WordPress Core Update/Downgrade
ID de alerta: core_update
MITRE ATT&CK: T1072 – Software Deployment Tools
Severidad / Criticidad
Sección titulada «Severidad / Criticidad»| Nivel | Condición |
|---|---|
| Info | Actualización normal del core de WordPress |
| Alta | Detección de downgrade de versión (altamente sospechoso) |
¿Por qué se considera maliciosa?
Sección titulada «¿Por qué se considera maliciosa?»- Downgrades reintroducen vulnerabilidades ya parcheadas.
- Versiones modificadas pueden contener backdoors o código troyanizado.
- Actualizaciones falsas instalan versiones alteradas con fines maliciosos.
- Cambios fuera de horario o sin autorización son indicios de manipulación.
!!! danger "" En producción, los downgrades nunca son prácticas normales y siempre requieren revisión.
¿Cuándo salta la alerta?
Sección titulada «¿Cuándo salta la alerta?»- Actualización manual: hook
_core_updated_successfully. - Actualización automática: hook
automatic_updates_complete. - Downgrade detectado: mediante
version_compare()si la nueva versión es menor. - Análisis de versiones: comparación entre
old_versionynew_version.
Indicadores Técnicos (IOCs)
Sección titulada «Indicadores Técnicos (IOCs)»| Tipo | Patrón / Ejemplo | Descripción |
|---|---|---|
file_pattern | wp-includes/version.php | Archivo modificado que contiene la versión del core |
file_pattern | wp-admin/includes/update.php | Hooks alterados en el sistema de actualización |
behavior | Versiones beta o RC en producción | Uso de versiones inestables |
behavior | Downgrade mayor (>2 versiones) | Regresión significativa del sistema |
Falsos positivos comunes
Sección titulada «Falsos positivos comunes»- Actualizaciones automáticas legítimas.
- Rollbacks planificados por incompatibilidad temporal.
- Pruebas en entornos de desarrollo o staging.
!!! warning "" En producción, cualquier downgrade detectado debe investigarse de inmediato.
Pasos de investigación
Sección titulada «Pasos de investigación»-
Verificar integridad del core:
Ventana de terminal wp core verify-checksums --skip-plugins --skip-themes -
Consultar la versión actual instalada:
Ventana de terminal wp core version --extra -
Analizar contexto: confirmar si la actualización o rollback fue autorizada y por quién.
-
En caso de downgrade: identificar motivo, revisar archivos modificados y confirmar integridad.
Mitigaciones recomendadas
Sección titulada «Mitigaciones recomendadas»=== “Inmediatas”
!!! danger "" - Investigar de forma urgente cualquier downgrade detectado. - Verificar los checksums de todos los archivos core. - Comparar la instalación con una versión limpia y original. - Revisar logs y eliminar archivos sospechosos o modificados.=== “Preventivas”
!!! tip "" Restringir actualizaciones automáticas a versiones menores:
```php define('WP_AUTO_UPDATE_CORE', 'minor'); ```
- Documentar y controlar todas las actualizaciones del sistema. - Probar los cambios primero en un entorno de staging. - Realizar backups antes de cualquier actualización. - Implementar monitoreo continuo de integridad de archivos.Referencias
Sección titulada «Referencias»- WordPress Update Services
- Core Checksums Verification