Scripting de sitios cruzados: una guía de usuarios de WordPress

Si le preocupa los guiones entre sitios y cómo afecta su sitio de WordPress, ciertamente no es paranoico. Si bien la vulnerabilidad de los guiones entre sitios (también conocidos como XSS) no es exclusiva para los propietarios de sitios de WordPress, su impacto potencialmente negativo en los sitios de WordPress es extremadamente importante. En esta guía, desglosaremos las vulnerabilidades de secuencias de comandos de sitios cruzados (XSS) que debe seguir. Algunos de estos se volverán un poco técnicos, pero al final de la guía, podrá tomar una decisión bien informada sobre la seguridad general de su sitio de WordPress, en términos de scripts entre sitios. Además, sabrá exactamente qué hacer para evitar un ataque.
Ahora hundamos.
En esta guía
¿Qué es las secuencias de comandos de sitios cruzados (XSS)? La secuencia de comandos de sitios cruzados (XSS) es un tipo de ataque de malware que se ejecuta explotando vulnerabilidades entre sitios en cualquier sitio de WordPress. De hecho, es la forma más común en que los sitios de WordPress pueden ser pirateados porque hay muchos complementos de WordPress que tienen vulnerabilidades XSS. Explicación de los scripts entre sitios ¿Qué es la secuencia de comandos del sitio cruzado en términos aún más técnicos? Las vulnerabilidades de script entre los sitios permiten que el código JavaScript extranjero se llevará a cabo en un sitio web. Esto puede ser muy difícil para los propietarios de sitios de WordPress porque los ataques que explotan la vulnerabilidad pueden ser de varios tipos diferentes.
Esto es aún más cierto si ejecuta un sitio de WordPress muy grande o complejo, con muchos complementos que funcionan al unísono. Se pueden resumir muchos tipos diferentes de ataques XSS en dos categorías distintas: guión malicioso que se ejecuta en el navegador del cliente
Script intencional que se almacena y ejecuta en su servidor, luego atendido por un navegador
En cualquiera de estos casos, el hack utiliza un ataque de secuencias de comandos de sitio cruzado para manipular cómo funciona su sitio o incluso para robar datos críticos.
¿Qué hace que los ataques XSS sean comunes para los sitios de WordPress? Como usuario de WordPress, es posible que ya sepa cuán complejos son algunos complementos de WordPress. De hecho, algunos complementos que usa son aún más complejos que el núcleo de WordPress en sí. Desafortunadamente, cuanto más complejo sea el complemento de WordPress, mayor será la posibilidad de enfrentar problemas de seguridad. Los autores de los complementos saben lo difícil que es protegerse contra los ataques XSS y realmente hace que su trabajo sea un desafío. Algunos de los gigantes tecnológicos más apreciados, como Facebook, Apple y Google, han sufrido ataques XSS en el pasado. De hecho, contratan equipos de seguridad enteros dedicados a minimizar los riesgos de estos ataques.
Esto debería ayudar a colocar las cosas en una perspectiva mayor sobre cuán fácil se puede meter un ataque en un complemento de WordPress, con mucho menos recursos de seguridad que los gigantes tecnológicos. Tal vez se pregunte cuán vulnerable es su sitio para los ataques de guiones. En primer lugar, es importante tener en cuenta que si actualiza completamente toda su tarea y complementos, ya ha reducido significativamente su riesgo. Sin embargo, no hay una forma garantizada de protegerlo completamente contra un ataque XSS. La mayoría de los sitios de WordPress tienen vulnerabilidades que no son públicas, y los piratas informáticos pueden explotarlos. Por esta razón, el escaneo regular de su sitio es de vital importancia. Más sobre esto más adelante. Si bien los daños que los piratas informáticos pueden hacer con un ataque cruzado depende de los detalles exactos de su objetivo final, en los casos más graves, se puede tomar todo el sitio. En otros casos, los piratas informáticos harán cambios menores en un sitio web o incluso redirigirán un sitio a un sitio malicioso que han configurado. En otras noticias, los piratas informáticos que explotan las vulnerabilidades de los guiones de WordPress entre los sitios saben cómo:
Perturbar las sesiones de sus usuarios detectando ID de sesión

Coloque las redirecciones emergentes y las ventanas que no ha autorizado
Ataques de phishing perdidos
Registre la piedra angular de cada víctima instalando Keyloggers
Robó su información financiera o información financiera de un usuario del sitio
¿Cuáles son los tipos de guiones entre sitios? No todos los ataques XSS son igual de peligrosos. De hecho, algunos son mucho más peligrosos que otros. En algunos ataques, los piratas informáticos tendrán acceso completo a su sitio de WordPress. En ese momento, pueden hacer prácticamente lo que quieran con él. En otros casos, el ataque permitirá que un hacker cambie una parte de su sitio. Aunque no es tan peligroso como un Hack XSS en todo el sitio, también puede ser muy peligroso porque servirá malware a todos sus visitantes. Los ataques requieren que un hacker sea miembro del sitio contribuyente. En tales casos, el peligro representado es significativamente más pequeño. ¿Cómo funciona el guión en los sitios? Los piratas informáticos experimentados encuentran las vulnerabilidades del sitio utilizando herramientas automáticas. Después de descubrir las vulnerabilidades, se convierte en una mera cuestión de ejecutar el hack deseado.
Desafortunadamente, los robots pueden realizar todo el proceso de piratería. Hay cinco formas diferentes en que los piratas informáticos usan XSS para lograr sus objetivos. 1. Molestar una sesión de usuario Un ataque XSS puede ayudar a los piratas informáticos a tener acceso a las cookies. El aspecto más peligroso de esto es que este tipo de ataque reveló la identificación de la sesión de un usuario. La mayoría de los sitios web usan sesiones para que el usuario de cada usuario establezca un identificador único. Las sesiones se almacenan en cookies de sesión utilizando un script. Los hackers pueden enviar una cookie de sesión al sitio específico, por ejemplo, http://198.178.260.468/ y la solicitud está conectada al archivo Access.log del servidor.
Cuando el hacker usa información de sesión, puede conectarse a cualquiera de las cuentas a las que se ha conectado sin la necesidad de una contraseña. 2. Ejecución de actividad no autorizada En algunos casos, los piratas informáticos no pueden usar JavaScript para robar la cookie deseada. En estos casos, intentarán usar ataques XSS para realizar actividades que no están autorizadas. Por ejemplo, puedo interactuar con un script que hace que un mensaje aparezca en su sección de comentarios y continúe publicando repetidamente. Este tipo de ataque de secuencias de comandos cruzados generalmente toma la forma de un script malicioso que se propaga como un virus para sus usuarios también puede usarse para decepcionar su sitio. Los ataques de phishing a menudo, las vulnerabilidades de WordPress en los sitios cruzados conducen a los piratas informáticos en un esquema mucho más grande que un simple ataque XSS. Las Escrituras en múltiples sitios pueden conducir a ataques de phishing en su sitio, un script malicioso comienza a presionar una estafa de phishing en su sitio de WordPress que engañará a los usuarios para proporcionar información extrema sensible. Este es un ataque muy peligroso. 4. Instalación Keylogger Este tipo de ataque involucra a un hacker que implementa un script que instalará un keylogger en un sitio vulnerable de WordPress.
Cada vez que su usuario algo, este Keylogger almacena la información y los envía al hacker.Es una forma rápida y fácil de robar información sobre tarjetas de crédito, contraseñas, información médica y más.5. Robo de información confidencial que discutimos sobre las cookies y cómo son robados.Pero este ataque especial lleva este principio a un nivel diferente.Imagine un escenario en el que la página de “banca por Internet” de su crédito está bajo un ataque XSS.Si un hacker usa un script en particular, un hacker podría conectarse directamente a su cuenta de verificación sin validación.Aunque este no es un concepto nuevo, es una extensión de lo que los hackers pueden realizar utilizando cookies de sesión.¿Cómo protejo mi sitio web de WordPress de los ataques de las Escrituras entre sitios?
El verdadero problema es que los piratas informáticos profesionales continúan presentando variantes más sabias del texto malicioso, que ahora puede evitar incluso la mejor prevención de guiones entre sitios. Es realmente una especie de juego de gatos y ratones. La mejor manera de detectar los ataques XSS es utilizar un complemento como Ithemes Security Pro Ithemes Security Pro tiene más funciones de seguridad del sitio web para desarrollar su línea de defensa contra los ataques de guiones entre sitios. (más al respecto en una foto). También es increíblemente importante combinar su defensa con un complemento de repuesto de WordPress, como BackupBudy, que puede restaurar un punto anterior en el historial de su sitio si lo peor debería suceder. Obviamente, en un mundo perfecto, hacks como este nunca sucederían. Pero los ataques XSS son extremadamente difíciles de proteger, lo que hace que la seguridad de WordPress sea la más alta prioridad. Cómo los ataques de XSS funcionan sobre cómo un ataque depende del tipo de ataque lanzado por Hacker. Y, aunque hay varios tipos de scripts en múltiples sitios, todos usan JavaScript para difundir el malware intencional. Si no está familiarizado con JavaScript, es un lenguaje que se encuentra entre el código HTML de su sitio. Es capaz de crear variables específicas que realicen cálculos sólidos. Es cierto que un desarrollador puede usar JavaScript para realizar casi cualquier función imaginable. Por ejemplo, un sitio web de WooCommerce que acepta pagos y los almacena en una base de datos puede usar JavaScript para enviar información de conexión y detalles de pago a otra persona.
Cuando los piratas informáticos explotan esta vulnerabilidad en su código de sitio para ejecutar JavaScript, es un ataque XSS completo. Este tipo de vulnerabilidad generalmente aparecerá en casi cualquier lugar de su sitio web, donde los usuarios ingresan datos, incluso en el formulario: Windows emergente
Formularios de información
Busca barras
URLS
Tenga en cuenta que el campo de entrada de datos no debe ser necesariamente visual. En algunos casos, puede ser una variable defectuosa en el código de su sitio que llama a datos no calificados de una base de datos o cualquier otro archivo. Ataques XSS persistentes o almacenados para asumir por un momento que su sitio es un blog que tiene una sección de comentarios abiertos. Si uno de sus usuarios le deja un comentario, esos datos se envían a la base de datos y se almacenan. Es importante que su sitio esté configurado para higiene estos datos antes de almacenarse en la base de datos. En otras palabras, debe verificar si el usuario ha introducido un comentario legítimo o si es un guión malicioso. Sin esta verificación, puede abrir un error XSS en WordPress. Esto funciona:
1. El hacker localiza y explota los hackers de los hackers, usan escáneres que buscan en Internet y ubica sitios que tienen vulnerabilidades con los ataques de las Escrituras SITA. Una vez que se encuentra un sitio, las escrituras maliciosas se colocan en la sección de comentarios del sitio. Sin cheques, su sitio se hace cargo del script malicioso y lo envía a la base de datos. 2. Los visitantes visualizan su página infectada para un visitante de sitio promedio, los datos de un hacker parecen un comentario estándar. Lo que este visitante no sabe es que un comentario simple es un código ejecutable que robará cookies. Cualquiera que visite la página se verá afectado negativamente. 3. El robo de cookies en el navegador La mayoría de los usuarios generalmente tienen varias pestañas abiertas en su navegador en cualquier momento, para cosas como redes sociales, correo electrónico, Amazon, YouTube y su sitio web de empleadores. Cuando un usuario visita un sitio infectado y visualiza la página que contiene los comentarios de un hacker, el código se ejecuta inmediatamente y permite que un hacker robe las cookies del navegador. El ataque se llama ataque en varios sitios, porque es capaz de robar cookies de cada sitio web abierto en cualquier pestaña. 4. La explotación de las cookies robadas utilizando cookies robadas, un hacker presenta como un usuario autenticado del sitio, por ejemplo, sitios de compras para realizar compras ilegales. Los attacles también pueden robar información de su cuenta, como contraseñas y nombres de usuario, e ingresar correos electrónicos para enviar correos electrónicos de phishing a una lista completa de contactos.
Las posibilidades maliciosas son aparentemente interminables.Ataques XSS no personales o reflexivos Esto no es un ataque a los visitantes del sitio, sino un ataque en el sitio web.Si usted es el propietario de un sitio de WordPress, probablemente tenga muchas pestañas abiertas.
A menudo, el tablero del administrador de WordPress es solo una de las muchas pestañas que generalmente está abierta. Y esto es precisamente esto hace que los ataques reflexivos XSS sean posibles. Así es como sucede: 1. El propietario del sitio se siente atraído por un enlace malicioso en algunos casos, un hacker le enviará un enlace malicioso por correo electrónico, con la esperanza de que caiga después de su pequeño truco. En otros casos, los piratas informáticos colocarán enlaces maliciosos en otros sitios. Si hace clic en uno de estos enlaces, un script se carga en su sitio de WordPress en un sitio externo. 2. Capturar cookies de sesión Al hacer clic en el enlace malicioso, ejecute el código que usaron. Esto permitirá al hacker robar sus cookies y tener acceso a su cuenta de administrador del sitio de WordPress. Después de obtener acceso administrativo completo al sitio, podría robar fácilmente datos confidenciales y conectar acreditaciones. Incluso podría bloquearlo de su sitio o usarlo para ejecutar cualquier cantidad de trucos diferentes. Lo que es aterrador es que se harán en su nombre. Un ataque XSS ejecutado correctamente tendrá consecuencias importantes para su negocio y sitio web y puede afectar irrelevablemente su credibilidad. La recuperación después de estos ataques puede llevarte mucho tiempo desde el precioso tiempo y el dinero ganado duro. Es por eso que es tan importante tomar todas las precauciones posibles contra él. Prevención de las secuencias de comandos de sitios cruzados de WordPress:
5 pasos No hay una manera fácil de decir esto, pero no hay un plan infalible para evitar delitos informáticos.Lo mejor que puede hacer es tener un plan sólido para auditorías de seguridad de rutina de WordPress.Su primer paso para evitar los ataques XSS es comenzar a prepararse en este momento con estos pasos.1. Descargue e instale el complemento IThems Security Pro para comenzar a asegurar y proteger su sitio, descargue e instale el IThems Security Pro.Obtenga iThemes Security Pro Now 2. Proteja a sus usuarios para desviar la sesión simple: debe tener protección para secuestrar su sesión para sus administradores en su sitio web de WordPress.¿Por qué?
Como se mencionó anteriormente, Ordpress genera una cookie de sesión cada vez que inicia sesión en su sitio web. Y supongamos que tiene una extensión del navegador que ha sido abandonada por el desarrollador y que ya no lanzó actualizaciones de seguridad. Desafortunadamente para usted, la extensión del navegador descuidada tiene una vulnerabilidad. La vulnerabilidad permite a los malos actores desviar las cookies de su navegador, incluida la cookie de sesión de WordPress mencionada anteriormente. Nuevamente, este tipo de hack se conoce como secuestro de sesión. Por lo tanto, un atacante puede explotar la vulnerabilidad de la extensión para resaltar sus datos de inicio de sesión y puede comenzar a hacer cambios dañinos en su usuario de WordPress. La función de dispositivos de confianza de Security Pro Ithemes está hecha de secuestro de sesión de una cosa del pasado. Si el dispositivo de un usuario cambia durante una sesión, ITHEMS Security lo desconectará automáticamente para evitar cualquier actividad no autorizada de la cuenta del usuario, como cambiar la dirección de correo electrónico del usuario o cargar complementos maliciosos. La característica de dispositivos de confianza en Ithemes Security Pro funciona para identificar sus dispositivos y otros usuarios para conectarse a su sitio de WordPress. Después de identificar sus dispositivos, podemos detener los buzos de sesión y otros malos actores para no causar daños a su sitio web. Cuando un usuario se ha conectado en un dispositivo irreconocible, los dispositivos confiables pueden restringir sus capacidades a nivel de administrador. Esto significa que si un atacante pudiera entrar en el fondo de su sitio.
WordPress, no tendría la capacidad de hacer cambios maliciosos en su sitio web. En este escenario, recibirá un correo electrónico anunciando que alguien ha conectado a su sitio en un dispositivo irreconocible. El correo electrónico incluye una opción de bloqueo del dispositivo del hacker. Entonces puedes reír y reír, sabiendo que has roto el día de un chico malo. Otra ventaja de los dispositivos confiables es que hace que la sesión sea una cosa del pasado. Si el dispositivo de un usuario cambia durante una sesión, ITHEMS Security lo desconectará automáticamente para evitar cualquier actividad no autorizada de la cuenta del usuario, como cambiar la dirección de correo electrónico del usuario o cargar complementos maliciosos. Para comenzar a usar dispositivos confiables, activelos en la configuración de seguridad, luego haga clic en el botón Configuración de configuración. En dispositivos confiables, decida qué usuarios desea usar la función y luego active las funcionalidades y las características de protección. Contra el secuestro de la sesión.
Después de activar el nuevo conjunto de dispositivos confiables, los usuarios recibirán una notificación en la barra de administración de WordPress sobre dispositivos no reconocidos. Si su dispositivo actual no se ha agregado a la lista confiable de dispositivos, haga clic en el enlace Confirmar del dispositivo para enviar el correo electrónico de autorización.

Haga clic en el botón Confirmar del dispositivo en el correo electrónico de autenticación no reconocido para agregar sus dispositivos actuales a su lista de dispositivos confiables.
Una vez que se activan los dispositivos de confianza, los usuarios pueden administrar dispositivos en su página de usuario de WordPress. Desde esta pantalla, puede aprobar o rechazar los dispositivos de la lista de dispositivos confiables. Además, tiene la opción de registrarse en algunas API de la tercera para mejorar la precisión de identificar dispositivos de confianza y usar mapas de imagen estáticas para Muestre la ubicación aproximada de una fecha de autenticación no reconocida. Consulte la configuración de dispositivos confiables para ver qué integración está disponible,
3. Active la gestión de versiones para actualizar su tarea y complementos Es difícil realizar un seguimiento de cada vulnerabilidad de WordPress: seguimos y los compartimos en nuestros boletines de vulnerabilidad de WordPress, y comparamos esa lista con las versiones de complementos y temas que instaló en su sitio web . Sin embargo, esto no impide que los piratas informáticos de WordPress se dirijan complementos y temas con vulnerabilidades conocidas. La instalación de software con vulnerabilidades conocidas en su sitio ofrece a los piratas informáticos los planes que necesitan para hacerse cargo de su sitio web. La función de administración de versiones de Security Pro ITHEMS le permite actualizar automáticamente WordPress, complementos y temas. Más allá de eso, la administración de versiones también tiene opciones para fortalecer su sitio cuando ejecuta software obsoleto y escaneando sitios antiguos. Para comenzar a usar la gestión de versiones, active el módulo en la configuración de seguridad principal.
Ahora haga clic en el botón Configuración de configuración para ver más de cerca la configuración.

4. Comience a escanear el sitio de seguridad de ITHEMS Escaneo del sitio IThems Security Pro verifica su sitio web para conocer las vulnerabilidades, complementos y temas conocidos de WordPress y aplicar un parche cuando uno está disponible. Para activar el escaneo del sitio a las nuevas instalaciones, navegue por la configuración de Security Pro ithems y haga clic en el botón de activación en el módulo de configuración de escaneo del sitio. Para activar un escaneo manual del sitio, haga clic en el botón de escaneo ahora en el widget del escaneo de widget de la Sitio ubicado en la barra lateral derecha de la configuración de seguridad.

Los resultados del escaneo del sitio se mostrarán en widget.

Si el escaneo del sitio detecta una vulnerabilidad, haga clic en el enlace de vulnerabilidad para ver la página de detalles.

En la página de vulnerabilidad del sitio de escaneo, verá si hay un remedio disponible para la vulnerabilidad. Si hay un parche disponible, puede hacer clic en el botón de actualización del complemento para aplicar el sitio web. Puede haber un retraso entre el momento en que hay un parche disponible y la vulnebilidad de seguridad iThemes se actualiza para reflejar el remedio. En este caso, puede deshabilitar la notificación para no recibir alertas de vulnerabilidad. Importante: no debe desactivar una notificación de vulnerabilidad hasta que haya confirmado que la versión actual incluye un remedio de seguridad o si la vulnerabilidad no afecta a su sitio. 5. Habilite la detección de cambios de archivo para iniciar los cambios en el archivo de monitoreo, active los cambios de archivo en la configuración de seguridad principal.

Una vez activado la opción que detecta los cambios de archivo, IThemes Security Pro comenzará a escanear todos los archivos de su sitio web. Los archivos de escaneo en piezas ayudarán a reducir los recursos necesarios para monitorear los cambios de archivo. El escaneo inicial del cambio de archivo creará un índice de los archivos de su sitio web y sus hashs. Un archivo hash es una versión abreviada que el hombre no puede leer, el contenido del archivo. Después de completar el escaneo inicial, IThemes Security Pro continuará escaneando su archivo en pedazos. Si un archivo hash cambia a uno de los escaneos posteriores, significa que el contenido del archivo ha cambiado. También puede ejecutar un cambio de archivo hecho a mano haciendo clic en el botón de escaneo de archivos ahora desde el archivo Detecting Archive Archivo: Escrituras entre sitios y protegiendo su sitio de WordPress Espera que esta guía lo haya ayudado a comprender el riesgo de crear scripts. Entre sitios en su sitio web de WordPress . Al implementar algunas buenas prácticas de seguridad de WordPress, junto con los 5 pasos anteriores, tendrá una mejor línea de defensa.

Obtener contenido de bonificación: una guía de seguridad de WordPress

Descarga la guía

Kristen Wright

Kristen escribió tutoriales para ayudar a los usuarios de WordPress en 2011. Por lo general, puede encontrarlo trabajando en nuevos artículos para IThems Blog o desarrollar recursos para #WpProsper. Fuera del trabajo, Kristen disfruta del diario (¡escribió dos libros!), Senderismo y acampar, cocinar y aventuras diarias con su familia, con la esperanza de llevar una vida más presente.