Por qué los escáneres de malware de WordPress no valen nada
Publicado: 2023-07-18Una nueva investigación de Snicco, WeWatchYourWebsite, GridPane respaldado por Automattic y PatchStack revela que los escáneres de malware de WordPress que funcionan como complementos en un entorno comprometido son fundamentalmente defectuosos. Los escáneres de malware son, en el mejor de los casos, herramientas de limpieza para sitios ya comprometidos. No son una línea sólida de defensa y están siendo derrotados activamente por malware en la naturaleza en este momento . Deje la detección de malware a un host de calidad. Concentre sus políticas de seguridad en el fortalecimiento de la autenticación de inicio de sesión, la gestión de usuarios, la delegación adecuada de privilegios y la gestión de versiones vigilante.
Entonces, 2000 y posteriores: los escáneres de malware han dejado de ser útiles
Los complementos de detección de malware para WordPress datan de alrededor de 2011, cuando los ataques de inyección SQL eran comunes y efectivos. Cualquiera que haya trabajado con WordPress en ese entonces recordará una biblioteca de edición de imágenes muy utilizada llamada TimThumb. Fue objeto de exploits de día cero con resultados horribles para millones de sitios.
Este fue el contexto de emergencia del que surgieron los complementos de seguridad de WordPress, como reacción. Algunos complementos de seguridad todavía se parecen a Norton Security y McAfee Anti-Virus. Esas eran aplicaciones de seguridad populares para Windows hace 20 o 30 años. Pero como dijo John McAfee después de dejar la empresa que creó, su escáner antivirus se había convertido en "bloatware". En su opinión, era “el peor software del mundo”.
Se podrían sacar conclusiones similares hoy sobre los escáneres de malware de WordPress basados en los hallazgos recientes de varios investigadores de seguridad de WordPress.
Una ilusión de seguridad: los escáneres de malware de WordPress se ponen a prueba
En la primera parte de una serie llamada "Locura de malware: por qué todo lo que sabe sobre su escáner de malware de WordPress es incorrecto", el investigador de seguridad de WordPress Calvin Alkan (fundador de la empresa de seguridad Snicco) comparte parte de su trabajo. Alkan trabajó con Patrick Gallagher (CEO y cofundador de GridPane) y Thomas Raef (propietario de WeWatchYourWebsite.com) para ver si se podía derrotar a los escáneres de malware. Como era de esperar, resulta que pueden ser derrotados, muy fácilmente. Patchstack proporcionó una confirmación independiente de los resultados de Alkan.
Escáneres locales: la llamada proviene del interior de la casa
En sus pruebas, Alkan y sus colaboradores observaron primero los escáneres locales. Wordfence, WPMU Defender, la versión gratuita de All-In-One Security (AIOS) y NinjaScanner hacen todo su trabajo en el mismo servidor que el sitio de WordPress en el que están instalados. Eso significa que los escáneres de malware usan el mismo proceso PHP que WordPress y el malware que lo infecta. No hay nada que impida que el malware interactúe activamente con el escáner. El malware podría deshabilitar cualquier complemento de seguridad que detecte, incluirse en la lista blanca (informado en 2018) o manipular los escáneres para que no detecten la intrusión.
A continuación, Alkan y sus socios produjeron pruebas de concepto funcionales para derrotar a los escáneres de malware. (También se ofrecieron a compartir sus kits de explotación de forma privada con los investigadores y proveedores de seguridad). Según el CEO de Patchstack, Oliver Sild, los kits de explotación constan de solo unas pocas líneas de código.
Alkan también descubrió que el malware "renderizado", "que se construye dinámicamente usando PHP", no es detectable por los escáneres de malware locales. Finalmente, los escáneres locales no pudieron detectar el malware "en proceso". Este tipo de malware “se ejecuta una vez y luego se elimina del sistema, sin dejar rastro de su presencia”.
Escáneres remotos: vencidos por la manipulación de pruebas y la limpieza de la escena del crimen
Los escáneres que realizan su análisis en un servidor remoto incluyen Malcare, Virusdie, All-In-One Security (AIOS) Pro, Sucuri y JetPack Scan. Estos métodos de escaneo remoto más nuevos tienen varias ventajas, incluida una huella reducida y un impacto en el rendimiento de su servidor local. Los escáneres locales usan los recursos del servidor de su sitio para hacer su trabajo, lo que tiene un costo de rendimiento. El análisis de malware remoto también está protegido contra la manipulación, ya que no ocurre dentro del mismo proceso de PHP que una infección de malware activa.
A lo que son vulnerables los escáneres remotos es al malware que manipula los datos enviados al servidor remoto para su análisis. Alkan creó otra prueba de concepto que demuestra que los escáneres remotos se pueden derrotar de esta manera, al ocultar la "evidencia" de una infección de malware. Oliver Sild también confirmó este resultado:
“La manipulación de datos se puede lograr conceptualmente con el complemento local como objetivo del engaño. Hemos recibido una prueba de concepto que lo demuestra claramente”.
Una táctica de malware ligeramente diferente podría consistir en "limpiar la escena del crimen" y no dejar ningún rastro de infección para escanear. Alkan sugirió que esto es posible, pero no proporcionó una prueba de concepto.
Es importante tener en cuenta que el análisis de integridad de archivos que busca cambios no autorizados puede ser útil cuando intenta detectar una infección de malware. Este tipo de escaneo compara los archivos locales con un repositorio de código remoto protegido para detectar cambios no oficiales en el núcleo de WordPress o en los archivos de complementos y temas. Desafortunadamente, la detección de cambios puede fallar si el proceso es manipulado por malware.
No es solo una hipótesis: el malware ya está desactivando los escáneres de seguridad de WordPress en la naturaleza
Después de los kits de explotación de Alkan, la mayor revelación en el informe de Snicco proviene de Thomas Raef, director ejecutivo de We Watch Your Website, que detecta y limpia los sitios de WordPress pirateados:
“Durante los últimos 60 días, 52 848 sitios fueron pirateados con WordFence instalado antes de la infección. El malware instalado alteró los archivos de WordFence en el 14 % de los casos (7399) . Otros servicios populares tuvieron porcentajes aún más altos; MalCare llega al 22 % y VirusDie al 24 %”.
Para obtener una descripción detallada del análisis de We Watch Your Website, consulte el informe de Thomas Raef, "Cómo identificamos casi 150 000 sitios de WordPress pirateados en 60 días".
Se acabó el juego para los complementos de escaneo de malware. Nos dice que el escaneo de malware de WordPress es puro teatro de seguridad: "la práctica de tomar medidas de seguridad que se considera que brindan la sensación de seguridad mejorada mientras se hace poco o nada para lograrlo".
Sin duda, esto ha estado sucediendo durante mucho tiempo también.
La veterana de la industria de la seguridad y directora de marketing de Kadence, Kathy Zant, le dijo a Alkan:
“En el transcurso de aproximadamente 18 meses, estuve limpiando sitios de WordPress para una empresa muy conocida en WordPress, eliminando malware de más de 2000 sitios durante mi mandato. El período de tiempo más temprano que vi [malware derrotando escaneos de malware] fue a mediados o finales de 2017. [….] Estoy seguro de que todavía existe. Y muy bien podría haber variantes adicionales que realicen acciones similares, o incluso peores”.
Esas son las malas noticias: no se puede confiar en los escáneres de malware. La buena noticia es que nunca han ofrecido una defensa real. Si todo lo que ha perdido es una ilusión de seguridad, en realidad es un paso hacia la obtención de una seguridad real.
Cómo proteger su sitio de WordPress: correctamente
Después de un informe como el de Snicco, la gran pregunta es: "¿Cómo pueden los sitios de WordPress lograr una alta confianza en su seguridad?"
Alkan cree que los métodos de seguridad deben adaptarse a cada pila de servidores, y el escaneo de malware del lado del servidor realizado por el host es el único tipo de escaneo que vale la pena para los propietarios de sitios.
“Los complementos de seguridad de WordPress SOLO deberían hacer cosas que se pueden hacer mejor en la capa de aplicación/PHP”, enfatiza.
La sólida seguridad de inicio de sesión del usuario, como la autenticación de dos factores y las claves de acceso, junto con la seguridad de la sesión, son áreas en las que Alkan dice que los complementos de WordPress pueden ayudar: complementos como iThemes Security. Esa siempre ha sido la filosofía rectora de nuestro equipo de desarrollo: un complemento de seguridad es el más adecuado para fortalecer los sitios y disminuir la superficie de ataque.
Otras formas esenciales de fortalecer las defensas de su sitio de WordPress incluyen una administración cuidadosa de los usuarios siguiendo el principio del mínimo privilegio: nunca le dé a un usuario más poder del necesario. Y para los usuarios más privilegiados, requieren un estándar más alto de seguridad: 2FA, claves de acceso, dispositivos confiables y contraseñas seguras que nunca hayan aparecido en una infracción conocida.
Las tendencias de ataque actuales se dirigen de manera inteligente a las pequeñas y medianas empresas con el relleno de contraseñas, el phishing y el phishing selectivo. Estos vectores de ataque explotan la autenticación de inicio de sesión débil y el error humano. Usan la fuerza bruta y tácticas inteligentes de ingeniería social para comprometer cuentas de usuarios individuales. Armado con una cuenta de usuario pirateada, un atacante puede causar mucho daño. Pueden causar aún más daño si también ven un complemento vulnerable para explotar. Una vez dentro de su sistema, un atacante puede crear puertas traseras para colarse en cualquier momento.
Un complemento de seguridad que enfatiza un escáner de malware no los detendrá.
El mejor complemento de seguridad de WordPress para asegurar y proteger WordPress
Actualmente, WordPress funciona en más del 40% de todos los sitios web, lo que lo convierte en un objetivo grande y familiar para los ciberdelincuentes. El complemento iThemes Security Pro elimina las conjeturas sobre la seguridad de WordPress para facilitar la seguridad y protección de su sitio web de WordPress. Es como tener un experto en seguridad a tiempo completo en el personal que supervisa y protege constantemente su sitio de WordPress por usted.
Dan Knauss es el generalista de contenido técnico de StellarWP. Ha sido escritor, profesor y autónomo trabajando en código abierto desde finales de la década de 1990 y con WordPress desde 2004.