homefinance blog
A pesar de las miles de horas que pasan para garantizar que WordPress sea segura y estable, la plataforma predeterminada todavía tiene ciertos aspectos que son vulnerables a los ataques. Es vital saber cuáles son estos ataques, por lo que puede tomar medidas para fortalecer su seguridad y proporcionar la paz necesaria. Como discutimos en un artículo anterior, los ataques de inyección de código como secuencias de comandos de sitios cruzados y inyección de SQL, una gran preocupación prioritaria para muchos propietarios de sitios web. Afortunadamente, proteger su sitio de estas intrusiones es simplemente un caso de uso de técnicas de sentido común, junto con un fragmento o dos del código.
En esta publicación, tomaremos una indicación del sitio web oficial del desarrollador de WordPress y revisaremos algunos de los ataques más comunes que la plataforma tiene que enfrentar. Además, también discutiremos cómo repararlos. ¡Vamos a empezar! Lo que WordPress ya hace para luchar contra los piratas informáticos
WordPress toma la seguridad muy en serio, como lo demuestra la página dedicada en el sitio oficial. Vale la pena mencionar que WordPress ya es muy seguro, lo que esperaría de una plataforma que alimenta tanta web. Sin embargo, si mirara el retrato de WordPress en los medios de comunicación, habría perdonado que es una plataforma incierta e inapropiada. Por supuesto, nada puede estar más lejos de la verdad.
En su página de seguridad, el equipo de WordPress enfatiza claramente su compromiso de cerrar los posibles puntos de entrada para los piratas informáticos. Esto incluye:
Presentación de remedios sobre una base casi constante, a través de actualizaciones progresivas y regulares.
Un compromiso con la compatibilidad anterior, que alienta a los usuarios a instalar esas actualizaciones regulares. A pesar de este esfuerzo, WordPress, como cualquier aplicación web y sistema de gestión de contenido (CMS), ocasionalmente necesita una mano amiga para detener las intrusiones. La buena noticia es que esto está completo en su control.
3 ataques ordinarios contra WordPress que puedes detener en la carretera Como se mencionó anteriormente, ninguna plataforma nunca puede ser completamente segura. En esta sección, cubriremos tres de los ataques más comunes de acuerdo con el equipo de desarrollo de WordPress y discutiremos cómo puede mantenerlos alejados. 1. Primero, Scripting de sitios (XSS) primero, la secuencia de comandos de sitios cruzados (XSS) es uno de los primeros diez riesgos de seguridad de OWASP, por lo que vale la pena prestar atención especial. Es miembro del grupo de ataque de “inyección” y tiene lugar cuando JavaScript está cargado de elementos dinámicos vulnerables del sitio como formularios de contacto y otros campos de introducción del usuario. Un caso notable de XSS Sever Attack tuvo lugar en 2013, atacado a Yahoo. Este ataque dejó las cuentas de los usuarios en manos de los piratas informáticos.
Como puede imaginar, un ataque XSS podría reducir drásticamente la confianza que los clientes dan en su negocio (o su cliente). Como tal, tomar las medidas necesarias para evitar tal ataque debería ser una prioridad. Afortunadamente, simplemente puede eliminar XSS escapando adecuadamente de las salidas y eliminando datos no deseados. Tome este pedazo de HTML, por ejemplo: <img src = " matriz (
‘href’ => matrix (),
‘Title’ => Matrix ()
),
‘Br’ => matrix (),
’em’ => matrix (),
‘Strong’ => Matrix (),
);
echo wp_kses ($ content_personalized, $ permitido_html); Aquí, wp_kses () se ha utilizado para permitir que solo aparezcan los elementos HTML especificados en una cadena. Estas son dos funciones útiles específicas de WordPress para combatir XSS en sus propios proyectos. El uso de estas medidas y otras medidas similares es una forma inteligente de fortalecer la seguridad de su sitio.
2. Inyección SQL La inyección SQL está estrechamente vinculada a XSS, ya que requiere una entrada vulnerable basada en sus esfuerzos de desinfección. Sin embargo, la diferencia aquí es que estos ataques afectan directamente a su base de datos, que puede tener consecuencias desastrosas. La inyección de SQL puede afectar cualquier sitio, especialmente la NASA, desde 2009. Afortunadamente, WordPress hace relativamente fácil evitar ataques de inyección de SQL.
Las API estándar de WordPress proporcionan una serie de características para ayudar a proteger los datos ingresados por las inyecciones SQL. Por ejemplo, add_post_meta () le brinda una forma segura de usar el inserto SQL en, lo que significa que no tiene que agregar llamadas manualmente a la base de datos COD. Existe la posibilidad de que la API no tenga en cuenta. En estas situaciones, querrá llamar a la clase WPDB. Aquí hay un ejemplo de cómo funciona: $ wpdb-> get_var ($ wpdb-> preparar (
“Seleccione algo de la tabla donde foo = %sy el estado = %d”,
$ nombre, // una cadena sin escape (la función desinfectará para usted)
$ Status // un número completo de frente (la función desinfectará para usted)
)); Como puede ver, utilicé la función $ wpdb-> preparar (), que elimina la consulta SQL antes de realizarla. Esta es solo la punta del iceberg y hay muchos más debajo del capó de WordPress para ayudar a detener los ataques de inyección SQL.
3. Falsificando la solicitud entre los sitios (CSRF) Finalmente, tenemos “SIRFS” pronunciados para CSRFS. En resumen, aquí se engaña a un usuario ignorante para llevar a cabo una acción al elegir al atacante. Para comprender cómo funciona este ataque, vale la pena considerar cómo funcionan las solicitudes simples (como los clículos en un enlace) bajo el capó. Finalmente, estas solicitudes son de dos tipos: obtener o publicar. La primera es una solicitud para una página, y la segunda es cuando los datos se envían al servidor. Considere una búsqueda en Google de WordPress, donde la navegación de Google inicia una respuesta GETA, y la búsqueda de WordPress se convierte en después de la demanda. Un CSRF es cuando esto sucede sin el consentimiento del usuario. YouTube es uno de los muchos sitios web que dio este ataque y, si un sitio tan destacado puede ser vulnerable, deberá hacer todo lo posible para mantener su sitio lo más seguro posible. El uso aquí es usar “Nonces” – Seguridad desechable Chips diseñados para proteger las formas de URL y compromiso. Eche un vistazo a este ejemplo de código:
Aquí, utilizamos la función wp_nonce_field () para agregar un nonce a nuestro formulario. Esto garantizará que el usuario tenga la intención de realizar la acción (es decir, enviar el formulario) como se esperaba y que no tiene nada que hacer en el frente.
La validación de NonCe no requiere parámetros específicos, pero hay opciones relacionadas con la acción de entrada y los nombres que pueden hacer que no sea seguro. Además, hay funciones para agregar no cess a una URL, así como un formato personalizado que sea ideal para las solicitudes de AJAX. Conclusión Una plataforma que alimenta alrededor del 30% de la web debe ser sólida, y esto es definitivamente cierto para WordPress. Sin embargo, ninguna plataforma puede garantizar el 100% de seguridad. Algunos ataques pueden paralizar un sitio web de WordPress, por lo que debe hacer todo lo posible para asegurarse de que los malos usuarios sean difíciles de intentar romper su sitio. Para comenzar, analizamos tres ataques comunes de WordPress y cómo remediarlos. Recapitulemos cada scripting rápido: sitios cruzados: este ataque se puede remediar escapando correctamente de sus resultados.
Inyección SQL: este ataque asociado aprovecha el mal saneamiento de datos para acceder a su base de datos SQL.
Solicitudes de falto en múltiples sitios: WordPress Nons puede ayudar a validar una acción del usuario y garantizar que es legítimo.
¿Alguna vez ha sido afectado por alguna de estas vulnerabilidades y, de ser así, cuál fue el resultado? ¡Comparta sus historias en la sección de comentarios a continuación! Imagen presentada: Dimitrisvetsikas1969.
