homefinance blog
La seguridad es una discusión continua para los propietarios de sitios de WordPress de todos los niveles de experiencia técnica, pero puede ser un área muy difícil para los principiantes. Si bien los que están dentro de la seguridad hablan con fluidez las diferencias entre los vectores de ataque ordinarios, a menudo puede parecer un poco más que una gran amenaza que es difícil de entender para el Joe ordinario. En esta pieza, buscaremos completar algunos de estos espacios libres, revelando brevemente cuáles son algunas de las amenazas más comunes allí. En lugar de cegarse con acrónimos y documentos blancos, nos centraremos en transmitir los elementos esenciales en términos simples y también presentaremos algunos pasos simples que puede seguir para mantenerse seguro como propietario de un sitio.
Sin embargo, antes de comenzar a analizar los detalles, para recordar brevemente dónde, en general, la mayor amenaza para la seguridad de su sitio. La seguridad comienza cerca del hogar, aunque los sistemas técnicos de seguridad se vuelven cada vez más cuán sofisticados cada día, vale la pena recordar que Las principales debilidades de cualquier sistema permanecen en las personas que realmente las llevan. Antes de involucrarse demasiado en la búsqueda de defectos de seguridad a nivel de software, asegúrese de ejecutar un barco ajustado en el acceso general al sitio y los procedimientos dentro de su propio equipo. Debe asegurarse de que la administración de contraseñas esté en vigor y que los roles y responsabilidades sean claros, especialmente cuando se trata de quién tiene los derechos de instalar software, como temas o complementos.
Finalmente, también querrá asegurarse de haber revisado cuidadosamente las líneas de seguridad estándar de WordPress, la tarjeta de seguridad WordPress White y que ha leído al menos un poco sobre el historial de seguridad de WordPress. La guía no tecnológica para las amenazas de seguridad comunes con esas advertencias introductorias fuera de la carretera, vamos a la descomposición de algunas de las amenazas de seguridad más comunes que afectan la plataforma. Utilizaremos la lista del Proyecto de Seguridad de Aplicaciones Web Open (OWASP) con las primeras diez amenazas para la seguridad de las aplicaciones como punto de referencia general y destacando tres áreas en particular. 1. Ataques de inyección Como se muestra en la propia definición de los ataques de inyección ofrecidos por el OWASP, aquí estamos tratando con un gran campo potencial: “Los defectos de inyección permiten a los atacantes transmitir el código malicioso a una aplicación a otro sistema”. El escenario clásico, como se subraya en la excelente guía de Padraic Brady para la seguridad de PHP, tiende a ser una forma de inyección SQL en la que un atacante busca comprometer directamente la base de datos.
Incluso los proveedores importantes, como Yoast, han tenido problemas de seguridad en el pasado. Como muestra el reciente desglose de las inyecciones de SQL de Wordfency, ambas son increíblemente comunes y relativamente fácil de configurar para un atacante. Ni siquiera debería haber intenciones maliciosas en el juego: simplemente la falla en deshacerse de la consulta o complemento SQL es suficiente para dejar la puerta abierta. Incluso los complementos de seguridad se han visto afectados a lo largo de los años, junto con otros proveedores de alto perfil.
2. ataques de secuencias de comandos de sitios cruzados (XSS). Aunque técnicamente es un tipo de ataque de inyección en sí, vale la pena aislarse los ataques de redacción cruzada (XSS). En comparación con nuestro ejemplo anterior de inyección SQL, la dirección del ataque se invierte esencialmente aquí. Padraic Brady resume la situación de manera maravillosa y simplemente: “XSS aparece cuando un atacante puede inyectar un script, a menudo JavaScript, al salir de una aplicación web, de modo que se ejecute en el navegador del cliente”. Llevado al sitio, el sitio en sí aquí está tratando de ofrecer algo que sea capaz de desviar su contribución. Como muestra el sujeto profundo de Wordfency, los ataques XSS son increíblemente fáciles de configurar para el defecto de seguridad malvado y muy común descubierto con la mayoría de los complementos. También son un problema que ha surgido varias veces con el núcleo de WordPress.
3. Los ataques para las solicitudes de falsificación entre los sitios (CSRF) Las diferencias entre XSS y los ataques de falsificación de solicitudes entre sitios (CSRF) pueden volverse un poco resbaladizos, pero la forma más fácil de pensar sobre ellos es la siguiente: XSS se trata de tratar de robar sus credenciales , y CSRF se trata de tratar de usarlos. Por lo general, un ataque CSRF intentará hacer que haga algo no deseado en un sitio al que ya esté autenticado. Aunque WordPress usa Nonce para aliviar estos ataques, han seguido apareciendo en varios complementos y en el núcleo de la plataforma a lo largo de los años.
Cómo estar a salvo en general, como lo demuestra los tres ejemplos anteriores, la tarea de reducir este tipo de ataques es en gran medida más riguroso sobre su código y la gestión de áreas, como el uso de usuarios y el uso más cuidadoso de chips de seguridad. Sin embargo, hay una serie de pasos sensoriales simples que puede usar como propietario de un sitio para ayudarlo también. Siempre la última versión básica de WordPress, junto con las versiones actualizadas de arados y temas usted.
Verifique los conceptos básicos en términos de fortalecimiento de WordPress y verifique su sitio utilizando el proyecto de escaneo de vulnebilidad de WordPress OWASP si es posible.
Use complementos como jugos de seguridad para bloquear su sitio.
Manténgase al día con el panorama más amplio de las amenazas de seguridad siguiendo a los blogs Jules y Wordfince, junto con el tema aquí sobre torque.
Estos cuatro pasos no le garantizarán que no será víctima del tipo de amenazas que hemos discutido anteriormente, pero lo pondrán mucho antes de los esfuerzos de la mayoría de los propietarios del sitio.
Conclusión La seguridad del sitio es un gran tema potencial, y la gama de acrónimos y conocimiento de nicho utilizado para discutirlo puede ser decepcionante para los sitios no técnicos. Nuestra guía corta para tres de las áreas de ataque más comunes que aparecen en la naturaleza debería haberlas hecho un poco más fácil pensar en el enfoque. Recapitulemos los tres campos principales que cubrimos:
Los ataques de inyección: una gran clase de ataque potencial, en la que los intentos de comprometer su base de datos de inyección SQL representan la mayor preocupación. Scripting de sitio cruzado (XSS): generalmente toman la forma de cargas útiles de JavaScript que buscan acceder a sus datos personales.
Ataques para falsificar solicitudes entre sitios (CSRF): estos tienen lugar cuando los chicos malos están tratando de engañarlo para tomar decisiones equivocadas en los sitios que ya está autenticado.
Como propietario de un sitio, la mejor defensa contra este tipo de ataques es elegir un socio de alojamiento confiable y mantener actualizadas todas las partes móviles de la pila de WordPress.¿Tiene un cierto problema de seguridad en sus sitios?¡Póngase en contacto con la sección de comentarios a continuación y háganoslo saber!
Crédito de la imagen: Unssplash.
Guía no técnica para amenazas de seguridad comunes
Tags La no guía
