19 Escáneres de Seguridad para WordPress Puestos a Prueba

El punto de quiebre que pone fin a todas las geniales características de WordPress, es la seguridad informática, ya que al tener cimentados y firmes pilares de tecnología empresarial, nos vamos a cuestionar, siempre, la continuidad del negocio. Y así nace la frase hecha: WordPress no es seguro. Esta frase ausente de análisis técnico, cuyo significado convencional se repite una y otra vez sin alteraciones, representa un error comercial de gran envergadura, ya que un buen profesional de la informática sabe que WordPress sí es seguro, y que el real problema radica en la administración del CMS y el establecimiento de protocolos a través de los que un sitio web, independiente de qué content management system utilice, sea sometido siempre a diversos y periódicos análisis de seguridad. Es lo que se conoce en el rubro de la seguridad informática, como el factor humano.

Al contrario, la tendencia común de un usuario básico o promedio de WordPress, es a buscar plugins que aseguren o escaneen al CMS en su interior, por lo general, después de que han sido hackeados, producto de un sin fín de malas prácticas que de una u otra manera los llevarán a utilizar algún tipo de scanner; por otro lado, están los usuarios más sensatos y precavidos, aquellos que buscan servicios de análisis o de WordPress vulnerability scanner, en primera instancia.

En la senda comercial tenemos la obligación de mantener servicios de terceros que nos ayuden a fortalecer nuestro negocio, sobre todo cuando la capacidad de inversión y contratación de recursos humanos en startups, pequeñas y medianas empresas, tiende a ser limitada. Si tienes la oportunidad de elegir entre un equipo o empresa de pentesting que no puedes pagar, un conjunto de plugins que en vez de facilitar las gestiones, siembran dudas sobre cuál es el mejor, cosechando falta de tiempo y seriedad a causa de sus configuraciones y funcionalidades de pago que sólo se visualizan una vez que dichos plugins están instalados en el CMS, y un servicio de WordPress vulnerability scanner que hace todo de una sola vez, tu elección, será, obviamente un scanner.

Sin embargo, ¿cuál es el nivel de acierto de un WordPress malware scanner? La mejor forma de ponerlos a prueba, es someter sitios web infectados por malware o hackeados. Para ello, usaré una web del Gobierno de Brasil que está infectada:

4 Escáneres de Seguridad para WordPress (NO) Recomendados

Detalles Superficiales, Informes Falsos & API’s Vacías

Desde el apartado oficial para hardening en WordPress.org recomiendan 4 scanners de seguridad:

  1. VirusTotal, de Google

  2. Sitecheck, de Sucuri

  3. Unmaskparasites, de Denis Sinegubko y Sucuri

  4. Redleg AW-Snap, de Safe Browsing APIs (Gooogle)

 

VirusTotal

En VirusTotal la web está listada por phising, aunque sólo es identificada, extrañamente, por 1 de 67 antivirus:

Sitecheck

Con Sitecheck advertimos alerta de update para la versión de WordPress, un oportunista y bien hecho cross selling marketing de firewall, y una referencia a full path disclosure:

Unmaskparasites

Unmaskparasites cumple un rol de inseguridad negligente, ya que entrega reportes de sitios web limpios, engañando además a los usuarios con alusión a infecciones o hackeos que no existen, para finalmente recomendar a Sitechek, el scanner ya descrito que no detecta problemas de seguridad pero sí hace referencias a la venta de firewall:

Redleg AW-Snap

El último de la lista, AW-Snap, que debiera informanos de la infección, sorprendentemente, no reporta alertas de seguridad:

6 WordPress Vulnerability Scanner Alternatives

Espejos Web & Recopilación de Información Inútil

El panorama no es bueno, pero gracias al ejercicio anterior tenemos ahora certeza y convicción de que no debemos confiar en los resultados de estos scanners para WordPress y es mejor probar alternativas:

  1. WordPress Security Scan, de Hacker Target

  2. Wpscans, de Triop AB

  3. Wprecon, de Hacker Target

  4. WordPress Security Scanner, de WP Loop or First Site Guide

  5. WordPress Vulnerability Scanner, de WP Neuron

  6. Online WordPress Scan or Scap WP, de Greg Boggs

WordPress Security Scan

Si bien es cierto podemos recabar información general, la gran diferencia de este scanner versus todos los anteriores, es que por fin logramos obtener datos valiosos sobre seguridad en WordPress, pues enumeró 2 nombres de usuario para ingresar al backend (“admin” y “daniele”):

Wpscans

Lamentablemente, no es posible ahondar mucho sobre este scanner de seguridad para WordPress, ya que ofrece exactamente los mismos detalles que Sitechek by Sucuri:

Wprecon

Sí, es un clon de WordPress Security Scan by Hacker Target, por lo tanto, arroja los mismos resultados, nada nuevo:

WordPress Security Scanner

Como scanner de information gathering y detección de HTTPS headers funciona perfecto, pero está ausente en el plano de las vulnerabilidades:

WordPress Vulnerability Scanner

En pocas palabras, no funciona, cada vez que lo probé mantuvo un loop infinito de scaneo:

Online WordPress Scan o Scan WP

Al igual que Unmaskparasites by Sucuri, el scaneo es superficial, por lo tanto, no es apropiado:

9 Web Vulnerability and Malware Scanners for WordPress

Las Grandes Ligas: Falsos Positivos & Coronación de un Rey

¿Qué hacemos cuando los scanners de seguridad recomendados desde la web oficial de WordPress.org no satisfacen las necesidades reales de análisis para una web hackeada, y los scanners online más conocidos para seguridad de WordPress no detectan vulnerabilidades que están a la vista del ojo humano?

  1. Safe Browsing Site Status, de Google

  2. Web Inspector, de Comodo Security Solutions

  3. Website Malware Scanning, de Foregenix

  4. Rescan, de Revisium

  5. Secapps, de Websecurity

  6. Web Server Security Test de Hig-Tech Bridge or HT Bridge

  7. Acunetix Online, de Acunetix

  8. Scan, de Qualys

  9. Hackmetrix

Safe Browsing Site Status

Tal como vimos con Redleg AW-Snap, éste es la base desde la cual se provee el servicio de las APIs, en consecuencia, el resultado es idénticamente nulo:

Web Inspector

Al oir la marca Comodo, lo primero que viene a mi mente son los certificados SSL, y en base a esa reputación, sorprende que su scanner nada detecte:

Website Malware Scanning

Notificación de update para versión de WordPress, y ausencia en alertas de seguridad:

Rescan

Para mi sorpresa, informa que está en la base de datos de BitDefender, así que deducimos que se alimenta de la API de VirusTotal, sin detectar amenazas o vulnerabilidades:

Secapps

Pese a que usan OWASP Top 10 como estándard, se repite la tendencia por detectar updates de WordPress:

Web Server Security Test

De igual manera que con varios de los scanners ya probados, esta herramienta online está limitada al footpring:

Acunetix Online

A simple vista es un scanner de vulnerabilidades web que promete, pero requiere de muchas horas (días) de scaneo y configuraciones supeditadas al factor técnico de network scan en su plataforma; tu paciencia dará el juego por perdido, y con una probabilidad del 99% buscarás otro scanner, sólo por el factor tiempo:

Scan

Con gran rapidez de scaneo, este servicio online logra competir en las grandes ligas, pero pierde el juego al enumerar una gran cantidad de falsos positivos y vulnerabilidades en WordPress que no son identificadas con precisión y no se pueden comprobar y asociar empíricamente a plugins, themes, web services en WordPress or web legacy applications:

Hackmetrix

Rapidez, precisión, tecnicismo, adaptabilidad y estándard OWASP Top 10, definen al scanner de seguridad web que sin duda alguna se corona como rey. Gracias a su detallismo en la identificación de vulnerabilidades, es posible saber con certeza cuántos y cuáles plugins instalados en WordPress incurren en fallas de seguridad conocidas, entregando información fehaciente y real:

Hackmetrix, incluso es capaz de analizar la seguridad del ISP o el proveedor de alojamiento web:

WordPress es el CMS por esencia: gobiernos, empresas, universidades, organizaciones políticas y sin fines de lucro basan su tecnología web en este gestor de contenidos. Según la empresa Buith With, a la fecha de publicación de este artículo (Mayo de 2018), hay cerca de 20 millones de sitios web usando WordPress que fueron escaneados por su sistema de detección y reconocimiento, volúmen que supera el Top 10 Million que la compañía Q Success utiliza como base estadística en W3 Techs, pero la cifra es mucho mayor, ya que se asevera que más de 60 millones de personas han usado el CMS, y que éste representa el 30% de la Internet global. Esta marcada predilección por WordPress la explica su core intrínsecamente versátil, multiuso y escalable, ya que es posible crear desde un blog simple a cosas tan útiles como una web con carro de compra y pasarela de pago bancaria; WordPress entrega facilidad para crear foros, plataformas e-learning, e innumerables categorías de sitios web.

¿Cuál es la mejor forma de garantizar que todas las características de WordPress se usen con plenitud y grandeza, asegurando al mismo tiempo la continuidad de tu negocio? Hackmetrix es la respuesta.