Ataques de WordPress CSRF: vulnerabilidad y prevención

La falsificación de solicitudes de sitios cruzados (conocido como CSRF o XSRF) es uno de los hacks más severos que enfrentan los sitios web de WordPress. Este truco tiene lugar debido a las vulnerabilidades presentes en los complementos de WordPress instalados en el sitio. Aquí, los piratas informáticos engañan a los usuarios del sitio web para llevar a cabo acciones maliciosas que son perjudiciales tanto para el propietario del sitio como para el usuario. ¡Los ataques CSRF pueden tener repercusiones devastadoras para ambos lados y deben prevenirse desde el principio! Usando CSRF, un hacker puede lograr el control total de su sitio web y usarlo para ejecutar cualquier tipo de actividad maliciosa. Podrían redirigir a sus visitantes a otros sitios maliciosos o engañarlos en la descarga de malware. ¡También puedo alcanzar la medida en que está robando fondos de usted y sus clientes!
No solo eso. Las cosas pueden llevar más a la nieve y Google podría llegar a la lista negra de su sitio, y su proveedor de alojamiento puede suspender su sitio. Si eres víctima de este truco o quieres evitarlo, te ofrecemos cubierta. En este artículo, le mostraremos cómo remediar un ataque CSRF y cómo prevenirlo. Tl; DR Si su sitio web ha sido pirateado, debe remediarlo de inmediato. Le recomendamos que descargue e instale el complemento para eliminar el ataque CSRF en su sitio web para ejecutar un escaneo profundo de su sitio web y limpiarlo instantáneamente. Una vez que su sitio esté limpio, el complemento protegerá su sitio de futuros intentos de hack.
Contenido → ¿Qué es un ataque CSRF (solicitud de falsificación entre sitios)? → ¿Cómo apareció la vulnerabilidad CSRF WordPress en su sitio? → ¿Cómo evitar un ataque CSRF en un sitio web de WordPress? → CSRF Medidas preventivas para desarrolladores de complementos → CSRF Medidas preventivas para los propietarios de sitios de WordPresce es un ataque CSRF (falsificación entre sitios)? El ataque de WordPress CSRF es fácil de entender, pero lo romperemos tanto como podamos. En un sitio web que tiene suscripciones de usuarios, miembros o conexiones, cada usuario tiene acceso privilegiado a su propia cuenta en el sitio. Por ejemplo, una cuenta de Amazon, una cuenta de Gmail o incluso una cuenta bancaria en línea.
Tal sitio proporciona a sus usuarios para conectar datos: nombre de usuario y contraseñas. Esto se hace para la autenticación del usuario. Entonces, cuando un usuario desea conectarse, ingrese el nombre de usuario y la contraseña para verificar. De esta manera, el sitio web puede establecer confianza con su usuario y navegador.
En un ataque de CSRF, un hacker intenta a este usuario autenticado a llevar a cabo acciones maliciosas. 1. Comprender el “sitio cruzado” para explicar cómo sucede esto, para usar un ejemplo. Digamos que el usuario se ha conectado al sitio A y lo dejó en una pestaña en el navegador. (Recuerde que este sitio está conectado, es importante).

Ahora, suponga que el hacker tiene la dirección de correo electrónico del usuario. Envían un correo electrónico al usuario sobre descuentos increíbles que caducarán en las próximas horas. Se engaña al usuario haciendo clic en el enlace en el correo electrónico. Esto abre un sitio web llamado Sitio B (que es administrado por Hacker). En el sitio B, se les pide que completen un formulario o ingresen la dirección de correo electrónico para solicitar la reducción. El usuario hace clic en un botón aparentemente normal para “enviar” el formulario.
Ahora recuerde cuyo sitio está abierto en otra pestaña. Este script envía una solicitud al Sitio A y realiza acciones maliciosas en él. Por eso se conoce como “selección cruzada”. 2. Solicitud de comprender el script de los piratas informáticos Envía una solicitud del sitio web B al sitio web A en nombre del usuario. ¡La acción maliciosa indeseable podría ser cualquier cosa, desde las contraseñas de administrador cambiantes hasta la transferencia de fondos, incluso de cuentas bancarias! 3. Comprender la “falsificación” al final, porque el hacker usa la autenticación del usuario para engañar al sitio A, es un “falso”. Por lo tanto, el nombre “Solicitud de falsificación entre selificación”.

En resumen, el hacker hace que el sitio crea que sus instrucciones maliciosas son una solicitud legítima enviada por el usuario autenticado. Pero, ¿cómo es posible que el sitio B envíe una solicitud al sitio A? Nos profundizaremos en la forma en que esto sucede en la siguiente sección. Nota: Esta sección es técnica y está dirigida a usuarios o desarrolladores con experiencia por WordPress. Si desea ignorarlo y ir directamente para evitar ataques CSRF en su sitio, continúe con las medidas preventivas de CSRF para los propietarios del sitio de WordPress. [Soporte ↑] ¿Cómo apareció la vulnerabilidad CSRF WordPress en su sitio? Para explicar cómo tiene lugar la vulnerabilidad, debemos comprender cómo se comunican el navegador del usuario y un sitio web. 1. Comprensión de las solicitudes del navegador aquí discutiremos dos tipos de solicitudes HTTP y cookies del navegador: yo. HTTP Obtenga solicitud Cuando visite un sitio web, envíe una solicitud HTTP GET a ese servidor de sitio web. Esta solicitud solicitará los datos requeridos para mostrar el front-end del sitio. El servidor web responderá y enviará los datos solicitados. Luego, el contenido del sitio web se cargará en su navegador.
Cuando una persona no está conectada a un sitio, es un usuario no autorizado. Entonces, cuando se envían Get y Post, no se usan cookies. No hay problemas de seguridad en este escenario. Pero cuando el usuario se ha conectado, ahora es un usuario autenticado. El sitio web utiliza cookies para reconocer y satisfacer a este usuario. Podría usar estas cookies para generar datos relevantes solo para esa identificación única. Les ayuda a conectarse fácilmente al usuario, mostrar anuncios adaptados a las preferencias del usuario o mostrar los productos que le gustan para el usuario, etc. El proceso CSRF ahora está volviendo a cómo ocurre una vulnerabilidad de CSRF. Para que este ataque sea efectivo, el hacker debe usar un usuario autenticado que use cookies. Explicaremos esto con un ejemplo. Aquí, le mostraremos cómo un hacker puede tomar el control de la cuenta de un usuario y luego usarla para piratear su sitio web utilizando la vulnerabilidad de CSRF. → ¿Qué sucede del usuario?
Un usuario está conectado a TargetWebSite.com desde su navegador.
Luego, el hacker atrae a este usuario a hacer clic en TrickwebSite.com, enviándoles un correo electrónico que le indique que visite este sitio y se registre para recibir $ 50. (Estos enlaces también se pueden insertar en el sitio web de TargetWeb.com utilizando otras vulnerabilidades)
Asumiremos que la víctima cree que este sitio de truco es legítimo y cae en el engaño. Aquí completan un formulario con sus detalles y hacen clic en “Enviar”.
En TrickWebSite.com, el hacker ya ha colocado el código HTML detrás de este botón “Enviar”. Al hacer clic en él, enviará un trabajo a TargetWebSite.com (donde el usuario ya está conectado) en nombre de este usuario. → ¿Qué sucede en el lado del sitio web?
Usando cookies, TargetWebSite.com verifique al usuario (y al navegador) y permite la solicitud. Esta solicitud parecerá legítima, porque proviene del usuario autenticado.
Pero la solicitud posterior a la insent contiene un script malicioso que podría dañar el sitio web. Por ejemplo, el script podría contener un orden para cambiar la contraseña de la cuenta corriente en “NewPassword123”.
Cuando la solicitud es aceptada por TargetWebSite.com, el código se ejecutará y cambiará su contraseña. Luego, el hacker podrá conectarse a la cuenta utilizando la nueva contraseña y tomar el control completo.
Entonces el hacker ahora puede ejecutar más ataques en el sitio. Dependiendo de los privilegios otorgados a este usuario, puede acceder a la base de datos de TargetWebSite.com y tomar el control de la funcionalidad.

Este es solo un ejemplo de lo que un hacker puede hacer usando ataques CSRF. Hay muchos otros escenarios que pueden tener lugar. Pero tanto el usuario como el sitio web se verán afectados por este hack. [De vuelta ↑] ¿Cómo evitar un ataque CSRF en un sitio web de WordPress? Los sitios de WordPress están expuestos a ataques CSRF, porque los complementos tienen vulnerabilidades que les permiten suceder. Según un informe completo de divulgación de PluginVulnerability.com, muchos de los complementos populares que verificaron tuvieron problemas de seguridad que hicieron que los ataques CSRF fueran vulnerables. Para evitar los piratas informáticos de CSRF, los desarrolladores de complementos deben implementar ciertas medidas de seguridad. Nos acercaremos a estas medidas brevemente y luego le diremos lo que puede hacer, como propietario de un sitio de WordPress, para detener los ataques CSRF. Medidas preventivas de CSRF
CSRF Medidas preventivas para propietarios de sitios de WordPress
YO. Medidas preventivas de CSRF para desarrolladores de complementos Si usted es un desarrollador de complementos, aquí hay algunas medidas que puede tomar para evitar ataques CSRF: 1. Chips anti-CSRF Un token anti-CSRF es un valor oculto que se envía con cookies. Y la solicitud de un usuario en particular. Esto funciona:
El servidor web genera este símbolo y se coloca como un campo oculto en el formulario.
Cuando el usuario completa y envía el formulario, el símbolo se incluye en la aplicación posterior.
El servidor comparará el token generado y el token enviado por el usuario.

Si se ajusta, la solicitud será válida. Si no coincide, la solicitud se considera inválida. Esto evita que se realicen ataques CSRF. Un desarrollador puede agregar estos chips mientras crea o actualiza su complemento. 2. Usando no cess aunque se usan indistintamente, los chips anti -CSRF y el no cess son diferentes. Un valor nonce (números utilizados una vez) es como una contraseña única generada para la demanda. Cuando se envía una solicitud HTTP, se genera no complemento para verificar la solicitud. Pero una vez que se usa, Nonce se invalida y el usuario no puede enviar el formulario nuevamente usando el mismo valor sin valor. 3. Las cookies en el mismo sitio son posibles ataques CSRF debido a las solicitudes entre los sitios hechos con las mismas cookies. Una cookie del mismo sitio significa que una cookie solo se puede enviar si la demanda está hecha del mismo sitio web donde se creó la cookie. Acepte las cookies en el mismo sitio. Se puede usar como una capa de defensa adicional, pero no debe usarse solo para evitar ataques CSRF. No entraremos en detalles adicionales sobre estas medidas preventivas, porque los piratas informáticos pueden pasar por alto hoy. Los piratas informáticos se vuelven inteligentes diarios y desarrollan nuevas técnicas para superar las medidas preventivas que tomamos. Pasaremos a las medidas proactivas y reactivas que puede tomar como propietario del sitio de WordPress para protegerlo contra estos ataques CSRF.
[De vuelta ↑] II.Medidas preventivas de CSRF para los propietarios de sitios de WordPress Como se mencionó anteriormente, los creadores de arado deben tomar medidas para que su aplicación sea segura.Pero, ¿y si no lo hago?¿Cómo sabe qué complementos han implementado medidas anti-CSRF?WordPress rara vez es solo.Los complementos juegan un papel importante en la funcionalidad y el diseño de un sitio web.Entonces, si bien los sitios de WordPress necesitan complementos, ¿confía ciegamente que estos complementos han tomado las medidas de seguridad apropiadas?¡No!
Los propietarios de los sitios web deben estar en guardia y tomar sus propias medidas de seguridad, incluso si los desarrolladores de arado no. Esto es lo que puede hacer para protegerse de los ataques CSRF: 1. Use complementos anti-CSRF. No hay muchos complementos disponibles en el depósito de WordPress dedicado a los ataques CSRF. Aquí hay dos que encontré: (a) Formulario de comentarios de protección CSRF: este complemento de WordPress agrega un token anti-CSRF a los formularios de comentarios. El token tiene un valor único que se mantiene en secreto y no está prácticamente adivinando. Entonces, si un usuario envía un formulario, el símbolo secreto se enviará con él. Solo si se ajusta, se aceptará la solicitud de enviar el formulario. (B) Cookies en el mismo sitio: este complemento funciona en navegadores aceptados, incluidos Chrome, Firefox, IE y Edge. Se asegura que al enviar solicitudes HTTP, las cookies enviadas provienen del mismo sitio. Esto bloquea cualquier solicitud entre sitios y, por lo tanto, bloquea todos los ataques CSRF. 2. Instale un complemento de seguridad de WordPress completo. Hay muchos complementos de seguridad disponibles para sitios web de WordPress. Estos complementos pueden mantener su sitio a salvo de todo tipo de hackers, incluido el tipo CSRF. Pero no todos los complementos de seguridad le dan el mismo nivel de seguridad. Además, el ataque CSRF es difícil de encontrar. Los piratas informáticos lo disfrazan del propietario del sitio y del usuario, por lo que pasa sin ser observado. Necesita un complemento que pueda detectar dicho malware disfrazado. Al elegir un complemento de seguridad, debe asegurarse de hacer lo siguiente para mantenerse protegido contra los ataques CSRF:
Escanee el sitio web regularmente para detectar cualquier escritura dañina.
Tiene la capacidad de identificar cualquier tipo de malware, incluidos nosotros, ocultos o disfrazados. (Algunos complementos están buscando solo malware ya descubierto).
Le advierte si hay actividad sospechosa en su sitio web.

Le brinda un tablero independiente, por lo que puede limpiar su sitio, incluso si un hacker lo bloquea desde su propia cuenta de administrador.
Un complemento que le brinda dicha protección y características es MalCare. Una vez que haya instalado el complemento en su sitio web de WordPress, le permitirá deshacerse de cualquier ataque de CSRF. También eliminará el malware de WordPress que un hacker podría haber agregado a su sitio durante el hack. Su sitio web estará protegido con una pantalla de protección proactiva, que bloqueará el acceso de los sitios a las direcciones IP maliciosas y los robots malos. Si un hacker logra piratear su sitio utilizando una solicitud intencional del sitio, este enchufe de seguridad de WordPress le advertirá de inmediato. Luego puede actuar inmediatamente usando el mismo complemento. 3. Reforzar su sitio web de WordPress recomienda que tome ciertas medidas para fortalecer su sitio. Esto hará que sea extremadamente difícil acceder a los piratas informáticos. En resumen, hemos cubierto algunas medidas, pero le recomendamos que lea nuestra guía extendida de endurecimiento de WordPress. Debido a que muchos de estos puntos son un poco técnicos, la guía detallada lo ayudará a comprenderlo mejor. Aquí hay algunas medidas de refuerzo para prevenir o reducir el daño causado por los ataques CSRF incluyen:
A. Use la autenticación de dos factores con dos factores agregue una capa de verificación de usuario adicional. Un usuario tendrá que ingresar los datos de inicio de sesión, después de lo cual se requerirá una segunda contraseña. Esta podría ser una contraseña única enviada a la dirección de correo electrónico registrada o al número de teléfono del usuario. También podría ser un número de autenticación generado por una aplicación como Google Authenticator. b. Bloquee su ejecución de PHP en archivos de confianza Si un ataque CSRF permite que un hacker obtenga acceso a los archivos de su sitio web, puede realizar funciones de PHP para realizar tareas maliciosas. (La función PHP es un bloque de código escrito en un programa). También puede deshabilitar las ejecuciones de PHP en lugares donde no tiene que suceder. c. Desactive el editor de archivos Si un hacker tiene acceso a su cuenta de administrador de WordPress, puede tomar el control total de su sitio web. En el tablero, puedo acceder al “editor” debajo de sus complementos o temas aquí, pueden editar o cargar sus propios scripts para mostrar su contenido, desfigurar su sitio, para enviar a sus usuarios, etc. d. Cambie las claves de seguridad que puede haber notado que no debe ingresar el inicio de sesión cada vez que desee acceder a la cuenta de WordPress. Ya está poblado en los campos designados. Para garantizar que esta información sea segura contra los piratas informáticos, WordPress utiliza claves de seguridad que encriptan y almacenan estos datos. Si un hacker ingresa a su sitio.
El uso de un ataque CSRF podría tener acceso a esta información. Luego puedo cambiarlo en otra cosa y puedo usarlo para continuar conectando a la cuenta de administrador de su sitio cuando quiera. Puede aplicar estas medidas de refuerzo manualmente como se explica en la guía que recomendé. O puede usar MalCare para implementarlos en solo unos pocos clics.
4. Elimine todos los temas y complementos no utilizados a medida que haya instalado más complementos y temas en su sitio, más oportunidades tienen para explotar a los piratas informáticos. Es mejor eliminar los complementos y temas no utilizados y mantener solo los que usa. Además, puede tomar otras medidas de seguridad, como mover su sitio de HTTP a HTTPS, instalar un enchufe de seguridad y proteger el inicio de sesión. [Realización de respaldo ↑] Pensamientos finales Los ataques CSRF tienen serias repercusiones tanto para el usuario como para el sitio. Si un hacker logra ejecutar sus scripts a través de la solicitud HTTP, puede hacerse cargo de su sitio web. Después de eso, no puedes decir lo que puedo hacer. Podrían eliminar su sitio web para mostrar su propia propaganda o para vender productos o drogas ilegales. También podría redirigir los visitantes de su sitio a sus propios sitios web. Estos sitios generalmente serán sitios para adultos, aquellos que venden productos ilegales o aquellos que engañan a los visitantes en la descarga de malware.
Como propietario del sitio web, debe tomar medidas para asegurarse de mantenerse a salvo contra estos ataques.Le recomendamos que mantenga activamente un complemento de seguridad, como Malcare, en su sitio de WordPress, porque le brindará una protección completa. Le recomendamos que implemente medidas para fortalecer los sitios web para que sea difícil ingresar a los piratas informáticos.
Finalmente, tome precauciones mientras usa complementos y temas.Instale temas y complementos de confianza de WordPress Warehouse o mercados como Thmephorest y Codecanyon.
Estamos seguros de que una vez que implementa estas medidas en su sitio web de WordPress, ¡estará a salvo contra los piratas informáticos!¡Proteja su sitio web de WordPress con Malcare!