Las 5 principales lagunas de seguridad en las instalaciones de WordPress

Su instalación de WordPress puede ser tan segura o insegura como desee. Aprenda cuáles son las cinco cosas más importantes cuando se trata de seguridad.


Las preocupaciones y quejas sobre la seguridad de WordPress no son nada nuevo.

Si necesita un CMS y consulta a un proveedor de servicios que no está en WordPress, la seguridad es la desventaja número uno sobre la que escuchará. ¿Eso significa que todos deberían soltar WordPress y cambiar a generadores de sitios estáticos o un CMS sin cabeza??

No, porque al igual que todas las verdades en la vida, esta también tiene muchos lados.

¿WordPress es altamente inseguro??

Echemos un vistazo a algunos sitios web enormes que se crearon en WordPress:

  • TechCrunch
  • El neoyorquino
  • BBC America
  • Bloomberg
  • MTV News
  • Blog de PlayStation

Entonces, ¿qué hace que estas compañías, con bolsillos absurdamente profundos y una fuerza laboral alucinante, no cambien de WordPress? Si cree que la respuesta es un código heredado, piense de nuevo: para estos nombres, la seguridad de los datos y la imagen pública son infinitamente más importantes que una simple migración que costará (estoy estimando) menos de $ 200,000.

Seguramente sus ingenieros saben lo que están haciendo y no ven problemas de seguridad fundamentales e irresolubles con WordPress?

Incluso tengo la suerte de administrar una instalación de WordPress que recibe de 3.5 a 4 millones de visitantes al mes. ¿El número total de violaciones de seguridad en los últimos ocho años? Cero!

Entonces . . . es seguro WordPress?

Lo siento si parece que se trata de curricán, pero aquí está mi respuesta:

Lo digo porque, como toda verdad en la vida, es complicado. Para llegar a una respuesta legítima, primero debemos entender que WordPress (o cualquier CMS preconstruido, para el caso) no es como un armario que te pegas en algún lugar de forma permanente y listo..

Es un software complejo con muchas dependencias:

  • PHP, que es el lenguaje con el que está construido
  • Una máquina públicamente visible que aloja la instalación.
  • El servidor web utilizado para manejar visitantes (Apache, Nginx, etc.)
  • La base de datos utilizada (MySQL / MariaDB)
  • Temas (paquetes de archivos PHP, CS y JS)
  • Complementos (paquetes de archivos PHP, CS y JS)
  • Y muchos más, dependiendo de cuánto cumpla tu instalación

En otras palabras, una violación de seguridad en cualquiera de estas costuras se denominará una violación de WordPress.

Si la contraseña de root del servidor era admin123 y se vio comprometida, ¿es una falla de seguridad de WordPress??

Si la versión PHP tenía una vulnerabilidad de seguridad; o si el nuevo complemento que compró e instaló contenía un claro agujero de seguridad; y así. Para resumir: un subsistema falla y es una falla de seguridad de WordPress.

Además, no permita que esto le dé la impresión de que PHP, MySQL y Apache no son seguros. Cada pieza de software tiene vulnerabilidades, cuyo conteo es asombroso en el caso del código abierto (porque está disponible para que todos lo vean y analicen).

¿Alguien dijo “seguro”? ��

Para la fuente de estos datos y otras estadísticas desmoralizadoras, mira esto.

Lo que aprendemos de todo este ejercicio es esto:

Nada es seguro o inseguro por sí solo. Son los diferentes componentes utilizados los que forman los eslabones de la cadena, la cadena, por supuesto, es tan fuerte como la más débil de ellas. Históricamente, la etiqueta de “no seguro” de WordPress era una combinación de versiones antiguas de PHP, alojamiento compartido y agregar complementos / temas de fuentes no confiables.

Al mismo tiempo, algunos descuidos bastante comunes hacen que su instalación de WordPress sea vulnerable a aquellos que saben cómo explotarlos y están decididos. Y de eso se trata esta publicación. Entonces, sin más preámbulos (y argumentos circulares), comencemos.

Las principales lagunas de WordPress que los hackers pueden explotar

El prefijo de la tabla de WordPress

La famosa instalación de 5 minutos es lo mejor que le puede pasar a WordPress, pero como todos los asistentes de instalación, nos hace perezosos y deja las cosas por defecto.

Esto significa que el prefijo predeterminado para sus tablas de WordPress es wp_, lo que da como resultado nombres de tablas que cualquiera puede adivinar:

  • usuarios de wp
  • wp-options
  • wp-posts

Ahora, considere un ataque conocido como Inyección SQL, donde las consultas maliciosas de bases de datos se insertan inteligentemente y se ejecutan dentro de WordPress (tenga en cuenta que esto no es un ataque exclusivo de WordPress / PHP).

Si bien WordPress tiene mecanismos integrados para manejar este tipo de ataques, nadie puede garantizar que no suceda.

Entonces, si de alguna manera, el atacante logra ejecutar una consulta como DROP TABLE wp_users; DROP TABLE wp_posts ;, todas sus cuentas, perfiles y publicaciones se borrarán en un instante sin posibilidad de recuperación (a menos que tenga un esquema de copia de seguridad, pero incluso entonces, seguramente perderá datos desde la última copia de seguridad ).

Simplemente cambiar el prefijo durante la instalación es un gran problema (que requiere esfuerzo cero).

Se recomienda algo aleatorio como sdg21g34_ porque no tiene sentido y es difícil de adivinar (cuanto más largo sea el prefijo, mejor). La mejor parte es que este prefijo no necesita ser memorable; el prefijo es algo que WordPress guardará, y nunca más tendrás que preocuparte por eso (¡igual que no te preocupes por el prefijo wp_ predeterminado!).

La URL de inicio de sesión predeterminada

¿Cómo sabes que un sitio web se está ejecutando en WordPress? Una de las señales reveladoras es que ve la página de inicio de sesión de WordPress cuando agrega “/wp-login.php” a la dirección del sitio web.

Como ejemplo, tomemos mi sitio web (http://ankushthakur.com). ¿Está en WordPress? Bueno, adelante y agregue la parte de inicio de sesión. Si te sientes demasiado vago, esto es lo que sucede:

¯ \ _ (ツ) _ / ¯

WordPress, a la derecha?

Una vez que se sabe todo esto, el atacante puede frotarse las manos con alegría y comenzar a aplicar trucos desagradables de su Bag-O’-Doom en orden alfabético. Pobre de mí!

La solución es cambiar la URL de inicio de sesión predeterminada y darla solo a aquellas personas de confianza.

Por ejemplo, este sitio web también está en WordPress, pero si visita http://geekflare.com/wp-login.php, todo lo que obtendrá será una profunda decepción. La URL de inicio de sesión está oculta y solo la conocen los administradores. ?.

Cambiar la URL de inicio de sesión tampoco es ciencia espacial. Solo agarra esto enchufar.

Felicidades, acaba de agregar otra capa de seguridad frustrante contra los ataques de fuerza bruta.

La versión de PHP y servidor web

Ya hemos discutido que cada pieza de software que se haya escrito (y se esté escribiendo) está llena de errores que esperan ser explotados.

Lo mismo vale para PHP.

Incluso si está utilizando la última versión de PHP, no puede estar seguro de qué vulnerabilidades existen y podrían descubrirse de la noche a la mañana. La solución es ocultar un encabezado particular enviado por su servidor web (¿nunca ha oído hablar de los encabezados? Leer esta!) cuando un navegador se conecta con él: x-powered-by.

Así es como se ve si verifica las herramientas de desarrollo de su navegador favorito:

Como podemos ver aquí, el sitio web nos dice que se está ejecutando en Apache 2.4 y está usando PHP versión 5.4.16.

Ahora, esa es una tonelada de información que estamos transmitiendo sin ninguna razón, ayudando al atacante a reducir su elección de herramientas.

Estos (y similares) encabezados deben estar ocultos.

Afortunadamente, se puede hacer rápidamente; desafortunadamente, se necesitan conocimientos técnicos sofisticados, ya que deberá sumergirse en las entrañas del sistema y meterse con archivos importantes. Por lo tanto, mi consejo es pedirle a su proveedor de alojamiento web que haga esto por usted; si no ven si un consultor puede hacerlo, aunque esto dependerá en gran medida del host de su sitio web si su configuración tiene esas posibilidades o no.

Si no funciona, podría ser el momento de cambiar de proveedor de hosting o pasar a un VPS y contratar a un consultor por cuestiones de seguridad y administración..

¿Vale la pena? Solo tú puedes decidir eso. ��

Ah, y si quieres ponerte nervioso con los encabezados de seguridad, aquí tienes tu solución!

Número de intentos de inicio de sesión

Uno de los trucos más antiguos del manual del hacker es el llamado Ataque de diccionario.

La idea es que pruebe una cantidad ridículamente grande (millones, si es posible) de combinaciones para una contraseña a menos que una de ellas tenga éxito. Dado que las computadoras son extremadamente rápidas en lo que hacen, un esquema tan tonto es sensato y puede producir resultados en un tiempo razonable.

Una defensa común (y extremadamente efectiva) ha sido agregar un retraso antes de mostrar el error. Esto hace que el destinatario espere, lo que significa que si se trata de un script empleado por un pirata informático, tardará demasiado en terminar. Esa es la razón por la cual su computadora o aplicación favorita rebota un poco y luego dice: “¡Vaya, la contraseña incorrecta!”.

De todos modos, el punto es que debes limitar el número de intentos de inicio de sesión para tu sitio de WordPress.

Más allá de un número establecido de intentos (digamos, cinco), la cuenta debe bloquearse y debe ser recuperable solo a través del correo electrónico del titular de la cuenta.

Afortunadamente, hacer esto es pan comido si te encuentras con un buen enchufar.

HTTP vs. HTTPS

El certificado SSL que su proveedor le ha estado molestando es más importante de lo que podría pensar.

No es simplemente una herramienta de reputación para mostrar un icono de candado verde en el navegador que dice “Seguro”; más bien, instalar un certificado SSL y obligar a todas las URL a trabajar en “https” es suficiente para que su sitio web pase de ser un libro abierto a un desplazamiento críptico.

Si no comprende cómo sucede esto, lea sobre algo conocido como ataque de hombre en el medio.

Otra forma de interceptar el tráfico que fluye desde su computadora al servidor es el rastreo de paquetes, que es una forma pasiva de recopilación de datos y ni siquiera necesita esforzarse para posicionarse en el medio.

Para los sitios que se ejecutan sobre “HTTP” simple, la persona que intercepta el tráfico de la red, sus contraseñas y números de tarjetas de crédito aparecen en texto claro y simple.

Fuente: comparitech.com

¿De miedo? Muy!

Pero una vez que instale un certificado SSL y todas las URL se conviertan a “https”, esta información confidencial se muestra como una tontería que solo el servidor puede descifrar. En otras palabras, no se preocupe por esos pocos dólares al año. ��

Conclusión

Obtendrá estas cinco cosas bajo control, asegure su sitio web muy bien?

No, en absoluto. Como dicen innumerables artículos de seguridad, nunca estás 100% seguro, pero es posible eliminar una gran clase de estos problemas con un esfuerzo razonable. Puede considerar usar SUCURI cloud WAF para proteger sus sitios de manera integral.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map