Un desglose de los primeros 10 riesgos de seguridad de la aplicación OWASP para 2017/18

Seguridad del sitio: dos palabras que deberían ser de capital para todos los propietarios del sitio. La seguridad es un gran negocio en línea, principalmente porque es tan vital como ignorar que puede significar consecuencias catastróficas para su sitio web y la base de usuarios. Sin embargo, algunos problemas de seguridad son más relevantes que otros, y descubrir lo que es más importante enfocar es una tarea sin un punto de partida claro. Afortunadamente, el Proyecto de Seguridad de Aplicaciones Web Open (OWASP) existe para ayudar a mejorar la seguridad del software. Recientemente, esta organización ha publicado una lista invaluable de los diez mejores de las vulnerabilidades de seguridad del año pasado (2017). Esto puede darle un avance valioso cuando se trata de mantener su sitio, así como los datos que recopila, de manera segura y segura.
En esta publicación, examinaremos estos primeros diez riesgos de seguridad y subrayaremos lo que puede hacer para minimizar su impacto (o erradicarlos, si es posible). Sin embargo, ¡primero echemos un vistazo a los OWAS y lo que hace para la seguridad en línea! Una introducción al owasp

Open Web Application Security Project (OWASP) es una organización sin fines de lucro con código abierto, comprometida a contribuir al aumento del software que utilizamos diariamente. Ha estado activo desde 2001, y su personal se considera en gran medida expertos en su campo. OWASP produce sus primeras diez vulnerabilidades de seguridad anualmente, pero eso no es lo que hace. Hay una serie de otros proyectos activos que lideran y se refieren a la seguridad. Por ejemplo, ofrece:
Guía de implementación de seguridad de WordPress. Esta es una guía integral y constantemente actualizada para garantizar que su instalación de WordPress tenga una seguridad ajustada. Es un tutorial útil para prevenir intrusiones maliciosas. WordPress Scoiner. Esta herramienta detecta cualquier enlace débil de su instalación de WordPress, lo que le permite remediarlos y proteger su sitio de los ataques.
Puede consultar una lista completa de proyectos OWASP en el sitio web de la organización. Para esta pieza, sin embargo, nos centraremos en los primeros diez riesgos de seguridad anuales.
Un desglose de los primeros 10 riesgos de seguridad de aplicaciones OWASP para 2017/18 asimilando el contenido de esta lista de los diez principales es vital para mantener su sitio seguro. No prestar la atención de cada riesgo puede provocar intrusiones, datos comprometidos o peores. Presentaremos la lista en orden de la mayor amenaza a la menos importante (aunque vale la pena prestarle atención). ¡Vamos a ver! 1. Defectos de inyección Defectos La inyección se produce cuando los datos no confidenciales se envían como parte de una orden o consulta. Encontrará que la inyección SQL es la más común, aunque hay otros tipos. En algunos casos, los datos del usuario no registrado representan un punto de entrada, lo que hace que esta vulnerabilidad se extienda y sea peligrosa.
Como puedes imaginar, el equipo de WordPress toma este problema muy en serio. Los desarrolladores tienen un conjunto de funciones y API para ayudar a aumentar la protección contra inyecciones de código no autorizadas, así como para desinfectar los datos correctamente. Algunos usuarios también han ido hasta limitar las cargas y dimensiones de los tipos de archivos, lo que (dependiendo de sus necesidades) puede ser una idea inteligente. 2. Problemas de autenticación Plululululululululululululululul WC Contraseña La configuración de stregth puede ayudar a proteger contra las vulnerabilidades de la autenticación. Si las cuentas administrativas caen en las manos equivocadas, los atacantes pueden comprometer fácilmente las credenciales del usuario, como el nombre de usuario y las contraseñas. Esto generalmente sucede cuando las soluciones de autenticación y gestión de la sesión se implementan incorrectamente.
Como puede imaginar, resolver este problema depende en gran medida del usuario en cuestión, aunque hay cosas que un administrador puede hacer. Para empezar, elegir una contraseña sólida es una necesidad, al igual que la configuración de la autenticación con varios factores. Finalmente, un complemento como la configuración de resistencia de la contraseña de WC lo ayudará a obligar a los usuarios a elegir contraseñas seguras. 3. Exposición de datos confidenciales o personales Esta vulnerabilidad es muy similar a la anterior, aunque se refiere a los compromisos de los datos ingresados ​​por el usuario. Piense en cuán catastrófica puede ser la exposición, como las direcciones personales e información de pago, no solo para los clientes, sino también para el negocio en sí.

Afortunadamente, WordPress ofrece defensa contra este riesgo en el cuadro. Por ejemplo, las contraseñas están saladas, cortan las cadenas y se refuerzan a través del generador de contraseñas incorporadas. Además, el sistema de permiso se encarga de la mayoría de los otros puntos de entrada. Para mejorar aún más la seguridad, puede cifrar datos mediante la implementación de Secure Sockets Layer (SSL). Hablamos anteriormente sobre cómo hacer esto, utilizando la solución de código abierto y cifrado gratuito. 4. Entidades externas XML Esta siguiente vulnerabilidad puede parecer un complejo desalentador, por lo que intentaremos mantener la descripción. Esencialmente, este es un ataque de tipo de inyección por código malicioso, en archivos XML (lenguaje de marcado extensible). La primera remediación es simplemente usar un formato de datos menos complejo que XML, cuando sea posible (JSON, por ejemplo). WordPress realmente deshabilita la carga de entidades XML personalizadas para ayudar a prevenir los ataques. Puede obtener más información sobre este complejo problema (y cómo remediarlo) directamente de OWASP. 5. El control de acceso interrumpido, así como nuestra discusión anterior sobre la autenticación, los controles de acceso (es decir, los controles que determinan los permisos de los usuarios) también se pueden romper. Por supuesto, un usuario sin permisos correctos (más precisamente, con más permisos de los que deberían) podría hacer estragos.
Una vez más, WordPress está codificado para asegurarse de que este problema no aparezca. La plataforma verifica la autorización apropiada antes de hacer una solicitud (especialmente para los controles de acceso “en el nivel de nivel”). Aunque este riesgo es parte de los primeros diez, es algo para lo que rara vez tendrá que preocuparse. 6. La seguridad incorrecta para los problemas de seguridad configurados mal puede estar relacionada con el código, pero a menudo descubrirá que esta vulnerabilidad ocurre debido al error del usuario. De todos modos, las consecuencias son casi las mismas que en otras vulnerabilidades basadas en permisos. El buen chaleco es que puede abordar este riesgo de varias maneras simples. Por ejemplo, la seguridad básica de WordPress, como no usar los nombres de usuario predeterminados y mantener temas y complementos actualizados, lo protegerá. Para más tranquilidad, es posible que desee hacer un refuerzo avanzado de WordPress. 7. Scripting de sitios cruzados (XSS) Teniendo en cuenta cuánto contenido hay sobre Scripting de sitios cruzados (XSS), habría perdonado que debería ser más alto en esta lista. Es parte de la familia de vulnerabilidades “inyección”, aprovechando los elementos dinámicos del sitio para secuestrar el navegador y la computadora. Como tal, garantizar que no sea un problema es vital para la confianza y para los buenos usuarios.
Dado el impacto XSS, los desarrolladores de WordPress trabajan debajo del capó para garantizar que los usuarios estén protegidos. Por ejemplo, se define el contenido enviado por usuarios no creyentes (es decir, aquellos que no son administradores o editores). Además, hay una serie de funciones disponibles para ayudar a los desarrolladores de WordPress con validación y escape de los datos del usuario. 8. Dibujo incierto que esta es otra vulnerabilidad compleja. En resumen, los datos que no son confiables que son serializados y desecularizados están potencialmente abiertos a la explotación, lo que puede conducir a la exposición a los datos. Este tipo de datos incluye cachés, bases de datos, chips de autenticación API y más, todos los elementos comunes de los sitios web modernos de WordPress. Durante nuestra investigación para este artículo, no encontramos casos reales de esta vulnerabilidad que causen problemas en el pasado. Eso no significa que deba ser ignorado. En nuestra opinión, sin embargo, el hecho de que no hemos encontrado ejemplos de este problema es una prueba de la naturaleza inherente de WordPress. 9. Temas, complementos y otros componentes inseguros es fácil de olvidar que muchos elementos de WordPress: temas, complementos, etc. -Imé puedo comprometer su sitio. Cualquiera de las vulnerabilidades en esta lista puede ser causada por un tema o complemento mal codificado, por lo que es crucial ampliar sus preocupaciones por las herramientas que utiliza. Afortunadamente, los complementos y los temas que se encuentran en los directores de WordPress ya han sido verificados para determinar la calidad, por lo que no deberían crear problemas.
Sin embargo, este garantía de calidad no es seguro. Le recomendamos que realice una verificación exhaustiva, utilizando un sitio como la base de datos de vulnerabilidad WPSCAN, antes de instalar cualquier herramienta en su sitio: para la paz adicional, WordPress también monitorea bibliotecas y marcos para explotaciones. En algunos casos, corregirá las herramientas de tercera parte para ayudar a los usuarios a estar seguros. 10. Insuficiente registro y monitoreo de su sitio y sus datos Nuestra vulnerabilidad final no es en realidad una explotación directa, aunque puede hacer tanto daño a su sitio. Si es víctima de una de las vulnerabilidades anteriores, es posible que no conozca que si no monitorea y registra lo que sucede en su sitio. Esto le deja el sitio abierto a ataques aún más maliciosos y puede erosionar cualquier confianza que haya ganado con su base de usuarios. Este es un tema que hemos llegado antes de hablar sobre cómo cumplir con el Reglamento General de Protección de Datos (GDPR). Finalmente, el uso de un complemento de diario de seguridad de calidad, como WP Security Audit Journal, debería ser una prioridad: