Uso de OWASP Top 10 para mejorar la seguridad de WordPress

WordPress Security puede ser un tema intimidante para aquellos que son nuevos en WordPress y tienen un sitio web. Sin embargo, con respeto y estándares como OWASP Top 10, el negocio puede comenzar fácilmente con la seguridad de WordPress. Este artículo explica cuál es la lista de OWASP Top 10. También explica cómo los administradores del sitio de WordPress pueden tener un sitio de WordPress de acuerdo con el Top 10 de OWASP. ¿Cuál es la lista de OWASP Top 10? El OWASP Top 10 es una lista de los 10 riesgos de seguridad de aplicaciones web más críticas. Como tal, no es un estándar de cumplimiento en sí mismo, pero muchas organizaciones lo usan como guía. La organización Open Web Application Security Project (OWASP) ha publicado la primera lista en 2003. Ahora lanza una lista actualizada cada tres años.
¿Cuáles son las primeras 10 vulnerabilidades y riesgos de seguridad OWASP? OWASP ha publicado la última lista de OWASP Top 10 en 2017. A continuación se muestra la lista de riesgos de seguridad en él: A1: A2 Inyección: Autenticación interrumpida A3: Exposición de datos confidenciales A4: Entidades externas XML A5: Control de acceso interrumpido A6: Aumento de la configuración por Seguridad A7: Scripting de sitios cruzados (XSS) A8: Dibujo incierto A9: Uso de componentes con vulnerabilidades conocidas A10: Insuficiente Aplicación de registro y monitoreo de la seguridad de OWASP Top 10 en WordPress Esta sección explica lo que necesita para asegurarse de que su sitio web. WordPress sea No es vulnerable a ninguna de las primeras 10 vulnerabilidades y defectos de seguridad de OWASP.
Abordar A1: Inyectar en la inyección de WordPress SQL es una vulnerabilidad técnica de la aplicación que generalmente es causada por la falta de higiene de las entradas del usuario. Al explotarlo, los piratas informáticos maliciosos pueden obtener acceso a los datos de la base de datos de WordPress. El equipo base de WordPress generalmente remedia las vulnerabilidades de inyección en unos pocos días. Lo mismo es cierto para la mayoría de los desarrolladores de complementos de WordPress. Por lo tanto, es importante usar complementos bien mantenidos, desarrollados por desarrolladores receptivos. La única forma en que puede asegurarse de que su WordPress no sea vulnerable a este tipo de vulnerabilidad, manteniendo todo el software actualizado. Instale siempre todas las correcciones de seguridad que lanzan los desarrolladores. Adresión A2: autenticación rota en WordPress Este tipo de defectos de seguridad también son vulnerabilidades técnicas. Estas vulnerabilidades son el resultado de un diseño roto de la aplicación web, la falta de planificación. Los atacadores pueden explotar problemas de autenticación interrumpidos para acceder a datos confidenciales. Solo los desarrolladores pueden resolver estos problemas. Siempre que use la última versión básica y complementos de WordPress, su sitio web no será propenso a tales vulnerabilidades. Por supuesto, suponiendo que siempre use complementos bien mantenidos. Aunque, debido a que estamos hablando de autenticación, vale la pena recordarle que implemente dos factores de autenticación en su sitio web de WordPress. Si no está seguro de qué complemento usar, aquí hay una lista de algunos de los mejores complementos de WordPress de WordPress de dos factores.
Abordar A3: La exposición de datos confidenciales en la representación de palabras de datos confidenciales se ha convertido en un problema. Las violaciones de datos se presentan casi a diario en las noticias de seguridad web. De hecho, GDPR y otros requisitos de cumplimiento de las regulaciones ponen un gran énfasis en la necesidad de administrar y almacenar los datos confidenciales y personales. Según GDPR, los datos confidenciales y personales son datos relacionados con un usuario identificable. Podrían ser los nombres de sus clientes, sus detalles de facturación y datos del titular de la tarjeta en el caso de un sitio de comercio electrónico. En el caso de los servicios financieros, los detalles de la cuenta bancaria o en la asistencia médica podrían ser su historial médico. Tenga en cuenta que aunque una dirección IP se puede clasificar como datos confidenciales, puede mantener un diario de actividad de WordPress, que le permite ver todo en sus sitios web.
Para asegurarse de que su sitio de WordPress sea compatible, si almacena datos confidenciales en su sitio de WordPress, asegúrese de que solo los usuarios que necesitan usar datos tengan acceso a él y, por supuesto, los datos deben estar encriptados. Siempre use usuarios y roles de WordPress para administrar mejor los privilegios de los usuarios y el acceso a datos confidenciales. ¿Debería almacenar datos confidenciales en su sitio web de WordPress? No hay una respuesta definitiva. Todo depende de la configuración y los recursos. Aunque las pequeñas empresas generalmente serían mejores para almacenar datos en un proveedor de terceros.

Por ejemplo, en el caso de una tienda de comercio electrónico, es mucho más fácil usar sistemas de pago como Stripe o PayPal para administrar y almacenar los datos del titular de la tarjeta. Ya tiene la infraestructura en su lugar. Consulte nuestra Guía de seguridad de comercio electrónico para administradores de WordPress para obtener más información sobre cómo mantener y ejecutar un sitio de comercio electrónico seguro. Lo mismo es cierto para las direcciones de correo electrónico y los boletines informativos del cliente. Idealmente, no debe almacenar dichos datos en su sitio. Use un servicio de terceros, como MailChimp, para almacenar datos en una infraestructura más segura y confiable, en lugar de en su sitio. ) En WordPress, esta es una vulnerabilidad técnica del software. Esto sucede cuando la aplicación administra incorrectamente archivos y datos XML. Una instalación en el cuadro WordPress no trata demasiado con los archivos XML desde la distancia, aunque podría usar complementos que lo hagan. Para asegurarse de que su sitio de WordPress no sea vulnerable a tal vulnerabilidad, use la última versión básica, complemento y otro software de WordPress. Siempre use complementos que se mantengan. Considere el cambio de cualquier complemento que use y no se ha actualizado durante más de un año.
Dirigir A5: Control del acceso interrumpido en WordPress Esta es una vulnerabilidad técnica de la aplicación. Este problema surge cuando la aplicación no aplica las restricciones necesarias para los usuarios autenticados. Por lo tanto, cuando los atacantes explotan tales vulnerabilidades, pueden acceder a datos confidenciales. Solo los desarrolladores pueden resolver este tipo de problema. Para asegurarse de que su sitio web no sea vulnerable, mantenga el núcleo de WordPress actualizado, los complementos y otro software que use en el sitio. Dirigir A6: la configuración incorrecta de la seguridad en los sitios de WordPress Las configuraciones de seguridad incorrectas son muy comunes en los sitios de WordPress. El software Nepatchat y la explotación de la configuración predeterminada son dos de los ataques exitosos más comunes en los sitios de WordPress. En los últimos años, WordPress Base Team ha hecho mucho para ayudar a los usuarios a abordar tales problemas. Por ejemplo, WordPress ya no tiene un nombre de usuario de administrador implícito, que era el culpable de muchos hacks de WordPress.
Para asegurarse de que su sitio web de WordPress no tenga configuraciones de seguridad incorrectas, cambie todas las configuraciones predeterminadas. Esto aplica WordPress, complementos y cualquier otro software y dispositivo que use. Por ejemplo, si un complemento tiene un conjunto implícito de credenciales, no protege los datos confidenciales ni los almacena en una ubicación predeterminada, configure una autenticación fuerte y modifique las rutas predeterminadas. Esto se aplica a cualquier otro software y dispositivo que esté utilizando, incluido el enrutador de Internet de su hogar, que generalmente tiene credenciales predeterminados.
Dirección de A7: la secuencia de comandos de sitios cruzados (XSS) en WordPress Cross Site Scripting, también conocido como XSS, es una vulnerabilidad técnica de la aplicación. Es muy probable que sea una de las vulnerabilidades técnicas más comunes. Una vulnerabilidad de XSS ocurre cuando los datos que no son confiables no son validados y escapados. Cuando un atacante malicioso explota una vulnerabilidad de script entre sitios, puede robar la cookie de usuarios conectados y su identidad. También pueden secuestrar su sesión. El equipo base de WordPress generalmente aborda los problemas de XSS reportados en el núcleo en solo unos días. Por lo tanto, para asegurarse de que el núcleo, los complementos y los temas de su sitio de WordPress no sean vulnerables a este tipo de vulnerabilidad, siempre use la última versión del software. Además, use siempre complementos mantenidos. Dirija A8: la diseñadora insegura en el postre inseguro de WordPress es una vulnerabilidad técnica de la aplicación. Esta vulnerabilidad puede ocurrir cuando la aplicación utiliza objetos serializados de fuentes inseguras sin realizar controles de integridad. El equipo base de WordPress generalmente aborda este tipo de problema en unos días. Por lo tanto, para asegurarse de que el núcleo, los complementos y los temas de su sitio de WordPress no sean vulnerables a este tipo de vulnerabilidad, siempre use la última versión del software. Enfoque A9:
El uso de componentes con vulnerabilidades conocidas en un sitio web de WordPress sin uso de software y aplicaciones web que han conocido vulnerabilidades podría sonar como algo obvio. Aunque, desafortunadamente, no lo es. La Fundación WordPress ha hecho mucho a este respecto. Tener actualizaciones automáticas para el núcleo de WordPress. El equipo de examen de complementos de WordPress etiqueta los complementos de almacén que no se han actualizado durante algún tiempo como inciertos. Sin embargo, no siempre es fácil para las empresas usar la versión más reciente y segura del software. Muchos usan software antiguo y aplicaciones web que no son compatibles con la última versión de WordPress u otros complementos. Por lo tanto, tienen que usar la versión antigua y vulnerable de WordPress y complementos. En tales casos, si es posible, comuníquese con los desarrolladores para actualizar el código. Para asegurarse de que su sitio sea compatible, es evidente: siempre use la última versión básica y los complementos de WordPress. También es importante deshabilitar y desinstalar cualquier complemento, scripts y temas no utilizados en su sitio web. Por ejemplo, muchos administradores del sitio no eliminan temas y complementos basados ​​en WordPress. Si no los usa, límpielos. Esto también es cierto para el nuevo software: cuando busca un nuevo complemento, siempre búscalo. Lea nuestra guía sobre cómo elegir un complemento de WordPress para obtener más información sobre lo que debe hacer al buscar un nuevo complemento de WordPress. Direccionando A10:

El registro y el monitoreo insuficientes de WordPress y el monitoreo son vitales para la seguridad de su sitio de WordPress y la red multisit. Las revistas de actividad de WordPress también lo ayudan a administrar mejor su sitio web, identificar un comportamiento sospechoso antes de que se convierta en un problema, garantizar la productividad de los usuarios y más. Obtenga más información sobre los beneficios de mantener un WordPress (diario de auditoría). Mantendrá un registro de todo lo que sucede en su sitio web de WordPress y en la red multisit en un Journal of Activity. Consulte un enfoque de registro insuficiente con un complemento de revista de actividades de WordPress para obtener información más detallada sobre cómo abordar esta parte del Top 10 de OWASP 10. Creación de un sitio de WordPress de acuerdo con la seguridad de WordPress Top 10 de OWASP puede ser compleja, especialmente cuando lo ha hecho. Grandes configuraciones. Aunque comenzar y cubrir los conceptos básicos no es tan difícil, como señala este artículo. Puede tener un sitio de WordPress de acuerdo con el Top 10 de OWASP, cuidando estos artículos básicos:
Use la última versión de WordPress Core, complementos y temas,
Asegúrese de cambiar todas las configuraciones predeterminadas en su núcleo y complementos de WordPress,
Aplicar políticas de contraseña segura,
Habilitar 2FA con un complemento de WordPress de autenticación de dos factores,

Use usuarios y roles de WordPress, correctamente,
Mantenga un registro de todo lo que sucede en su sitio en un diario de actividad de WordPress. Recuerde la seguridad de su sitio de WordPress utilizando esta lista de OWASP Top 10 como guía.Consulte la página oficial de OWASP Top 10 para obtener información más detallada.