WordPress, el sistema de gestión de contenidos más utilizado en el mundo, ha sido blanco de un ciberataque masivo que afectó a más de 4 millones de sitios web. La vulnerabilidad explotada se encontraba en el plugin de seguridad «Really Simple Security» (anteriormente conocido como «Really Simple SSL»), permitiendo a los atacantes acceder como administradores, incluso en cuentas con autenticación de dos factores activa.
Sancho Lerena, CEO de Pandora FMS, empresa española especializada en seguridad y gestión IT, advierte: «Cualquier dato, por insignificante que parezca, tiene valor para los ciberdelincuentes, incluso en sitios web pequeños». Además, subraya que aproximadamente el 97% de las brechas de seguridad en WordPress se deben a vulnerabilidades en plugins, lo que agrava aún más la situación dada la popularidad de esta plataforma y del plugin afectado.
Seguridad comprometida por un fallo irónico
Diseñado para reforzar la protección de las webs, «Really Simple Security» buscaba mejorar la autenticación y detectar vulnerabilidades en tiempo real. Sin embargo, un fallo en su código logró el efecto contrario, permitiendo accesos remotos no autorizados. Lerena recalca: «Este incidente evidencia la necesidad de tomarse la ciberseguridad en serio, más allá de depender exclusivamente de plugins populares».
Cómo prevenir ataques masivos
Este ataque se suma a otros recientes, como la caída de CrowdStrike en Windows, que dejó a miles de empresas paralizadas. En este contexto, expertos insisten en diversificar las herramientas de seguridad. «No es prudente confiar en un único escudo, especialmente si es ampliamente utilizado, porque al caer deja a las organizaciones sin defensa», destaca Lerena.
Monitorización constante y estrategias personalizadas
La solución pasa por implementar sistemas de seguridad que monitoreen de forma continua cada infraestructura. Estas herramientas permiten anticiparse a fallos generalizados y minimizar riesgos al estar adaptadas a las necesidades específicas de cada organización.
Con datos que revelan que el 94% de los plugins maliciosos instalados entre 2012 y 2021 estuvieron activos en más de 24,000 sitios de WordPress, contar con una estrategia de ciberseguridad robusta y diversificada ya no es opcional. En un entorno digital cada vez más amenazado, estas medidas se convierten en pilares esenciales para proteger la presencia online de cualquier organización.