El uso masivo de CMS hace que los criminales se centren en este tipo de aplicativos para buscar vulnerabilidades. Además los exploits en los que el atacante consigue subir algún tipo de archivo al servidor remoto, los usan para infectarlos y por ejemplo poner Exploits Kits con los que los usuarios que acceden al site web quedan infectados.
Las medidas para que no ocurran estas cosas ya las conocemos, actualizar siempre el core de la aplicación, y sobretodo los plugins de terceros que se sabe que no se revisa en la parte de seguridad igual que el core de la aplicación.
Además de todo esto, en WordPress tenemos plugins que nos ayudarán a mejorar un poco mas la seguridad del CMS . En este caso tenemos WP-WAF. Este plugin lo podemos encontrar en el repositorio de plugins de WordPress y para instalarlo solo hace falta que lo copiemos a la carpeta plugins dentro de wp-content.
La configuración del plugin es muy sencilla.
Seleccionamos las opciones que necesitemos y ponemos el MAIL para que las alertas generadas nos lleguen a nuestro correo.
Si el atacante, intenta por ejemplo realizar un atacante de XSS, le saldrá lo siguiente:
El ataque ha sido detectado por el plugin de WordPress y también ha llegado la notificación por correo.Aunque no es la única solución que se puede aplicar a los CMS, es un plugin a tener en cuenta.