Inyección SQL: una guía para usuarios de WordPress

Si se toma en serio la seguridad de su sitio web, entonces es hora de averiguar sobre las inyecciones de SQL y cómo puede combatirlas. El término de inyección SQL (también llamado SQLI) se refiere a un tipo de técnica de ataque cibernético que es una forma regular para que los hackers comprometan sitios web de todo tipo, incluidos los sitios que ejecutan WordPress como un sistema de gestión de contenido. En esta guía, explicaremos en detalle cómo un ataque de inyección SQL y los pasos exactos que debe tomar para evitar uno. Vamos a ver. Descubrirá todo sobre cómo funcionan estos ataques, por qué son tan importantes contra los cuales defenderse y los ejemplos reales de estas vulnerabilidades. ¡Vamos a bucear!
En esta guía
Introducción: La comprensión de SQL S TRUCTURADO Q URYY L ANGUAGE, o “SQL” (pronunciado como la palabra “secuela”) es una base de datos relacional. Inventado en 1974, fue la primera manera fácil de almacenar y tomar muchos tipos de datos en los sistemas informáticos. Desde entonces, el lenguaje ha aumentado en popularidad y todavía se usa en muchos sistemas de gestión de contenido (CMS), como WordPress hoy. Poco después de que el lenguaje se haya vuelto popular en la comunidad de investigación científica, apareció el problema de la inyección de SQL, ahora infame. En sistemas como WordPress, muchas operaciones utilizan consultas SQL para recuperar y almacenar datos. Estas consultas SQL son escritas por desarrolladores y no están diseñadas para ser maleables.
Desafortunadamente, desde el comienzo de SQL, los ataques de inyección SQL han sido un problema persistente para los sistemas que usan este tipo de base de datos, como la base de datos de WordPress. El uso de un complemento de seguridad de WordPress de calidad ciertamente puede contribuir a la atenuación del riesgo de sufrir un ataque o violación devastadora. Sin embargo, como diría GI Joe, “el conocimiento es la mitad de la batalla” cuando se trata de cualquier forma de ataque cibernético. ¿Qué es una inyección SQL (SQLI)? En resumen, una inyección SQL (SQLI) es un ataque que permite a un hacker aprovechar una consulta SQL vulnerable para ejecutar su propia consulta. Las inyecciones de SQL ocurren cuando un atacante puede ejecutar su propio SQL en un servidor. Notará que las inyecciones de SQL a menudo se llaman “SQLI” o “SQLI” en publicaciones técnicas. Recuerde, estos ataques pueden ocurrir en cualquier sistema utilizando SQL o un derivado SQL para administrar los datos. Las inyecciones de SQL WordPress en particular están muy bien investigadas y documentadas debido al gran volumen de sitios que se ejecutan en la plataforma de WordPress. Echemos un vistazo a los gastos más técnicos que consisten en estos ataques. Definición de inyección SQL Por definición, la intención de una inyección SQL siempre es maliciosa y generalmente tiene como objetivo cumplir con uno o más de estos tres objetivos:
Recuperación de datos no autorizada: en SQL, el comando SELECT se usa para tomar datos. Si un atacante puede manipular con éxito la consulta basada en selección, podrá “descargar” el contenido de una base de datos. Es por eso que es esencial cifrar todas las bases de datos con información que no debe hacerse pública. Modificación de datos: en otros casos, el propósito de una inyección de WordPress SQL puede ser cambiar las entradas de las bases de datos. Esto generalmente es para asignar una cuenta o un conjunto de cuentas de cuentas que generalmente no tendrían.
Denegación de servicio (DOS): un ataque de DOS es cuando un usuario malicioso hace un acceso más difícil a los usuarios legítimos a su sitio. Los atacadores a menudo eliminan el contenido de las bases de datos para hacer que los sitios de destino sean inaccesibles o inutilizables.
Consejo rápido: ¡haga una copia de seguridad regular de su sitio web! Muchos desarrolladores experimentados mantienen a los niños fuera del servidor de todos los SQL que han escrito para sus sitios de WordPress. En forma de archivos .sql, se pueden usar con un complemento de repuesto de WordPress para asegurarse de que incluso si un atacante puede evitar su seguridad, puede recuperarse en muy poco tiempo. Un complemento de copia de seguridad de WordPress, como BackupBuddy, copia de seguridad de toda la base de datos de WordPress y cualquier otro archivo en su instalación de WordPress.
El tipo de ataque de inyección SQL se explica ahora, que hemos explorado algunos de los daños que pueden causar los ataques basados ​​en SQL, es hora de explorar la parte más técnica de las inyecciones. Hay algunos subconjuntos importantes de tipos de inyección que debe saber. Inyección clásica de SQL (SQLI) El tipo más común de inyección, la versión clásica es cuando el atacante conoce el código SQL temprano. Este es también el tipo de inyección más utilizada en WordPress; Debido a que WordPress es de código abierto, el público en general tiene acceso a todos sus componentes, incluido SQL. Iremos a ejemplos reales un poco más tarde, pero con esta forma de inyección, los atacantes a menudo manipulan los interrogatorios para “cancelar” la primera parte de una . Luego, pueden introducir una consulta personalizada que el servidor realizará como si el desarrollador original hubiera escrito. La inyección SQL de ORB (SQLI) A diferencia de la versión clásica, las inyecciones ciegas de SQL aparecen cuando el atacante no tiene acceso al código SQL y simplemente debe hacer una suposición educada. Además, este tipo requiere mucha más habilidad que SQLI tradicional, porque los resultados de un ataque exitoso no se muestran al atacante.
Dicho esto, hay muchos programas disponibles que ayudan a los malos usuarios intencionales a lograr sus resultados automáticos de cables de bits. Inyección compuesta SLQ (SQLI) Esta forma de ataque es cuando un ataque separado se combina con SQLI para obtener el resultado deseado. El más sofisticado de los tres subgrupos, el atacante debe ejecutar una exploit que les permita ejecutar SQLI que no funcionaría solo. Las explotaciones que acompañan a los más frecuentes en este tipo de ataque son las violaciones de autenticación, los ataques de negación distribuidos (DDoS), el desvío de DNS y los ataques de guiones entre sitios. ¿Por qué los sitios web de WordPress son vulnerables a las inyecciones de SQL? WordPress es vulnerable a ciertas inyecciones de SQL, porque se usa (¡ahora tiene el 40% de todos los sitios web!) Y ha habido durante algún tiempo (desde 2003). WordPress se basa en PHP, un lenguaje de programación en el lado del servidor que está diseñado para integrarse fácilmente con MySQL. WordPress utiliza bases de datos SQL para almacenar casi todo, desde comentarios hasta publicaciones e información electrónica de comercio. La gran mayoría de los intentos de inyección de WordPress SQL están en formularios que envían datos a un script PHP que contiene la consulta SQL que el atacante quiere explotar.

Este no es un defecto de diseño, sino más bien un efecto secundario de cómo se diseñó WordPress. Recuerde, casi todo lo que comenzó antes y hasta que “Era dot com” no fue concebido dada la seguridad. De hecho, la revista Web Phrack, interrumpida ahora, fue la primera fuente pública en discutir SQLI en su edición de diciembre de 1998. Aunque las operaciones iniciales de SQLI casi nunca funcionan en un CMS moderno, los atacantes se han convertido en trucos a lo largo de los años. Echaremos un vistazo a un simple ejemplo de cómo SQLI podría verse en un sitio web completamente desprotegido. Luego le mostraremos cómo mirar las exploits existentes para diferentes versiones de WordPress. Inyecciones SQL importantes
En casi todos los países y estados desarrollados, incluso tratar de explotar un sitio de WordPress que no posee es ilegal. ¡Los castigos pueden ser bastante severos e incluso pueden conducir a la prisión en algunos casos! Aunque es libre de probar nuestros ejemplos en su propio hardware, nunca intente hacer esto sin autorización explícita en otros sitios.
Antes de continuar, todavía tenemos una nota importante que queremos dejar lo suficiente como para ayudarlo a mantenerse en el camino correcto con WordPress y su viaje de seguridad cibernética.
Mantener su versión actualizada de WordPress es una de las mejores defensas contra las explotaciones SQLI. Incluso si significa romper temporalmente algunos complementos, vale la pena para la seguridad de su sitio. Ejemplo de inyección SQL ahora, que hemos eliminado estas disminuciones de responsabilidad para analizar los ejemplos SQLI. Para comprenderlos, deberá conocer un poco de jerga SQL. SQL utiliza comandos como seleccionar datos, soltar la tabla para destruir completamente una tabla de una base de datos, eliminar para eliminar las filas de una tabla y más. Además, el personaje “*” significa “todo” en SQL. La consulta más básica en SQL es: Seleccionar * de TABLE_NAME. Esto dice que imprima todos los datos en una tabla llamada “table_name”. Al enviar datos a un formulario de inicio de sesión, son ejecutados por un script PHP que coincida con sus credenciales con una tabla de usuario. En nuestro ejemplo, asumiremos que somos muy estúpidos en seguridad cibernética y que tenemos una tabla completamente ordenada, con texto claro, con columnas llamadas usuario y pase. Al preparar el interrogatorio en nuestra base de datos muy segura, nuestro nombre de usuario y contraseñas se llama mal_done_table. El interrogatorio para la autenticación de un usuario conectado es simplemente: Seleccione * de Badly_Done_Table donde user = ‘[nombre de usuario en el formulario]’ y pasar = ‘[contraseña en el formulario]’
.Como puede ver, decimos que tome la “lista” de usuarios, que debería ser uno, si el nombre de usuario y la contraseña ingresaron en el formulario.SQL también permite la palabra clave o se usa en instrucciones condicionales, como y ver en nuestra consulta.Ahora, es hora de construir nuestra explotación.Nuestra explotación de nuestra consulta SQL sin protección está configurada para devolver al usuario si nuestro nombre de usuario y contraseña coinciden.Teniendo en cuenta que una sola oferta concluirá una cadena, podemos ingresar a “blahblahblah” como nombre de usuario y luego “o” 1 “=” 1 “.Aprovechamos el hecho de que nuestra consulta se forma dinámicamente y que la entrada no está “desinfectada” antes de ser ejecutada.Esencialmente, decimos que si el número “1” es igual al número “1” (¡sorprendentemente, sí!
), Luego arroje todo de la mesa, independientemente de si las credenciales que hemos introducido son correctas. En 1998, esto habría funcionado. Ahora, en general, es necesario para mucha más habilidad tanto en SQL como en SQLI crear plantas de trabajo para WordPress. Inyecciones SQL y sitios web de WordPress Nuestro ejemplo anterior no funcionaría en sitios modernos de WordPress, a menos que un administrador del sitio haya hecho esfuerzos para deshabilitar todas las medidas de seguridad. Sin embargo, utilizando los mismos principios, los piratas informáticos aún crean y venden explotaciones SQLI a otros usuarios maliciosos. Debido a que WordPress es de código abierto y tiene una gran comunidad de desarrollo de espalda, muchos investigadores de seguridad a menudo encuentran estas hazañas antes de que un hacker lo haga. Luego informa al equipo de WordPress, y la exploit se convierte en parches. En algunos casos desafortunados, un hacker localiza el primer exploit, lo que lo hace “en la naturaleza”, lo que obliga al equipo de WordPress a hacer una solución rápida lo antes posible y lanzarla como una actualización. Si está interesado en ver exploits de inyección de WordPress actuales y anteriores, puede consultar una base de datos CVE. Contiene un índice de amenazas a la seguridad con el nombre del producto, las versiones afectadas y una descripción general de la forma en que funciona el exploit. Casi todas las exploits que encontrará en tales listas ya son correctas, pero son excelentes para usar como materiales de aprendizaje. Preveniendo la inyección de SQL después de leer esto, probablemente se pregunte cómo asegurarse de que su sitio de WordPress no se convierta en la próxima víctima de un ataque SQLI.
¡La buena noticia es que no tiene que ser un profesional de seguridad para protegerse de los ataques SQLI! Tenga mucho cuidado con los archivos de PHP que escriba o obtenga de otros sitios e instale (especialmente los complementos de WordPress). Todo lo que necesita es un script PHP pobre que no desinfecta los datos de los usuarios para arruinar su sitio web de WordPress.
Use un complemento de monitoreo de seguridad bien conocido, como IThems Security Pro, para advertirle si alguien está tratando de cometer este ataque en su sitio, para que pueda bloquearlo de antemano.
Lo más importante, siempre debe mantener su sitio web de WordPress actualizado a la última versión. Muchos propietarios de sitios renuncian a la actualización por una razón u otra y esta es la razón de la gran mayoría de las violaciones de datos.
Mantenga los complementos y temas actualizados de WordPress. No podemos decirlo lo suficiente. Los temas y complementos vulnerables son la razón # 1 por la cual los sitios de WordPress son pirateados.
Obtenga el informe semanal de vulnerabilidad de WordPress entregado directamente en la casilla de correo electrónico.
Regístrate ahora
5 pasos para evitar inyecciones SQL SQL 1. Descargue e instale el complemento IThems Security Pro para comenzar a asegurar y proteger su sitio, descargue e instale el IThems Security Pro.
Obtenga iThems Security Pro Now 2. Active la gestión de versiones para mantener WordPress Core, complementos y simplemente complementos actualizados: pone en peligro un ataque si ejecuta versiones obsoletas de WordPress, complementos y temas en su sitio web. Las actualizaciones de la versión a menudo incluyen correcciones para problemas de seguridad, incluidas las inyecciones de SQL y las vulnerabilidades al ejecutar el código de distancia (RCE), por lo que siempre es importante ejecutar la última versión de todo el software instalado en su sitio web de WordPress. Las actualizaciones aparecerán en el tablero de WordPress tan pronto como estén disponibles. Haga una práctica para ejecutar una copia de seguridad y luego ejecute todas las actualizaciones disponibles cada vez que inicie sesión en su sitio de WordPress. Aunque la tarea de ejecutar actualizaciones puede parecer incómoda o agotadora, es una buena práctica de seguridad de WordPress. Es difícil realizar un seguimiento de cada vulnerabilidad de WordPress: los seguimos y los compartimos en nuestra vulnerabilidad de WordPress, y comparamos esa lista con las versiones de los complementos y temas que ha instalado en su sitio web. Sin embargo, esto no impide que los piratas informáticos de WordPress se dirijan complementos y temas con vulnerabilidades conocidas. La instalación de software con vulnerabilidades conocidas en su sitio ofrece a los piratas informáticos los planes que necesitan para hacerse cargo de su sitio web.
Obtenga el informe semanal de vulnerabilidad de WordPress
Regístrate ahora
La función de administración de las versiones en el complemento IThemes Security Pro le permite actualizar automáticamente WordPress, complementos y temas. Más allá de eso, la administración de versiones también tiene opciones para fortalecer su sitio cuando ejecuta software obsoleto y escaneando sitios antiguos. Para comenzar a usar las versiones de administración, active el módulo en la configuración de seguridad principal. Ahora haga clic en el botón Configuración de configuración para ver más de cerca la configuración, todo diseñado para proteger su sitio.
Actualizaciones de WordPress: instale automáticamente la última versión de WordPress.
Actualizaciones de complementos: instale automáticamente las últimas actualizaciones de plug -UP. La activación de esta configuración desactivará la característica de los complementos de actualización automática de WordPress para evitar conflictos.

Actualizaciones de temas: instale automáticamente las últimas actualizaciones temáticas. La activación de esta configuración deshabilitará la función de actualización automática de WordPress para evitar conflictos.

Consolidar el sitio cuando se ejecuta software anticuado, automáticamente agrega protección adicional al sitio cuando no se ha instalado una actualización disponible en un mes.
Escanee en busca de sitios antiguos de WordPress, una cuenta de alojamiento diario para sitios antiguos de WordPress que podrían permitir que un atacante comprometa el servidor. Un solo sitio de WordPress con una vulnerabilidad podría permitir a los atacantes comprometer a todos los demás sitios en la misma cuenta de host.
Actualización automática Si remedia la vulnerabilidad: esta opción funciona en conjunto con el escaneo del sitio de Ithems Security Pro para consultar el sitio web para conocer las vulnerabilidades de WordPress, complementos y temas y para aplicar un parche cuando esté disponible. Escanee su sitio para encontrar complementos y temas vulnerables Ithemes Pro Site Scanner es otra forma de proteger y proteger su sitio web de WordPress de la primera causa de todos los hacks de software: complementos obsoletos y temas de vulnerabilidad conocidos. Sitio del escáner Consulte su sitio en busca de vulnerabilidades conocidas y aplica automáticamente un parche si está disponible. Los 3 tipos de vulnerabilidades de WordPress verificados
Vulnerabilidades de WordPress

Las vulnerabilidades del complemento

Vulnerabilidades temáticas
Para activar el escaneo del sitio en las nuevas instalaciones, explore la configuración de IThems Security Pro y haga clic en el botón de activación en el módulo de escaneo del sitio.
Para activar un escaneo de sitio manual, haga clic en el botón Escanear ahora en el widget de escaneo del sitio ubicado en la barra lateral derecha.
Los resultados del escaneo del sitio se mostrarán en widget.
Si el escaneo del sitio detecta una vulnerabilidad, haga clic en el enlace de vulnerabilidad para ver la página de detalles.
En la página de vulnerabilidad del sitio de escaneo, verá si hay un remedio disponible para la vulnerabilidad. Si hay un parche disponible, puede hacer clic en el botón de actualización del complemento para aplicar el sitio web. Puede haber un retraso entre el momento en que hay un parche disponible y la vulnebilidad de seguridad iThemes se actualiza para reflejar el remedio. En este caso, puede desactivar la notificación para no recibir alertas de vulnerabilidad. Importante: no debe desactivar una notificación de vulnerabilidad hasta que haya confirmado que la versión actual incluye remedio de seguridad o si la vulnerabilidad no afecta a su sitio.
4. Active la clave de detección de cambios de archivo para identificar rápidamente una violación de seguridad es monitorear los cambios de archivo en su sitio web. La función de detección de cambios de archivo en Ithemes Security Pro escaneará los archivos de su sitio web y le advertirá cuando ocurran cambios en su sitio web. Hay varias razones legítimas por las cuales vería un nuevo cambio de actividad en sus diarios, pero si los cambios realizados son inesperados, debe asignarse para asegurarse de que los cambios no hayan sido dañinos. Por ejemplo, si ve un cambio realizado en un complemento en la misma fecha y hora que ha actualizado el complemento, no habría razón para investigar para monitorear los cambios de archivo, activar los cambios de archivo en la configuración de seguridad principal.
Una vez activado la opción que detecta los cambios de archivo, IThemes Security Pro comenzará a escanear todos los archivos de su sitio web.Los archivos de escaneo en piezas ayudarán a reducir los recursos necesarios para monitorear los cambios de archivo.El escaneo inicial del cambio de archivo creará un índice de los archivos de su sitio web y sus hashs.Un archivo hash es una versión abreviada que el hombre no puede leer, el contenido del archivo.Después de completar el escaneo inicial, IThemes Security Pro continuará escaneando su archivo en pedazos.Si un archivo hash cambia a uno de los escaneos posteriores, significa que el contenido del archivo ha cambiado.También puede ejecutar un cambio de archivo hecho a mano haciendo clic en el botón de escaneo de archivos ahora desde la configuración de detección de archivos
Los cambios de archivo tienen lugar todo el tiempo y recibir una alerta de correo electrónico para cada cambio se volvería rápidamente abrumador. Y antes de saber, se convierte en un niño que ha llorado la situación del lobo y comienza a ignorar las alertas de modificación del archivo. La buena noticia es que IThemes Security Pro identifica de manera inteligente los cambios legítimos para reducir las notificaciones y cómo puede desactivar las notificaciones para los archivos que se espera que se actualicen con frecuencia. Puede manejar todas las notificaciones de seguridad de ITHEMS en el centro de notificaciones en el complemento de seguridad ITHEMS. Desde el tablero del administrador de WordPress, vaya a Configuración de seguridad> y localice el módulo Center de notificación. 5. Active la autenticación en dos factores para los usuarios que realizan cambios en el sitio web Dos factores La autenticación es un proceso para verificar la identidad de una persona mediante la necesidad de dos métodos de verificación separados. Google ha compartido en su blog que el uso de la autenticación de dos factores puede detener el 100% de los ataques automáticos de hocico. ¡No hay malas probabilidades! El complemento de seguridad ITHEMS le permite activar la autenticación en dos factores para su sitio de WordPress, por lo que los usuarios deben ingresar un código secundario para conectarse. Los tres métodos de autenticación con dos factores proporcionados por ITHEMS Security Pro incluyen: Aplicación móvil: el método de aplicación móvil es el método más seguro de autenticación con dos factores proporcionados por ITHEMS Security Pro. Este método requiere el uso de una aplicación móvil gratuita con dos factores, como Authy o Google Authenticator.
E – Correo: el método de correo electrónico de dos factores enviará códigos sensibles a tiempo a la dirección de correo electrónico de su usuario: un código de uso único establecido para iniciar sesión en caso de que se pierda el método principal con dos factores.
Para comenzar a usar la autenticación de dos factores en su sitio web, active la función en la página principal de la configuración de ITHEMS Security Pro.

Siga los pasos desde aquí para continuar configurando la autenticación con dos factores para su sitio web de WordPress. Si ha seguido nuestras recomendaciones y ha activado los requisitos de fuerza para los usuarios privilegiados, lo siguiente que verá es el lugar donde ingresa el símbolo con dos factores.

Terminar: para una red más segura, juntos no se preocupen si se siente un poco abrumado cuando descubre todas las amenazas potenciales para la seguridad que busca su sitio de WordPress. La verdad es que las amenazas son muchas, pero las soluciones pueden ser simples. Esperamos que esta guía lo haya ayudado a comprender el riesgo de ataques de inyección SQL en su sitio web de WordPress. Al implementar algunas buenas prácticas de seguridad de WordPress, junto con los 5 pasos anteriores, tendrá una mejor línea de defensa.

Obtener contenido de bonificación: una guía de seguridad de WordPress

haga clic aquí
Kristen Wright
Kristen escribió tutoriales para ayudar a los usuarios de WordPress en 2011. Por lo general, puede encontrarlo trabajando en nuevos artículos para IThems Blog o desarrollar recursos para #WpProsper. Fuera del trabajo, Kristen disfruta del diario (¡escribió dos libros!), Senderismo y acampar, cocinar y aventuras diarias con su familia, con la esperanza de llevar una vida más presente.