Ataques de WordPress XSS: cómo prevenirlos

Comencemos diciendo que si le preocupa WordPress XSS, no es paranoico, sino cauteloso. La vulnerabilidad de los scripts entre sitios no se limita solo a los sitios web de WordPress, sino que lo afecta tanto. La mejor defensa es instalar un firewall y mantener sus temas y complementos de UP -to -Date. En este artículo, describiremos en qué consiste la vulnerabilidad exacta, y lo llevaremos, se volverá técnico, para que pueda conocer la seguridad de su sitio web. Tenemos una guía completa sobre cómo prevenir los ataques, que recomendamos verificar.
Tl; DR: Si sospecha que su sitio de WordPress ha sido pirateado, le recomendamos que instale MalCare que elimine inmediatamente el malware de su sitio.
Se esconde el contenido
¿Qué es WordPress XSS?
¿Por qué son tan comunes los ataques XSS?
¿Mi sitio es vulnerable a un ataque XSS?
¿Son todos los ataques XSS como peligrosos?
¿Cómo explotan los hackers tales vulnerabilidades?
¿Cómo protegerse de los ataques XSS?
Cómo detectar un ataque de WordPress XSS en su sitio.
¿Cómo funciona XSS?
Tipos de scripts entre sitios
¿Que sigue?
Preguntas frecuentes
¿Qué es WordPress XSS? WordPress XSS es un ataque de malware que tiene lugar al explotar una vulnerabilidad de script entre sitios en el sitio web de WordPress. Es la forma más común en que los sitios de WordPress son pirateados, especialmente porque hay legiones de complementos que tienen vulnerabilidades XSS.
Entonces, ¿cuál es el guión entre sitios? Scripting o XSS de sitios cruzados es una vulnerabilidad que permite la ejecución del código JavaScript no autorizado en un sitio web. De hecho, es la vulnerabilidad más común del sitio web y es muy difícil de atrapar, porque los ataques que explotan esta vulnerabilidad pueden ser de muchos tipos. Esto es especialmente cierto para sitios web grandes y complejos. Hay muchos tipos de ataques, pero se pueden dividir en dos categorías para mayor claridad: el script malicioso se ejecuta por parte del cliente;
O, uno en el que las escrituras maliciosas se almacenan y ejecutan en el servidor y luego el navegador atiende;
Y en ambos casos, el hacker puede usar un ataque XSS para robar datos o manipular cómo se ve y se comporta el sitio.
Esta es la versión simplificada de los scripts entre sitios. Puede encontrar una explicación más detallada al final de este artículo. ¿Por qué son tan comunes los ataques XSS? Los complementos de WordPress pueden ser extremadamente complejos. A veces incluso más complejo que WordPress mismo. Con una mayor complejidad, la posibilidad de problemas de seguridad solo aumenta. Los ataques XSS son particularmente difíciles de proteger contra la dificultad de la actividad del autor del complemento. Incluso algunas de las mejores compañías web con equipos de seguridad dedicados como Google, Apple, Facebook y más han sufrido tales ataques. Le ayudará a poner las cosas en perspectiva sobre cómo puede deslizarse en un complemento de WordPress con mucho menos recursos.
¿Mi sitio es vulnerable a un ataque XSS? Si tiene un firewall y mantiene todo actualizado, la posibilidad es significativamente menor. Pero no olvide que no hay protección infalible contra estos ataques. Puede haber una vulnerabilidad no pública que puede ser explotada por un hacker. Por lo tanto, como medida de seguridad, escanee su sitio regularmente. Si bien los daños causados ​​por tales vulnerabilidades dependen de los detalles exactos del problema, en el peor de los casos, los hackers pueden asumir todo el sitio. En algunos casos, los piratas informáticos pueden hacer un cambio menor en el sitio, incluso redirigir su sitio a su propio sitio malicioso. Con otras palabras, los piratas informáticos pueden usar su navegador para:
Perturbar una sesión de usuario olfateando la identificación de la sesión
Coloque ventanas emergentes y redireccionamientos no autorizados
Lanzar ataques de phishing
Instale Keyloggers señalando cada tecla Presione por la víctima
Robar información financiera
Solo hay una forma de defenderse contra tales ataques. Instale el firewall de MalCare de inmediato. ¿Son todos los ataques XSS como peligrosos? No. Algunos ataques XSS son mucho más peligrosos porque pueden dar acceso completo a los piratas informáticos de su sitio, pueden hacer todo lo que quieran con este sitio.
Otros permitieron a los piratas informáticos cambiar solo una pequeña parte del sitio. Y esto puede ser muy peligroso porque el malware se transmite en sus visitantes y muchos más. Algunos ataques XSS pueden necesitar que el hacker contribuya a su sitio en este caso, el peligro representado es mucho más bajo. ¿Cómo explotan los hackers tales vulnerabilidades? La mayoría de los piratas informáticos usan la automatización para encontrar vulnerabilidades. Después de eso, es solo una cuestión de ejecución del hack. En algunos casos, todo el ataque puede realizarse mediante un hocico. Te dije de antemano que hay 5 formas básicas en las que un hacker puede usar las escrituras entre sitios de manera práctica. Presentemos una por una a través de todas estas variantes. Departamento# 1 de la sesión de usuario Ya hemos hablado sobre cómo un ataque XSS puede tener acceso a una cookie. Ahora, la parte más peligrosa de la posibilidad de tomar una cookie es que el mismo truco puede revelar la identificación de una sesión de usuario. La mayoría de los sitios web usan sesiones como un identificador único para cada usuario. Estas sesiones se almacenan en cookies de sesión. Usando un script simple como este: http: // localhost: 81 / dvwa / vulnerabilities / xss_r /? Nombre =
Un hacker puede enviar la cookie de sesión en el sitio web http://192.168.149.128/ y esta solicitud está registrada en el archivo Access.log en el servidor. Ahora, utilizando esta información sobre la sesión, el hacker puede conectarse fácilmente a cualquier cuenta con la que haya conectado sin necesitar una contraseña. # 2 Realizar actividades no autorizadas Hay ciertos casos en los que el hacker no puede usar JavaScript para robar la cookie. En este caso, intente usar ataques XSS para llevar a cabo actividades no autorizadas. Por ejemplo, un mensaje que aparece en los comentarios de la publicación en el blog, que continúa publicando. Este tipo de ataque puede tomar la forma del sitio o un script malicioso que se está extendiendo cada vez más a más usuarios. # 3 Ataques de phishing En muchas situaciones, un ataque de WordPress XSS es solo la desviación de un esquema mucho más grande. También hay scripts entre sitios que conducen a ataques de phishing y en su sitio. En la mayoría de los casos, el script malicioso comienza a impulsar las estafas de phishing en su sitio, lo que engañará a los usuarios para que renuncien a la información sensible. Tenemos un artículo completo sobre ataques de phishing, así que dale una lectura si quieres obtener más información.
# 4 Instalación de Keylogger En este escenario de ataque, el hacker implementa un script que instala un keylogger en un sitio vulnerable. Cada vez que un usuario escriba algo, el Keylogger lo almacenará y lo enviará de vuelta al hacker. Este es un ataque peligroso y puede robar contraseñas e información de tarjetas de crédito en un momento. El archivo JavaScript contiene el siguiente código:
Crédito de la imagen: Pentestools
En este código, verá que JavaScript abre un archivo llamado “keylog.php”.El código en ese archivo guarda todas las teclas presionadas por el teclado de un usuario en un archivo llamado data.txt.crep con imagen: Pentestools
Usando esta técnica, un hacker puede leer fácilmente exactamente lo que escribe en un sitio infectado. # 5 Información confidencial robada de la que ya he hablado mucho sobre las cookies y cómo pueden ser robados. Este tipo de ataque simplemente lidera el mismo principio y más. Imagine que la página de banca de Internet de su banco es vulnerable a los ataques XSS. ¡Usando el script correcto, el hacker podría conectarse directamente a su cuenta bancaria sin ninguna validación! Nuevamente, este no es un concepto nuevo. Es solo una extensión de lo que un hacker puede hacer con las cookies de sesión. ¿Cómo protegerse de los ataques XSS? Los firewalls son la mejor defensa frente a una amenaza en constante evolución. Los firewalls tienen reglas especiales que buscan solicitudes que puedan contener texto sospechoso que generalmente se encuentran en los ataques XSS. El problema es que los piratas informáticos continúan teniendo variaciones más inteligentes en este texto malicioso, lo que puede evitar algunos de los firewalls más inteligentes. Sin embargo, esta no es la mejor solución. Es un juego de gatos y ratones y a menudo puede obtener algunas falsificaciones positivas. Tenemos un artículo sobre cómo asegurar un sitio de WordPress que definitivamente debe consultar. Cómo detectar un ataque de WordPress XSS en su sitio Su forma más sencilla de detectar un ataque XSS en su sitio es instalar un complemento de seguridad como Malcare. Malcare tiene un escáner de malware automático que escanea todo el sitio todos los días. Con un algoritmo de enseñanza automático superior, el escáner de malware detecta scripts maliciosos en cualquier lugar de su sitio de MalCare encuentra malware desconocido y le brinda una opción “Autoclean”.
Por supuesto, lo sensible es nunca dejar que un pirateo.Pero los ataques XSS son increíblemente difíciles de proteger.Lo mejor que puede hacer es fortalecer su seguridad de WordPress.También puede aprovechar al máximo la pantalla de protección de Malcare avanzada.Malcare Firewall ¿Evita automáticamente direcciones IP sospechosas o maliciosas en su sitio su mejor parte?Cada vez que se descubre la IP de un hacker en cualquiera de los más de 250,000 sitios que protege MalCare, esa dirección IP está prohibida en cada sitio bajo la protección de Malcare.

Si la dirección IP de los miembros de su equipo o el administrador del sitio web se bloquea accidentalmente accediendo al sitio, ¡no se preocupe! Vea nuestra guía sobre cómo enumerar una dirección IP blanca. ¿Cómo funciona XSS? Dependiendo del tipo de ataque que lanza el hacker, hay diferentes tipos de scripts entre sitios. Todos tienen una cosa en común: todos usan JavaScript para difundir malware. JavaScript es un idioma que se encuentra entre el código HTML para páginas web. Ahora, JavaScript es capaz de crear variables que realizan cálculos extremadamente potentes. Como tal, puedes usarlo para hacer casi cualquier cosa que puedas imaginar. Por ejemplo, suponga que tiene un sitio web de WooCommerce que acepta los detalles del pago y los almacena en la base de datos de WordPress. ¡Puede usar JavaScript para enviar los datos de su tarjeta de crédito y el inicio de sesión de otra persona! Entonces, cuando un hacker explota una vulnerabilidad en el código de su sitio para ejecutar JavaScript, este es un ataque XSS. Por lo general, este tipo de vulnerabilidad aparece en cualquier lugar de su sitio, donde un usuario puede ingresar datos. Esto incluye ventanas emergentes, formularios, barras de búsqueda, incluso direcciones de URL. Ahora, este campo de entrada de datos no tiene que ser un campo visual. Incluso puede ser una variable defectuosa en el código de su sitio que toma datos sin respuesta de cualquier archivo o base de datos. El núcleo de WordPress también era vulnerable a los ataques XSS. Inicialmente, todo lo que un hacker debería hacer para ejecutar XSS fue crear un archivo PHP que contenía las siguientes líneas de código: / * Nombre de la plantilla: confirmar (document.cookie); * /
Vamos a romper esto.Ese código es solo un comentario que declara el nombre del archivo.Uno solo, es benigno y es ignorado por WordPress.Pero dentro del comentario, notará que después de “nombres de plantilla:” Hay un código que comienza con “script>” y termina con “”.Este es un código JavaScript que intenta tomar la cookie y mostrar un cuadro de confirmación en su navegador.

Este es un ejemplo de ataque de WordPress XSS. Una versión anterior de WordPress habría ejecutado esto de inmediato, porque el nombre de la plantilla sería tomado por el editor de temas de WordPress tal como es. El editor de temas asumió el nombre de la plantilla utilizando una función “$ file_decription” que no tenía contramedidas contra los ataques XSS. Por supuesto, el guión en el ejemplo anterior no es tan poderoso o malicioso. Pero el punto sigue siendo el mismo. Si el código benigno se puede ejecutar en cualquier campo de entrada, ¡el código malicioso también puede ser! Este truco especial se ha corregido en la versión de WordPress 4.8.2, pero la misma vulnerabilidad existe en muchos complementos de WordPress. De hecho, este es un problema importante con muchos complementos de WordPress. El hecho es que la mayoría de los complementos pueden ser extremadamente complejos. Algunos son aún más complejos que los archivos básicos de WordPress. Este grado de complejidad a menudo puede conducir a problemas de seguridad. Y así es como funciona WordPress XSS. Si ejecuta una versión anterior de WordPress, le recomendamos que actualice de inmediato. Además, aquí hay una lista de complementos de WordPress que se sabe que tienen vulnerabilidades XSS. Le recomendamos encarecidamente que los evite tanto como sea posible. Si usa uno de estos complementos, averigüe si tienen una actualización que ha correlacionado vulnerabilidad y actualizaciones a la última versión. Los tipos de scripts entre sitios son principalmente dos tipos de ataques XSS que debe averiguar: XSS almacenado o ataque persistente: el objetivo de este ataque es el visitante de su sitio web. Son fraudulentamente clientes, roban su información privada y fondos.
El objetivo de ataque XSS reflectante o no personal es su sitio de WordPress.

Explicaremos ambos ataques en detalle. Ataque XSS almacenado o persistente para asumir que su sitio es un blog que permite a las personas comentar sobre los elementos que publica. Cuando un visitante deja un comentario, los datos se envían a la base de datos y se almacenan. Su sitio debe tener configuraciones para el saneamiento de datos antes de ser enviado a la base de datos. Esto significa que debe verificar si lo que ha introducido el usuario es un comentario regular o si es un guión malicioso. Si estos cheques no están en vigor, se abre un defecto de WordPress XSS. Veamos cómo: Paso 1: El hacker encuentra vulnerabilidad y explotación, los piratas informáticos usan escaneos automáticos para ejecutar a través de Internet y encontrar sitios web que tengan vulnerabilidad XSS. Después de encontrar el sitio, presento las escrituras maliciosas en la sección de comentarios. Debido a que su sitio web no tiene cheques, acepta el script y lo envía a la base de datos. Paso 2: Un visitante visualiza la página infectada para un visitante, la contribución del hacker parecería un comentario ordinario. Lo que no conozco al visitante y al propietario del sitio es que este comentario es un código ejecutable diseñado para robar cookies. Cualquiera que visite esta página simplemente se verá afectado. Paso 3: El hacker roba las cookies del navegador, sabemos que los usuarios comunes generalmente tienen varias pestañas abiertas en un navegador, como correo electrónico, Facebook, un sitio de compras como Amazon, un sitio de trabajo, YouTube, etc.

Al acceder a su sitio web y ver la página con comentarios del hacker, el código se ejecuta. Esto le permite al hacker robar sus galletas en el navegador. Este ataque se llama “selección cruzada”, porque es capaz de robar las galletas de todos los sitios que se abren en diferentes pestañas. Paso 4: El hacker explota las cookies robadas y luego, utilizando estas cookies, los hackers pueden presentarse como usuarios autenticados en el sitio de compras y pueden hacer compras. Los atacantes pueden robar información confidencial de la cuenta, como nombre de usuario y contraseñas. También pueden piratear sus correos electrónicos y enviar mensajes de phishing o fraudulentos a los contactos. La lista es interminable. Este tipo de ataque pone en peligro a cualquiera que visite su sitio web. En el siguiente tipo de ataque XSS, se dirige directamente al sitio web. Ataque reflexivo o no persona en el ataque anterior, vi cómo los piratas informáticos visitan a los visitantes. Pero en este ataque, los piratas informáticos infectan el sitio ellos mismos. Como mencioné anteriormente, la mayoría de los usuarios de Internet tienen pestañas más abiertas en sus navegadores. Lo mismo es cierto para los propietarios de sitios web. A menudo, el tablero de usuarios de su administrador de WordPress es solo una de las pestañas abiertas en su navegador. Esto hace posible un ataque reflexivo XSS. Ilustraremos cómo sucede esto: Paso 1:

Obtener el propietario del sitio para hacer clic en un enlace muy intencional a menudo, los piratas informáticos envían enlaces malos a través de correos electrónicos con la esperanza de que alguien se enamore de su truco.En otros casos, los piratas informáticos colocan estos enlaces maliciosos en otros sitios de WordPress.Al hacer clic en el enlace, hace que un script se cargue en su sitio web en un sitio web externo.Este enlace contiene un código como este: https://yoursite.com/test.php?val=

Paso 2: Atrapa las cookies de sesión haciendo clic en el enlace, ejecute el código. Esto permite a los hackers robar sus cookies y comportarse como un usuario conectado a su cuenta de administrador del sitio de WordPress. Una vez que tienen acceso a su sitio, pueden robar credenciales de conexión y datos confidenciales, pueden bloquearlo desde su propio sitio web y usarlo para ejecutar diferentes tipos de hacks. Los ataques XSS tienen graves consecuencias y daños en su sitio y negocio. La recuperación después de tal ataque consume mucho tiempo y dinero. Puede evitar ser la víctima XSS tomando medidas de precaución contra él. ¿Que sigue? El siguiente paso siempre es configurar la protección contra futuros ataques. No hay una manera hermosa de decir esto, pero no hay una forma infalible de proteger su sitio contra el delito informático. Lo mejor que podemos sugerir por el momento es tener un proceso en torno a las auditorías de seguridad de rutina de WordPress. Tenemos un artículo completo sobre cómo prevenir los ataques de WordPress XSS. Por lo tanto, le recomendamos que vaya a ese artículo y lea si su sitio está atacado en este momento. También puede instalar Malcare en este momento. Automatice la mayor parte del trabajo sucio que necesita para mejorar la seguridad de su sitio. ¿Las preguntas de frecuencia son XSS?
Scripting o XSS de sitios cruzados es una vulnerabilidad de seguridad común encontrada en aplicaciones web. La vulnerabilidad permite que un hacker ejecute código malicioso en su navegador. Cualquier ataque cibernético utilizando la vulnerabilidad XSS se conoce como ataque XSS.
¿Cuál es un ejemplo de ataque XSS?
Los ataques XSS son extremadamente populares y bastante viciosos. Por supuesto, se utilizaron contra algunas de las compañías más grandes del mundo, incluidas Facebook, YouTube y Google, para robar contraseñas e información personal. ¿Qué es lo que los secuencia de comandos entre los sitios?

La secuencia de comandos entre sitios (XSS) es un ataque cibernético que utiliza scripts maliciosos en su navegador web para piratear las cookies de sesión del navegador para robar datos extremadamente confidenciales. Utilizados de manera efectiva, los scripts entre sitios pueden robar contraseñas e información financiera. Los ataques de WordPress XSS son muy difíciles de defender, a menos que use un firewall fuerte para bloquear las direcciones IP dañinas del país o dispositivo.
¿Por qué XSS es peligroso?
Las escrituras entre sitios son extremadamente peligrosas. Dependiendo del robot utilizado para encontrar vulnerabilidad y capacidades de codificación de hackers, el atacante puede robar cualquier tipo de información confidencial. También es muy difícil de defender, porque no hay una plantilla general para XSS y es muy difícil de detectar.
¿Cómo proteger su sitio de los ataques XSS?
La forma más simple de defensa contra los ataques XSS es la instalación de un firewall que puede bloquear efectivamente el tráfico malicioso. Para WordPress, también le recomendamos que fortalezca su sitio web con trucos típicos.