homefinance blog
¿Le gustaría averiguar algunas vulnerabilidades de seguridad de WordPress? La web es un lugar peligroso, porque detrás de cada sitio web hay usuarios, recursos y datos que los delincuentes desean explotar. Es peligroso porque los delincuentes deben tener suerte solo una vez, pero usted, como propietario de un sitio, debe hacer lo que necesita todos los días para mantener su sitio seguro.
WordPress es un sistema seguro de gestión de contenido, con fuertes defensas, pero necesita ayuda. Y para ayudar, debe ser consciente de los riesgos que enfrenta su sitio de WordPress. Una vez que comprenda los riesgos, es más fácil comprender el papel que desempeña en el mantenimiento de su sitio, usuarios y datos de las manos de los delincuentes.
1. Ataques de fuerza bruta y vulnerabilidades de seguridad de Diccionario-WordPress. WordPress sabe quién es usted porque se ha autenticado con un nombre de usuario y contraseña. Si un atacante adivina el nombre de usuario y la contraseña correctos, su sitio les dará el mismo acceso. Si guían las credenciales para un usuario con privilegios de administrador, tienen un control completo. Los ataques de fuerza bruta, y los ataques de diccionario que usan listas de contraseñas comunes, son el ataque menos sofisticado y más común contra los sitios de WordPress. Funciona porque las personas eligen contraseñas que son fáciles de adivinar.
! WordPress proporciona archivos JavaScript cuando se cargan las páginas. Pero a veces un error de programación permite a un atacante agregar su propio JavaScript a la página. Los navegadores web se adhieren a la política de origen único. Confían en los scripts que provienen del mismo lugar que la página web. Si un atacante puede inyectar el contenido de la página, entonces el navegador lo confía y lo ejecuta. El código tiene acceso a todos los datos relacionados con la página, incluidas las cookies de sesión y los datos ingresados en formularios, como números de tarjeta de crédito. En un ataque de script entre sitios, el código malicioso envía esos datos a un servidor bajo el control del atacante. Si WordPress o un complemento agrega un elemento de entrada del usuario a una página, como un formulario de comentarios, pero no logra desinfectar correctamente la entrada, entonces el código en el comentario se lanzará en los navegadores de futuros visitantes de la página. Uno de los vectores XSS más perniciosos es el ataque de la cadena de suministro. En lugar de atacar sitios individuales, los malos actores atacan bibliotecas o complementos de JavaScript que usan los sitios de WordPress. Cuando el código se inyecta en una popular biblioteca de JavaScript o en un complemento que se instala en los sitios web de WordPress, se transmitirá en los sitios de WordPress y se enrollará en navegadores.
Por lo general, los atacantes inyectan un pequeño código en una biblioteca o un enchufe popular. El código respectivo luego descarga una tarea útil maliciosa y la inyecta en las páginas de WordPress. En los últimos meses, el raspado con tarjeta de crédito Magecart ha infectado docenas de sitios comerciales electrónicos utilizando los ataques de la cadena de suministro. En 2017, muchos actores de WordPress fueron comprados por un mal actor, quien los agregó malware. En esa serie de ataques, el objetivo era el spam, pero la misma técnica se usa para ataques XSS. WordPress tiene defensa contra los ataques de secuencias de comandos entre sitios: el código ingresado en los cuadros de entrada del usuario está desinfectando para hacerlo inerte. Los navegadores también tienen mecanismos para detener los ataques XSS para ejecutar el código malicioso, incluida la política de seguridad de contenido, que se utiliza para poner en la lista blanca el código que el propietario del sitio quiere ejecutar. Hay un excelente complemento para la implementación de políticas de seguridad de contenido en las tiendas de WordPress.
Sin embargo, los desarrolladores, a menudo los desarrolladores de complementos, cometen errores que causan vulnerabilidades que los delincuentes están muy contentos de explotar.
3. Vulnerabilidades de la seguridad de alojamiento de servidores Un iceberg que también incluye un servidor web, un artista PHP, un sistema operativo, una base de datos y mucho software de utilidad. Una vulnerabilidad en cualquiera de esos software podría usarse para comprometer el servidor y, por lo tanto, cualquier sitio de WordPress que aloja. Las vulnerabilidades de Spectre y Meltdown son un primer ejemplo de vulnerabilidad crítica en el hardware de servidor moderno. Spectre y Meltdown explotan una vulnerabilidad para optimizar el rendimiento en los procesadores (CPU) utilizados en la mayoría de los servidores empresariales. Pueden ser explotados por un usuario que puede ejecutar código en un servidor para extraer datos propiedad de otros usuarios y el sistema operativo, incluidas las claves privadas y otra información confidencial. Spectre y Meltdown son particularmente importantes para los usuarios de alojamiento de WordPress y House -Host, que alojan a muchos usuarios, incluidos los usuarios potencialmente intencionales en el mismo servidor.
Los proveedores responsables de WordPress han corregido los sistemas operativos y el firmware del servidor para evitar que los malos actores exploten estas vulnerabilidades, pero es un problema continuo que los usuarios de WordPress deben tener en cuenta.
4. Malware- Las vulnerabilidades de seguridad de malware de WordPress no son una vulnerabilidad, pero los delincuentes a menudo explotan las vulnerabilidades para instalar malware en un sitio de WordPress. Existen muchos tipos diferentes de malware, que incluyen ransomware, scripts criptojacking que extraen monedas digitales, malware de SEO y código cuya tarea es infectar los dispositivos de sus usuarios con otro malware.
Mantener WordPress Saus Saus-WordPress Vulnerabilidades de seguridad como propietarios de sitios de WordPress, su trabajo es hacer que la vida sea lo más difícil posible para los delincuentes. Si no es un desarrollador o experto técnico, eso significa seguir cuatro reglas básicas:
Elija buenas contraseñas: si cada usuario en su sitio elige un largo y difícil de adivinar, nadie podrá adivinar. Si no confía en que todos elijan una contraseña segura (y probablemente no pueda), use un complemento de autenticación de dos factores.
Actualización con frecuencia: actualiza los errores de remedio que causan vulnerabilidades. Es más probable que su sitio se rompa si no actualiza WordPress y complementos cuando hay nuevas versiones disponibles.
Elija su aconsejable alojamiento: debe confiar en que su proveedor de alojamiento de WordPress es tan cuidadoso como usted en seguridad.Este no es siempre el caso.Mire las reseñas y la reputación de seguridad del proveedor de alojamiento antes de decidir alojar su sitio con ellos. No ayude a los piratas informáticos y temas de fuentes de renombre como WordPress.org.No se sienta tentado a instalar temas y complementos piratas premium;a menudo se infectan con malware.
Después de estas cuatro buenas prácticas de seguridad, usted hace la vida de los delincuentes que desean explotar su sitio y sus usuarios.
