Roban código fuente de los servidores de WordPress.com

Un intruso irrumpió ayer en WordPress.com, ganando acceso a varios de sus servidores y al código fuente con el que funcionan los blogs de sus clientes VIP, como la CNN, CBS, Flickr y TED. TechCrunch es otro de esos clientes y, según ha informado, todos ellos están en código rojo mientras la empresa investiga el incidente. Este ataque vuelve a poner en evidencia la seguridad de la plataforma, que ofrece sus servicios a 18 millones de usuarios, después del de denegación de servicio que dejó a WP offline el mes pasado.

En esta ocasión, el acceso a nivel root ha facilitado la exposición en su máximo exponente a toda la información almacenada en los sistemas. Aunque no se ha hecho público cuáles son los sitios afectados, “potencialmente cualquier cosa en esos servidores puede haber sido revelada”, ha escrito Matt Mullenweg, fundador de Automattic y su servicio de hosting gratuito, en el blog corporativo de la empresa. Los únicos clientes que están a salvo son aquellos que alojan el software en sus propios servidores o en WordPress.org.

“Si bien gran parte de nuestro código es Open Source, hay bits sensibles en nuestro código y en el de nuestros socios” que han sido expuestos y pueden haber sido copiados, confirma Mullenweg. “Más allá de eso, sin embargo, parece que la información divulgada es limitada”.

Automattic está todavía revisando los registros de acceso para determinar el alcance de la violación, parchear los agujeros y “evitar que un incidente como éste se produzca de nuevo.” “Nuestra investigación sobre este asunto está en curso y llevará su tiempo antes de completarse”, apunta el programador.

La compañía se encuentra en proceso de cambiar todas las contraseñas y las claves de API que se encontraban en el código fuente. Muchos de los clientes de WordPress enlazan los blogs con sus cuentas en Twitter y Facebook, por lo que el hacker podría haber recolectado esta información y ser capaz de impedir el acceso a las redes sociales. Mullenweg ha pedido a los usuarios que utilicen contraseñas seguras y nunca las reutilicen para distintos sitios a lo largo de la red. También ha recomendado usar gestores de contraseña como LastPass o KeePass para recordar más facilmente combinaciones complicadas.

Una vez remediado el incidente, es fundamental que los administradores realicen una auditoría de seguridad completa. Si simplemente se cierra el agujero específico que el atacante ha utilizado, es posible que éste “se quede encerrado dentro contigo” y descubra nuevas vulnerabilidades para volver a la carga sin ser descubierto, explica Josh Shaul, director de tecnología sobre seguridad de aplicaciones.