Blog

WordPressA

En el post de hoy me gustaría presentaros un plugin muy interesante para proteger tu blog WordPress que han realizado nuestros amigos de Quantika14 que estuvieron patrocinando la tercera edición de las jornadas de seguridad HighSecCON. Aquí la información explicadada por ellos:

a

Somos Jorge Websec (@JorgeWebsec) y Juan Manuel (@TheXC3LL) y queremos presentaros un plugin para WordPress destinado a la seguridad que hemos bautizado como WordPressA Security.

WordPressA Security fue presentado en sociedad el pasado 19 de marzo de 2014 como un plugin de WordPress destinado a la seguridad de este CMS utilizando un enfoque preventivo. WordPressA Security Plugin implementa un sistema de alertas que le informará en tiempo real de que plugins instalados en su WordPress poseen vulnerabilidades conocidas.

Somos conscientes que uno de los vectores de ataques más comunes cuando nos enfrentamos a un CMS como WordPress son los plugins de terceros que no tienen la misma conciencia de desarrollo seguro que si tienen los desarrolladores del staff de wordpress, por eso decidimos lanzar WordPressA y ayudar a los webmasters con la seguridad de sus sitios.

b

 

El proyecto WordPressA Security se compone a grandes rasgos en 3 partes diferenciadas, una API, una base de datos que se actualiza periódicamente cada hora y un plugin que interactúa con la API.
La base de datos se actualiza procesando el contenido de los principales repositorios de vulnerabilidades y extrae los reportes de plugins WP. De tal forma que detecta el nombre del plugin y la versión y las incluye en la base de datos. Además se introducen de forma manual las vulnerabilidades que nuestro equipo haya encontrado y por lo tanto obtenemos un conjunto de datos únicos.

La API se encarga de recibir por parte del plugin un listado de los instalados en el WordPress y comprueba con la base de datos si alguno es vulnerable. Por lo tanto WordPressA Security Plugin cumple con la función de enviar el listado a la API y mostrar la respuesta. De esta forma en nuestro menú de administración podemos ver esta información de una manera inmediata.
La versión actual del plugin, la 2.0, implementa una serie de mejoras con respecto a su antecesora:

  • Ampliamos la detección a themes vulnerables (era lógico que si detectábamos plugins también hiciéramos lo mismo con los themes)
  • Incluimos un repositorio de plugins parcheados, de tal forma que si nosotros tenemos esa misma versión del plugin en nuestro repositorio se le permite su descarga directamente al administrador del blog.
  • El lapso de tiempo entre informes vía e-mail es configurable a 1 por día, 1 a la semana y 1 cada 15 días

c

El plugin puede ser descargado desde http://wordpressa.quantika14.com/wsp/

 

Autor: Roberto Lopez (@leurian)

Leave a Reply

*

    No Twitter Messages