3 que corregía el bug mencionado, lo que es bastante tiempo considerando la gravedad de la vulnerabilidad.
Otra verdad absoluta es que la mayoría de la gente que usa WordPress no suele actualizar el software de sus blogs ni estar pendiente de si existen o no amenazas de seguridad para WordPress, esto es claramente causado debido a que la mayoría de las personas no tienen pensado la seguridad del mismo, si no hasta que este se ve comprometido; solo hasta ese momento toman en cuenta los consejos mas comunes de seguridad en WordPress

Mentiras
No todo lo que se ha estado diciendo en el red de redes es verdad, existen algunos puntos que se pueden debatir con calma y tranquilad, uno de ellos es la gravedad de las vulnerabilidades; al contrario de lo que mucha gente opina sobre las gravedad de las vulnerabilidades que se han estado encontrado, estas mismas han estado disminuyendo si hacemos una comparación podremos encontrar que la mayoría de los bugs de ahora son XSS/XSRF, estos bugs aunque si son peligrosos siguen teniendo un riesgo bajo, como siempre he dicho un bug de XSS/XSRF no se debe tratar como si fuera el fin del mundo pero tampoco se debe despreciar su poderío, ya que si se llegara a ejecutar de manera satisfactoria el impacto seria de la misma proporción que una vulnerabilidad de SQL Injection, claro requiere mas tiempo y mas precisión la explotación de un XSS/XSRF pero esta claro que en estos días toda esta problemática no ha detenido a las personas de explotar con suma facilidad este vector de ataque web, pero bueno siguiendo se puede hacer notar también que no todas las vulnerabilidades pueden ser explotadas de manera directa algunas necesitan condiciones “especiales” que no todos los miles de blogs basados en WordPress cumplen, así que hasta el momento desde mi mero punto de vista personal solo han existido tres grandes vulnerabilidades de gran riesgo desde la version 1.5.x así que no hay que ser alarmistas ni tampoco quedarse con los brazos cruzados ver al mundo pasar.
Otra cosa que quiero desmentir es acerca de la ahora famosa “toolkit” llamada PwnPress, mucha gente tomo esta “caja de herramientas” como si fuera una nueva vulnerabilidad y no, están confundidos esta solo explota hasta el momento 4 bugs ya conocidos, dos para serie 1.5.x, 2 para la rama 2.2.x, pero lo que traía de “nuevo” era la capacidad de automatizar muchas cosas en el proceso de explotación como es la búsqueda y decisión de que exploit usar así como otras diferentes opciones, también quiero mencionar que esta toolkit contiene algunos errores que no la hacen la “todo-en-1″ o la “navaja suiza” para “hackear” blogs basados en WordPress, tiene en algunas partes del código que no siempre van a ocurrir así como algunas zonas que se le olvido revisar (para mejorar su grado de automatización), también existen algunos bugs que no fueron incluidos en la “toolkit” que también se deberían considerar poner en PwnPress para mejorar claro su amplitud de explotación, obvio que por razones de que estoy usando mi “sombrero blanco” estas modificaciones personales e implementaciones propias no van a salir a la luz publica asi que ni se molesten en pedirlas.

Un poco mas…
Quiero agregar a todo lo mencionado anteriormente solo una pequeña recomendación he visto que mucha gente toma muy en serio lo que en la pagina/blog llamado “BlogSecurity“, hay algunas notas bastante buenas pero en general yo la siento con un tono alarmista/amarillista cuando se trata de reportar vulnerabilidades a veces siento que pues escriben la nota sin siquiera saber o indagar sobre la vulnerabilidad misma, así que recomiendo antes de alarmarse y gritar “Es el fin del mundo alex concha ha liberado 5 nuevos 0-days” (XDDD) tómenlo con calma investiguen un poco mas en sus blogs de seguridad en WordPress favoritos (recomiendo amplia mente la web del buen amigo alex concha así como la del buen armonth) y verán después de eso si hay necesidad de alarmarse y escribir sobre ello.

Bueno en fin esa es mi posición sobre WordPress y la (in)seguridad, ya muchos me han dicho que yo protejo/vigilo la seguridad de mi blog por que me ha ocurrido un incidente en el pasado pero desgraciadamente es falso, yo desde que comencé a abrir este blog al publico he estado vigilando la seguridad del mismo y es así como desde mi tercera entrada al blog llevo informando de los cambios y en algunos casos he sido el mismo el que ha codeado las soluciones/parches para resolver algunos problemas de seguridad (también hay que recordar que el incidente que ocurrió entro por el lado que mas duele, el servidor o mejor dicho una tercera-entrada, algo que por el hecho de tenerlo en mi web en un hosting compartido es sinónimo de destrucción/penetración inminente).

Saludos y tal vez si es que me animo haré una lista de consejos de seguridad en WordPress, aunque armonth ya ha hecho desde hace tiempo una muy buena, existen otros trucos bajo la manga para aumentar la seguridad del mismo.