Guía para no expertos en tecnología sobre las amenazas de seguridad más comunes

Índice
  1. La seguridad empieza cerca de casa
  2. Guía para no expertos en tecnología sobre las amenazas de seguridad más comunes
    1. 1. Ataques de inyección
    2. 2. Ataques de secuencias de comandos entre sitios (XSS)
    3. 3. Ataques de falsificación de solicitudes entre sitios (CSRF)
  3. Cómo mantenerse a salvo en general
  4. Conclusión

La seguridad es un tema de debate constante para los propietarios de sitios de WordPress de todos los niveles de experiencia técnica, pero puede ser un área especialmente difícil de comprender para los novatos. Si bien los expertos en seguridad conocen a la perfección las diferencias entre los vectores de ataque más comunes, a menudo puede parecer poco más que un mar desconcertante de amenazas difíciles de comprender para el ciudadano medio.

En este artículo, intentaremos llenar algunos de esos vacíos de conocimiento desglosando brevemente en qué consisten realmente algunas de las amenazas más comunes. En lugar de cegarlo con acrónimos y documentos técnicos, nos concentraremos en transmitirle los conceptos básicos en términos sencillos y también presentaremos algunos pasos simples que puede seguir para mantenerse seguro como propietario de un sitio.

Sin embargo, antes de empezar a analizar los detalles, recordemos brevemente dónde se encuentra generalmente la mayor amenaza a la seguridad de su sitio.

La seguridad empieza cerca de casa

Aunque los sistemas de seguridad técnica son cada día más sofisticados, vale la pena recordar que las principales debilidades de cualquier sistema residen en las personas que realmente lo ejecutan.

Antes de involucrarse demasiado en la búsqueda de fallas de seguridad a nivel de software, asegúrese de que ya tiene un control estricto en términos de acceso general al sitio y procedimientos dentro de su propio equipo. Debe asegurarse de que la gestión de contraseñas esté implementada y de que los roles y las responsabilidades estén claros, en particular cuando se trata de quién tiene realmente los derechos para instalar software como temas o complementos.

Por último, también querrá asegurarse de haber revisado cuidadosamente elPautas de seguridad estándar de WordPress, elLibro blanco sobre seguridad de WordPress, y que al menos hayas leído un poco sobre elAntecedentes históricos sobre la seguridad de WordPressen general.

Guía para no expertos en tecnología sobre las amenazas de seguridad más comunes

Dejando de lado esas advertencias introductorias, pasemos a analizar algunas de las amenazas de seguridad más comunes que afectan a la plataforma. Usaremos elProyecto de seguridad de aplicaciones web abiertas (OWASP)lista deLas diez principales amenazas a la seguridad de las aplicacionescomo punto de referencia general y destacando tres áreas en particular.

¡Manos a la obra!

1. Ataques de inyección

Como el propio OWASPDefinición de ataques de inyecciónComo muestra, estamos tratando con un campo potencialmente amplio: “Las fallas de inyección permiten a los atacantes transmitir código malicioso a través de una aplicación a otro sistema”. El escenario clásico, como se enfatiza en el excelente artículo de Padraic BradyGuía de seguridad de PHP, tiende a ser alguna forma deInyección SQLdonde un atacante busca comprometer su base de datos directamente.

Como lo demuestra el reciente artículo de WordFenceDesglose de las inyecciones SQLmuestra que ambos son increíblemente comunes y relativamente fáciles de configurar para un atacante. Ni siquiera tiene que haber una intención maliciosa en juego, simplementeNo se pueden escapar las consultas SQLEn tu tema o complemento basta con dejar la puerta abierta. Incluso los complementos de seguridadSe han visto afectadosA lo largo de los años, junto con otrosproveedores de alto perfil.

2. Ataques de secuencias de comandos entre sitios (XSS)

Aunque técnicamente es un tipo de ataque de inyección en sí mismo,Ataques de secuencias de comandos entre sitios (XSS)Vale la pena considerarlos de forma aislada. En comparación con nuestro ejemplo anterior de inyección SQL, aquí la dirección del ataque es básicamente la inversa.Padraic Brady resume la situaciónEn pocas palabras: “XSS ocurre cuando un atacante es capaz de inyectar un script, a menudo Javascript, en la salida de una aplicación web de tal manera que se ejecuta en el navegador del cliente”.

Entonces, en lugar de intentar cargar algo sospechoso en el sitio, el sitio en sí está intentando entregar algo que sea capaz de secuestrar su entrada.WordFence analiza en profundidad el temaLos ataques XSS son increíblemente fáciles de configurar para los delincuentes y, por lejos, la falla de seguridad más común descubierta en la mayoría de los complementos. También son un problema que ha surgidovarias vecescon el núcleo de WordPress.

3. Ataques de falsificación de solicitudes entre sitios (CSRF)

Las diferencias entre XSS y los ataques de falsificación de solicitud entre sitios (CSRF) pueden ser…Un poco resbaladizo, pero la forma más sencilla de pensar en ellos es la siguiente: XSS trata de intentar robar tus credenciales y CSRF trata de intentar usarlas. Normalmente, un ataque CSRF intentará que hagas algo no deseado en un sitio en el que ya estás autenticado. Aunque WordPress usanocesPara mitigar estos ataques, todavía han aparecido envarios complementosy elnúcleo de la plataformaen sí misma a lo largo de los años.

Cómo mantenerse a salvo en general

Como muestran los tres ejemplos anteriores, la carga de reducir este tipo de ataques recae en gran medida en que los desarrolladores sean más rigurosos con su código y gestionen con más cuidado aspectos como el escape de la entrada del usuario y el uso de tokens de seguridad. Sin embargo, hay una serie de medidas sencillas de sentido común que usted, como propietario de un sitio, puede adoptar para hacer su parte también:

  1. Ejecute siempre la última versión del núcleo de WordPress, junto con versiones actualizadas de sus complementos y temas.
  2. Marque los conceptos básicos en términos deendurecimiento de WordPress, y verifique su sitio usando elProyecto de escaneo de vulnerabilidades de WordPress de OWASPSi es posible.
  3. Utilice complementos comoSeguridad Sucuripara bloquear su sitio.
  4. Manténgase actualizado sobre el panorama más amplio de amenazas de seguridad siguiendo lasSucuriyValla de palabrasblogs, junto con elTema aquí en Torque.

Estos cuatro pasos no garantizarán que usted no sea víctima del tipo de amenazas que analizamos anteriormente, pero lo colocarán sustancialmente por delante de los esfuerzos de la mayoría de los propietarios de sitios.

Conclusión

La seguridad de los sitios es un tema potencialmente amplio, y la variedad de acrónimos y conocimientos especializados que se emplean para analizarlo pueden resultar desagradables para los propietarios de sitios que no tienen conocimientos técnicos. Nuestra breve guía sobre tres de las áreas de ataque más comunes que surgen en la red debería haber hecho que fuera un poco más fácil pensar en cómo abordarlas.

Recapitulemos las tres áreas principales que hemos cubierto:

  1. Ataques de inyección:Una clase de ataque potencialmente amplia, donde los intentos de comprometer su base de datos en forma de inyección SQL son la mayor preocupación.
  2. Ataques de secuencias de comandos entre sitios (XSS):Por lo general, toman la forma de cargas útiles de JavaScript que buscan acceder a sus datos personales.
  3. Ataques de falsificación de solicitud entre sitios (CSRF):Estos ocurren cuando los malos intentan engañarte para que tomes decisiones equivocadas en sitios en los que ya estás autenticado.

Como propietario de un sitio, su mejor defensa contra este tipo de ataques consiste en elegir un socio de alojamiento fiable y mantener actualizados periódicamente todos los componentes de su pila de WordPress. ¿Tiene algún problema de seguridad en sus propios sitios? Póngase en contacto con nosotros a través de la sección de comentarios a continuación y háganoslo saber.

Crédito de la imagen:Dejar de salpicar.

SUSCRÍBETE A NUESTRO BOLETÍN 
No te pierdas de nuestro contenido ni de ninguna de nuestras guías para que puedas avanzar en los juegos que más te gustan.
Al suscribirte, aceptas nuestra política de privacidad y nuestros términos de servicio.

Tal vez te puede interesar:

  1. 4 nuevas y emocionantes rutas de ingresos que abre la API REST
  2. JavaScript: ¿Es profundo el objetivo correcto?
  3. Blogging estratégico: el mejor momento para publicar y compartir contenidos
  4. Cómo promocionar contenido de blog antiguo y poco valorado

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir

Este sitio web utiliza cookies para mejorar tu experiencia mientras navegas por él. Este sitio web utiliza cookies para mejorar tu experiencia de usuario. Al continuar navegando, aceptas su uso. Mas informacion