Ejecución del código remoto: una guía para usuarios de WordPress

Si se toma en serio la seguridad de su sitio web, es hora de averiguar sobre los peligros de las vulnerabilidades al ejecutar el código de distancia y cómo puede combatirlos. La fecha límite para el código remoto (RCE) se refiere a varias técnicas de piratería y ataques cibernéticos diferentes, pero todos tienen algo importante en común. RCE, a veces llamado inyección de código, es una forma cada vez más común para que los hackers comprometan sitios web de todo tipo, incluidos los sitios que ejecutan WordPress como un sistema de gestión de contenido. En esta guía, explicaremos en detalle cómo se ve un ataque de ejecución de código remoto y los pasos exactos que debe seguir para evitar uno. Vamos a ver.
En esta guía
¿Cuáles son los ataques de ejecución remota del código (RCE)? La ejecución del código remoto (RCE) es un tipo de vulnerabilidad que le da a un hacker la oportunidad de acceder y cambiar una computadora o base de datos en poder de otra persona. Durante un ataque RCE, un hacker excede el servidor o la computadora mediante el uso de malware (software mal arbitrario). Se realiza un ataque de ejecución de código remoto sin la autorización del propietario del hardware y no importa dónde se almacenen los datos en el mundo. Se han explicado los ataques de RCE que pueden ser útiles para pensar en los ataques de ejecución del código de distancia como las termitas:
Una excavación de terminita debajo de una casa.
El propietario no la conoce y ciertamente no habría invitado a la terminal si hubiera sabido sobre los daños que pretende hacer.
La terminita se come los cimientos de la casa hasta que la casa ya no está.
Si bien la metáfora no es exactamente la misma que funciona un ataque RCE, un ataque RCE es realmente peor. A diferencia del termitado que tiene que estar en casa (o en él), un hacker puede acceder a su sitio desde cualquier lugar. El hecho es que los ataques RCA son increíblemente peligrosos, porque los piratas informáticos pueden realizar cualquier tipo de código malicioso en un servidor vulnerable. No hay límite en el daño que un hacker RCE calificado para su sitio de WordPress puede hacer acceso a él. Ejecución de ejecución a un código de distancia en 2018, Microsoft ha revelado una vulnerabilidad para ejecutar el código remoto que se encuentra en el programa de software, Excel. Un atacante podría explotar la vulnerabilidad para ejecutar código arbitrario en el contexto del usuario actual. Si el usuario actual se ha conectado con los derechos de usuario administrativo, un atacante podría tomar el control del sistema afectado. Un atacante podría instalar programas; Ver, modificar o eliminar datos; o crear nuevas cuentas con derechos de usuario completos. Los usuarios cuyas cuentas han sido configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los usuarios que operan con los derechos de usuario administrativos.
¿Cuáles son los diferentes tipos de ejecución de código remoto? Para comprender mejor los hacks de RCE, debe tener en cuenta los diferentes tipos de ejecución de código remoto: inyecciones de SQL Su sitio web de WordPress utiliza una base de datos MySQL para que funcione. Las inyecciones de SQL ocurren cuando un atacante obtiene acceso a la base de datos de WordPress y a todos los datos de su sitio web. Con una inyección SQL, un atacante puede crear una nueva cuenta de usuario a nivel de administrador, que luego se puede usar para conectarse y obtener acceso completo a su sitio de WordPress. Las inyecciones de SQL también se pueden usar para insertar nuevos datos en su base de datos, incluidos los enlaces a sitios web maliciosos. Por ejemplo, si una aplicación tiene que leer el nombre de usuario de la base de datos, un desarrollador podría cometer el error de usar el código, como el siguiente, para un nombre de usuario: seleccione * de usuarios donde nombre = ‘nombre de usuario’ pero cuál es el problema ¿Con tal consulta sobre RCE? Cualquier visitante de su sitio de WordPress, incluso hackers con mala intención, puede ingresar a un nombre de usuario. Por ejemplo, el hacker podría introducir “1” 1 “= -o”, lo que conduciría a una declaración SQL como esta:

Seleccione * de los usuarios donde nombres = ‘1’ = ‘1’ – ‘o suponiendo que la aplicación continúe buscando el nombre de usuario del sitio a lo largo de la base de datos, luego seleccione cada campo donde haya un nombre sin complicaciones, cuando 1 es igual a 1 , este último siempre es cierto. Lo que sucede es que los hackers se ofrecen a cada nombre de usuario de la base de datos SQL. Sin embargo, una fuga de datos como esta no es el único peligro para las inyecciones de SQL. Un atacante también podría enviar una multitud de pedidos en la base de datos SQL, que podría sobresalir o eliminar los datos cruciales del sitio de WordPress. Las escrituras entre las Escrituras son otra vulnerabilidad de RCE. Tiene un impacto directo en los visitantes del sitio, en lugar de en sus servidores de secuencias de comandos de sitios intermedios (XSS) es un tipo de ataque de malware que se ejecuta explotando vulnerabilidades entre sitios en cualquier sitio de WordPress. De hecho, es la forma más común en que los sitios de WordPress pueden ser pirateados porque hay muchos complementos de WordPress que tienen vulnerabilidades XSS. Dentro de cada página web, el código y el contenido se representan de manera idéntica. Sin embargo, un navegador web puede distinguir el código del contenido, ya que siempre está envuelto en etiquetas de scripts. Lo que esto significa es que sin un filtro apropiado, los atacantes pueden ingresar códigos maliciosos en cualquier lugar en una página web que permita ingresar el texto. Sin un filtro adecuado, los atacantes pueden introducir códigos maliciosos en cualquier lugar de una página web que permita ingresar el texto. ¿Estás protegido?
Esto incluye campos vulnerables como barras de búsqueda (a menudo en cada página de su sitio de WordPress), secciones de comentarios o incluso nombres mostrados. Cuando se ejecuta este ataque, el navegador que ejecuta su sitio web ejecutará el código malicioso. Las escrituras entre sitios no serían tan grandes como un problema de seguridad si solo se ejecutaran en el navegador del atacante. Sin embargo, cuando el código malicioso es visible para el público, como en las secciones de comentarios de las publicaciones en su blog, también tendrá un impacto en cualquier visitante que vea el contenido. Con esta peligrosa capacidad de ejecutar cualquier código a una distancia. , un ataque puede robar fácilmente las contraseñas y puede fingir ser un usuario legítimo. También puedo ver la información personal del usuario personal, como datos de la tarjeta de crédito o información de la cuenta de PayPal.
Advertencia: una infestación de hackers se puede transmitir a sus usuarios la seguridad adecuada, no solo para su protección, sino también para la suya.
Crossing Director Este ataque no está dirigido por una aplicación o visitantes a su sitio de WordPress. En cambio, el objetivo principal es su sitio real.
La vulnerabilidad de RCE explota cómo se almacenan los archivos del sitio en el sistema de archivos del servidor de su sitio web. Normalmente, los datos se almacenan en un directorio estándar, como / home / user / public_html. Los scripts en el directorio acceden a los archivos utilizando una ruta relativa, como wp-admin/index.php que se relacionan directamente con /home/user/public_html/wp-admin/index.php. Cuando se configura un script para acceder a un archivo fuera del director actual, lo hace simplemente incluyendo un “../”. Esto se refiere al director en un paso por encima del director actual. Como ejemplo, el director del director /home/user/public_html/../ está dirigido a /home /user /. Si se permite que un script lea o cargue desde cualquier nombre de archivo personalizado, un atacante dirigirá la aplicación a los directorios que cruzan, con un nombre como ../../../../..// ../ ../../etc/passwd. Si no ha implementado características de seguridad importantes, como el filtrado de entradas, Hacker puede tener acceso directo a los archivos básicos de su servidor, lo cual es una mala noticia para su sitio. Lo que puede hacer para evitar ataques en la ejecución del código remoto ( Rce)?
La información detallada proporcionada en esta guía no está destinada a intimidar o causarle ningún miedo. Más bien, está destinado a resaltar la creciente importancia del hecho de que las medidas de seguridad más sólidas del sitio de WordPress se ejecutan en cualquier momento. También sirve como un recordatorio para mantener sus complementos actualizados en cualquier momento, para asegurarse de que no estén abiertos a nuevas vulnerabilidades de RCE. La gran mayoría de los ataques de RCE pueden atenuarse por completo o detenerse solo al ser conscientes de ellos y estar preparados antes de que ocurran. Como propietarios de sitios de WordPress, es importante anticipar y comprender cómo nuestros servidores de sitio procesan la información proporcionada por nuestros usuarios. Cómo prevenir los ataques de ejecución de código remoto (RCE): 5 pasos número uno para garantizar que su sitio esté protegido de las vulnerabilidades de RCE es utilizar un sistema de defensa multifacético. En otras palabras, incluso si una línea de defensa falla, continuará protegiendo del posible ataque. Dicho esto, para echar un vistazo a algunos de los pasos más importantes que debe seguir para evitar estos ataques maliciosos y a menudo peligrosos. Más factores pueden hacer que su sitio de WordPress sea más vulnerable a ataques exitosos. 1. Descargue e instale el complemento IThems Security Pro para comenzar a asegurar y proteger su sitio, descargue e instale el IThems Security Pro. Obtenga iThemes Security Pro Now 2. Active la gestión de versiones para mantener WordPress Core, complementos y simplemente temas actualizados:
En peligro de un ataque si ejecuta versiones obsoletas de WordPress, complementos y temas en su sitio web. Las actualizaciones de la versión a menudo incluyen correcciones para problemas de seguridad, incluidas las vulnerabilidades en el código remoto (RCE), por lo que es importante ejecutar siempre la última versión de todo el software instalado en su sitio de WordPress. Las actualizaciones aparecerán en el tablero de WordPress tan pronto como estén disponibles. Haga una práctica para ejecutar una copia de seguridad y luego ejecute todas las actualizaciones disponibles cada vez que inicie sesión en su sitio de WordPress. Aunque la tarea de ejecutar actualizaciones puede parecer incómoda o agotadora, es una buena práctica de seguridad de WordPress. Es difícil realizar un seguimiento de cada vulnerabilidad de WordPress: los seguimos y los compartimos en nuestra vulnerabilidad de WordPress, y comparamos esa lista con las versiones de los complementos y temas que ha instalado en su sitio web. Sin embargo, esto no impide que los piratas informáticos de WordPress se dirijan complementos y temas con vulnerabilidades conocidas. La instalación de software con vulnerabilidades conocidas en su sitio ofrece a los piratas informáticos los planes que necesitan para hacerse cargo de su sitio web. La función de administración de las versiones en el complemento IThemes Security Pro le permite actualizar automáticamente WordPress, complementos y temas. Más allá de eso, la administración de versiones también tiene opciones para fortalecer su sitio cuando ejecuta software obsoleto y escaneando sitios antiguos. Para comenzar a usar la gestión de versiones, active el módulo en la configuración de seguridad principal.
Ahora haga clic en el botón Configuración de configuración para ver más de cerca la configuración, todo diseñado para proteger su sitio. Realizaciones de WordPress: instale automáticamente la versión de WordPress.
Actualizaciones de complementos: instale automáticamente las últimas actualizaciones de plug -UP. La activación de esta configuración desactivará la característica de los complementos de actualización automática de WordPress para evitar conflictos.
Actualizaciones de temas: instale automáticamente las últimas actualizaciones temáticas. La activación de esta configuración deshabilitará la función de actualización automática de WordPress para evitar conflictos.
Consolidar el sitio cuando se ejecuta software anticuado, automáticamente agrega protección adicional al sitio cuando no se ha instalado una actualización disponible en un mes.

Escanee en busca de sitios antiguos de WordPress, una cuenta de alojamiento diario para sitios antiguos de WordPress que podrían permitir que un atacante comprometa el servidor. Un solo sitio de WordPress con una vulnerabilidad podría permitir a los atacantes comprometer a todos los demás sitios en la misma cuenta de host.

Actualización automática Si remedia la vulnerabilidad: esta opción funciona en conjunto con el escaneo del sitio de Ithems Security Pro para consultar el sitio web para conocer las vulnerabilidades de WordPress, complementos y temas para aplicar un parche cuando esté disponible.

Las actualizaciones y los temas de los complementos ahora para analizar más de cerca la configuración de arado y temas. Antes de comenzar, solo tenemos que recordarle que activar la configuración de actualización del complemento y el tema desactivará la función de actualización automática de WordPress para evitar conflictos. Tanto la configuración del complemento como la actualización del tema tienen tres opciones. Blank / Ninguno: deje la configuración sin complicaciones permitirá que WordPress administre el complemento y las actualizaciones del tema.
Personalizado: la opción personalizada le permite personalizar las actualizaciones con precisión a su gusto. Cubriremos este aspecto más un poco.
Todos: todos actualizarán todos sus complementos o temas tan pronto como haya una actualización disponible.
Ahora echemos un vistazo más de cerca a la opción personalizada.
Seleccionar la opción personalizada ofrece tres opciones diferentes para las actualizaciones de arados y temas. Como podemos ver, el conjunto de actualizaciones automáticas personalizadas ofrece mucha más flexibilidad que la opción de actualización automática automática o desactivada. 3. Escanee su sitio para encontrar complementos y temas vulnerables Ithemes Pro Site Scanner es otra forma de proteger y proteger su sitio web de WordPress de la primera causa de todos los hacks de software: complementos obsoletos y temas con vulnerabilidades conocidas. Sitio del escáner Consulte su sitio en busca de vulnerabilidades conocidas y aplica automáticamente un parche si está disponible. Los 3 tipos de vulnerabilidades verificadas
Vulnerabilidades de WordPress
Las vulnerabilidades del complemento
Vulnerabilidades temáticas
Para activar el escaneo del sitio a las nuevas instalaciones, navegue por la configuración de Security Pro ithems y haga clic en el botón de activación en el módulo de configuración de escaneo del sitio. Para activar un escaneo manual del sitio, haga clic en el botón de escaneo ahora en el widget del escaneo de widget de la Sitio ubicado en la barra lateral derecha de la configuración de seguridad.
Los resultados del escaneo del sitio se mostrarán en widget.
Si el escaneo del sitio detecta una vulnerabilidad, haga clic en el enlace de vulnerabilidad para ver la página de detalles.


En la página de vulnerabilidad del sitio de escaneo, verá si hay un remedio disponible para la vulnerabilidad. Si hay un parche disponible, puede hacer clic en el botón de actualización del complemento para aplicar el sitio web. Puede haber un retraso entre el momento en que hay un parche disponible y la vulnebilidad de seguridad iThemes se actualiza para reflejar el remedio. En este caso, puede deshabilitar la notificación para no recibir alertas de vulnerabilidad.
Importante: no debe desactivar una notificación de vulnerabilidad hasta que haya confirmado que la versión actual incluye un remedio de seguridad o si la vulnerabilidad no afecta a su sitio.
4. Evitar el secuestro de la sesión debe tener una protección contra las sesiones de desviar para los administradores y editores en su sitio web de WordPress para proteger sus vulnerabilidades al ejecutar el código de distancia. Característica de los dispositivos de confianza Ithemes Security Pro Face de la sesión secuestrando una cosa del pasado. Si el dispositivo de un usuario cambia durante una sesión, ITHEMS Security lo desconectará automáticamente para evitar cualquier actividad no autorizada de la cuenta del usuario, como cambiar la dirección de correo electrónico del usuario o cargar complementos maliciosos. La característica de dispositivos de confianza en Ithemes Security Pro funciona para identificar sus dispositivos y otros usuarios para conectarse a su sitio de WordPress. Después de identificar sus dispositivos, podemos detener los buzos de sesión y otros malos actores para no causar daños a su sitio web. Cuando un usuario se ha conectado en un dispositivo irreconocible, los dispositivos confiables pueden restringir sus capacidades a nivel de administrador. Esto significa que si un atacante pudiera ingresar al sitio de retroceso Backp. Para comenzar a usar dispositivos confiables, activelos en la configuración de seguridad, luego haga clic en el botón Configuración de configuración. En dispositivos confiables, decida qué usuarios desea usar la función y luego active las funcionalidades y las características de protección. Contra el secuestro de la sesión.
Después de activar el nuevo conjunto de dispositivos confiables, los usuarios recibirán una notificación en la barra de administración de WordPress sobre dispositivos no reconocidos. Si su dispositivo actual no se ha agregado a la lista confiable de dispositivos, haga clic en el enlace Confirmar del dispositivo para enviar el correo electrónico de autorización. Haga clic en el botón Confirmar del dispositivo en el inicio de sesión no reconocido para agregar sus dispositivos. Actual a la lista de dispositivos confiables.
Una vez que se activan los dispositivos de confianza, los usuarios pueden administrar dispositivos en su página de usuario de WordPress. Desde esta pantalla, puede aprobar o rechazar dispositivos de la lista de dispositivos confiables.

Además, tiene la opción de registrarse en algunas API de la tercera para mejorar la precisión de identificar dispositivos de confianza y utilizar mapas de imagen estáticos para mostrar la ubicación aproximada de una fecha de autenticación no reconocida. Consulte la configuración de dispositivos confiables para ver qué integración está disponible,

5. Active la autenticación con dos factores para todos los usuarios de la autenticación de los administradores con dos factores es un proceso de verificación de la identidad de una persona a través de la necesidad de dos métodos de verificación separados. Google ha compartido en su blog que el uso de la autenticación de dos factores puede detener el 100% de los ataques automáticos de hocico. ¡No hay malas probabilidades! El complemento de seguridad ITHEMS le permite activar la autenticación en dos factores para su sitio de WordPress, por lo que los usuarios deben ingresar un código secundario para conectarse. Los tres métodos de autenticación con dos factores proporcionados por ITHEMS Security Pro incluyen: Aplicación móvil: el método de aplicación móvil es el método más seguro de autenticación con dos factores proporcionados por ITHEMS Security Pro. Este método requiere el uso de una aplicación móvil gratuita con dos factores, como Authy o Google Authenticator.

E -Correo: el método de correo electrónico de dos factores enviará códigos sensibles a tiempo a la dirección E -Mail de su usuario.

Códigos de enlace: un conjunto de códigos de uso únicos que se pueden usar para conectarse si se pierde el método primario con dos factores.
Para comenzar a usar la autenticación de dos factores en su sitio web, active la función en la página principal de la configuración de ITHEMS Security Pro.
Siga los pasos desde aquí para continuar configurando la autenticación con dos factores para su sitio web de WordPress. Si ha seguido nuestras recomendaciones y ha activado los requisitos de fuerza para los usuarios privilegiados, lo siguiente que verá es el lugar donde ingresa el símbolo con dos factores.

Prevención de RCE: Consejos adicionales 1. Use solo software y complementos bien establecidos establecidos El proceso de “Escape” funciona excelente como su primera línea de defensa contra las vulnerabilidades de RCA. Sin embargo, hay algunas formas adicionales en las que el código puede ser realizado por servidores y navegadores, más allá de las etiquetas de script. Si su objetivo es tener en cuenta cada uno de ellos por su cuenta, sería muy complicado y requeriría mucho tiempo y recursos. Afortunadamente, los desarrolladores de aplicaciones han estado pensando mucho sobre el problema de las vulnerabilidades de RCE. Es mejor usar un CMS (sistema de gestión de contenido) confiable y confiable, como WordPress, porque hay soluciones incorporadas en la plataforma y los temas y complementos que ejecuta en ella. Siempre es esencial mantener todas las aplicaciones y complementos de software actualizados al lanzar nuevas versiones. Cuando se descubren vulnerabilidades, los desarrolladores de software trabajarán sin parar para permanecer frente a los puntos débiles que descubren. Esto es cierto para los autores de complementos y tareas. Si está utilizando un CMS personalizado en lugar de WordPress, puede mantener su sitio a salvo de cualquier inyección SQL utilizando consultas parametrizadas. Este tipo de consulta informará previamente una aplicación sobre el tipo exacto de consulta que va a ejecutar. Luego reconocerá y eliminará los comandos adicionales que un hacker podría intentar introducir. En lugar de una inserción exitosa, enviará la consulta original y excluirá la cadena que se ha agregado. En el ejemplo anterior, una consulta parametrizada se vería así:

$ Query = “Seleccionar * de usuarios donde nombre =?” $ Resultado = $ query.execute (“o ‘1’ = ‘1’-“) En este escenario, la base de datos se administra “o” 1 “=” 1′ correctamente . Él mira esta consulta como una cadena de solo texto y entiende que no hay un usuario asociado con el nombre proporcionado. 2. Valide los datos ingresados ​​por los usuarios El mejor lugar para comenzar a prevenir las vulnerabilidades de RCE es el lugar donde los usuarios de su sitio interactúan con su aplicación más simple es eliminar y filtrar cualquier caracteres no deseados. Otra opción es mantener el contenido escapándolo. Si no está familiarizado con lo que significa Escape, este es el proceso por el cual capacita a su computadora para ver algo que parece ser un código como texto ordinario. Por ejemplo, reemplazaría una etiqueta de script con “script>”. Al hacerlo, un navegador web comprende mostrar símbolos más pequeños que ”

en la ubicación especificada. Pero no tratará toda la cadena de texto como un código. Para el usuario, el resultado es invisible. 3. El principio del privilegio más bajo puede ser casos raros en los que puede ocurrir una vulnerabilidad de los días cero. Esto significa que ni usted ni los desarrolladores de CMS y APP no son conscientes de un tipo específico de ataque. Incluso en un caso como este, podemos continuar limitando el daño que un atacante puede causar estableciendo reglas simples sobre lo que puede hacer una aplicación. Por ejemplo, imagine diseñar una aplicación que se lee desde una base de datos. De hecho, no necesitaría otorgar a la nueva aplicación la capacidad o el permiso para eliminar o escribir registros de la base de datos. En este caso, incluso si los atacantes están tratando de comprometer el guión, encontrarán un error y no lo intentarán. El principio del privilegio mínimo también es útil porque se refiere a las funciones de PHP. Las funciones de PHP son un objetivo estándar para atacantes en línea de todo tipo. Funciones sólidas que pueden no ser necesarias para su aplicación, como init_set () (esto le permite actualizar la configuración de PHP en el script) o exec () (ejecutar el código transmitido como texto), debe deshabilitarse. Esto evita que los hackers y atacantes los usen con fines maliciosos. Esta idea especial se aplica a la obtención de las áreas públicas de su sitio web, así como el código del servidor. 4. La política de seguridad de contenido de contenido-seguridad es un encabezado utilizado por la mayoría de los navegadores web modernos. Determine qué tipos de contenido debe cobrar el navegador en su sitio web.

Al enviar encabezados en su aplicación o servidor web, podrá especificar los tipos de script que han permitido ejecutarse y en qué ubicaciones. El uso de la estrategia ayuda a evitar que los hackers inyecten sus scripts intencionales. 5. Deje de que el script lea cookies, otra opción es evitar que los scripts lean cookies. Esto evita enviar las solicitudes a otros sitios. Esto se hace configurando con los atributos de samesite = estrictamente o httponly. Incluso en un escenario en el que se ejecuta un código de hacker en su sitio de WordPress, evitará que accedan a las cookies de autenticación del usuario. Esto reducirá significativamente el daño potencial durante una ejecución del código remoto de WordPress. Conclusión: La ejecución del código remoto de WordPress no se preocupe si se siente un poco abrumado cuando descubre todas las amenazas potenciales para la seguridad que busca su sitio de WordPress. La verdad es que las amenazas son muchas, pero las soluciones pueden ser simples. Esperamos que esta guía lo haya ayudado a comprender el riesgo de ataques de RCE en su sitio web de WordPress. Implementación de algunas buenas prácticas de seguridad de WordPress, junto con los 5 pasos anteriores, tendrá una mejor línea de defensa. Obtenga el informe semanal de vulnerabilidad de WordPress en la casilla de correo electrónico

Regístrese para el informe

Kristen Wright
Kristen escribió tutoriales para ayudar a los usuarios de WordPress en 2011. Por lo general, puede encontrarlo trabajando en nuevos artículos para IThems Blog o desarrollar recursos para #WpProsper.Fuera del trabajo, Kristen disfruta del diario (¡escribió dos libros!), Senderismo y acampar, cocinar y aventuras diarias con su familia, con la esperanza de llevar una vida más presente.