homefinance blog
Hay más de 27 millones de sitios web en vivo de WordPress. Aunque es genial ser parte de una comunidad tan grande y activa, la popularidad del Sistema de Gestión de Contenido (CMS) también es un objetivo principal para los ataques de secuencias de comandos entre sitios (XSS). Afortunadamente, solo porque los piratas informáticos se centran en WordPress no significa que sus intentos de violación tengan la intención de tener éxito. Usando las herramientas y técnicas adecuadas, puede fortalecer su sitio contra ataques XSS. En esta publicación, discutiremos qué es XSS y por qué WordPress es único vulnerable a este tipo de intrusiones. Luego compartiremos cuatro estrategias que puede implementar para proteger su sitio contra ellos. ¡Vamos a empezar!
Una introducción al ataque XSS se produce un ataque XSS cuando un hacker explota una vulnerabilidad de su sitio web e intenta inyectar un código JavaScript no autorizado. El script malicioso se ejecuta en el lado del cliente en el navegador o se almacena y se realiza en el servidor. Los ataques XSS a menudo están diseñados para recopilar datos de sus visitantes, como sus contraseñas o información de pago. Sin embargo, los ataques también pueden cambiar la forma en que su sitio se ve o funciona, por ejemplo, los ciberdelincuentes podrían redirigir a los usuarios a un sitio completamente diferente.
Este tipo de redirección puede conducir a una disminución en su tráfico, porque el hacker roba el 100% de los visitantes. La redirección también puede ser una rampa de lanzamiento para otros ataques. Por ejemplo, una mala redirección puede enviarle tráfico a un sitio web engañoso. Algunos actores malos pueden incluso imitar su sitio, en un intento por engañar a sus clientes para compartir información personal y detalles de pago. Esto puede ser particularmente desastroso para su reputación. Los ataques XSS son un gran problema para muchos CMS diferentes. Sin embargo, WordPress es único vulnerable porque muchos sitios web en la plataforma usan complementos. Estas extensiones agregan código a su sitio, que puede introducir vulnerabilidades de XSS que los hackers pueden explotar. En su informe de 2021, WP White Security descubrió casi 4,000 complementos de WordPress conocidos, incluidos los que podrían conducir al éxito XSS. Teniendo tantas brechas para operar, puede que no sea sorprendente que Wordfency haya identificado 330 millones por intentos de atacar XSS en 2020. Con los ciberdelincuentes que intentan activamente explotar las debilidades conocidas y desconocidas, es importante hacer todo lo posible para proteger su sitio. Cómo proteger su sitio web de WordPress contra los ataques XSS (4 consejos clave) XSS puede ser uno de los métodos más comunes que los hackers usan para infiltrarse en los sitios web, pero hay formas de fortalecer la seguridad del sitio. Veamos cuatro técnicas que usted puede implementar hoy.
1. Estar al día con las últimas vulnerabilidades monitoreando continuamente sus temas y complementos por debilidades conocidas, puede maximizar sus posibilidades de descubrir problemas tempranos. Luego puede tomar medidas para resolver estas brechas de seguridad antes de que los piratas informáticos tengan la oportunidad de explotarlas. WPSCAN mantiene una base de datos de vulnerabilidades con vulnerabilidades básicas, temas y complementos de WordPress bien conocidos. También ha lanzado un complemento WPSCAN que le permite escanear todos los complementos por riesgos conocidos: sin embargo, si usted es un cliente de ManagEWP, ni siquiera necesita un complemento separado. Colaboré con WPSCAN para presentar todos sus datos directamente en la Junta de Gestión.
Las actualizaciones de vulnerabilidad muestran una notificación junto con cualquier complemento que tenga vulnerabilidades conocidas. Esto facilita la identificación de problemas que actualmente podrían poner en peligro su sitio:
Si descubre una vulnerabilidad, la solución más segura es apagar y luego eliminar el complemento en cuestión. Sin embargo, esto puede no ser posible si la extensión proporciona una característica crucial para su sitio en este caso, puede verificar si el desarrollador ha emitido un parche, porque un creador responsable debe estar ansioso por solucionar cualquier problema de seguridad. Si hay una actualización disponible, el debilitamiento se puede resolver como simple para hacer clic ahora:
Sin embargo, a veces es posible que deba continuar usando un software no garantizado, como cuando el desarrollador todavía crea un parche. Hasta que pueda instalar la actualización y la estrecha vulnerabilidad, es inteligente estar muy atento a cualquier señal de que su sitio sea atacado. Esto podría incluir monitorear su sitio para el tiempo no funcional, después de una disminución en el rendimiento y agregar la gestión del sitio para ser notificada inmediatamente de cualquier problema. 2. Use una pantalla de protección para aplicaciones web (WAF) Un firewall de aplicación web (WAF) filtra solicitudes maliciosas, incluidos los ataques XSS antes de tener la oportunidad de llegar a su sitio. Hay varios WAF en los que puede usar con WordPress. WAF Juices es una opción popular: después de comprar un plan de jugo de WAF, inicie sesión en su cuenta y haga clic en Proteger mi sitio ahora. Luego puede ingresar el nombre de dominio que desea proteger y especificar si desea agregar directores a la lista blanca. Se sabe que los piratas informáticos se dirigen deliberadamente a partes vulnerables de los sitios web, como los directores de administración. Al restringir el acceso a estas áreas sensibles, puede reducir aún más las posibilidades de convertirse en víctima de un ataque XSS exitoso. Una vez que haya ingresado al dominio, deberá marchar en la página general del tablero. Allí encontrarás la información DNS de Sucuri. Su próxima tarea es cambiar la dirección IP para registrar su sitio web para indicar los jugos.
Por lo general, realizará este ajuste conectándose al registrador de dominio o la cuenta del servidor de nombres de dominio (DNS). Este paso variará dependiendo de cómo se configure su cuenta si no está seguro de cómo cambiar, puede verificar la documentación del proveedor o registrador para obtener más información. La propagación de los cambios DNS puede demorar hasta 48 horas, por lo que es posible que deba esperar a que esta actualización entra en vigor. Puede verificar si su DNS ha sido propagado visitando whatsmydns.net. 3. Agregue un encabezado de seguridad HTTP cada vez que alguien visita su sitio, el servidor reacciona con los encabezados de respuesta HTTP. Estos encabezados le dicen a los navegadores web cómo actuar durante sus interacciones con su sitio web, como al manejar el caché. Puede ayudar a proteger su sitio contra los ataques XSS utilizando el encabezado X-XSS-Protection. Con este encabezado, su sitio evitará que la página se cargue cuando se detecte un ataque XSS, lo que puede proteger su sitio contra ciertas categorías de violaciones de XSS. Agregue este encabezado de seguridad al archivo .htaccess de su sitio, que es un archivo de configuración que le dice a su servidor cómo administrar varias solicitudes. Después de iniciar sesión en su sitio utilizando su cliente FTP (transferencia de protocolo de archivo), abra el archivo .htaccess y agregue lo siguiente:
Conjunto de encabezado X-XSS-Protection „1; mod = bloque ”
Cuando haya terminado, puede guardar los cambios y cerrar el archivo. Su sitio web ahora evitará que la página cobre cada vez que crea que se está llevando un ataque XSS en marcha. 4. Agregue un encabezado para la política de seguridad de contenido (CSP). Una Política de Seguridad de Contenido (CSP) puede ayudar a aliviar los ataques XSS especificando recursos (scripts, estilos, imágenes, etc.) que se pueden cargar. Al incluir en la lista blanca de fuentes autorizadas, puede evitar que los navegadores carguen contenido malicioso. Desafortunadamente, no hay un enfoque único para los CSP. Deberá evaluar los recursos que realmente carga y pensar en cómo administrarlos de manera efectiva. Luego puede crear una política basada en sus requisitos específicos. Al desarrollar un CSP, utilizará el valor predeterminado de SRC para especificar la política estándar para cargar contenido, como imágenes, fuentes, medios y solicitudes AJAX. También puede definir fuentes legítimas de JavaScript utilizando script-src, fuentes de imagen legítimas utilizando IMG-SRC y fuentes auténticas para hojas de estilo usando Style-SRC. A continuación se muestra un ejemplo de cómo muestra la definición de una fuente válida de imágenes: IMG-SRC ‘Self’ img.example.com; Para obtener más información sobre cómo construir un encabezado CSP, puede consultar la Guía de referencia rápida. Después de crear el CSP, el siguiente paso es agregarlo a las funciones.php. En el tablero de WordPress, navegue por la apariencia> Editor de temas:
En el lado derecho de la pantalla, seleccione el archivo Functions.php y agregue el encabezado CSP.Cuando haya terminado, haga clic en Actualizar el archivo.La conclusión de XSS es un ataque ordinario que tiene el potencial de destruir su reputación como un sitio web de seguridad confiable.La buena noticia es que hay formas de proteger su sitio y los visitantes de este tipo de violación de datos.Recapitulemos las prácticas de cuatro pasos que pueden minimizar en gran medida sus posibilidades de convertirse en una víctima de un ataque XSS: tenga en cuenta las últimas vulnerabilidades.
Use un firewall como los jugos de WAF.
Agregue un encabezado de seguridad HTTP agregando código a su archivo .htaccess.
Agregue un encabezado CSP editando el archivo Functions.php.
¿Tiene alguna pregunta sobre la protección de su sitio contra los ataques XSS?¡Pregunte en la sección de comentarios a continuación!Crédito de la imagen: Unssplash.
