{"id":262989,"date":"2022-12-27T15:25:00","date_gmt":"2022-12-27T12:25:00","guid":{"rendered":"https:\/\/inform.click\/como-verificar-si-su-sistema-de-wordpress-esta-protegido-contra-ataques-xss\/"},"modified":"2022-12-27T15:56:00","modified_gmt":"2022-12-27T12:56:00","slug":"como-verificar-si-su-sistema-de-wordpress-esta-protegido-contra-ataques-xss","status":"publish","type":"post","link":"https:\/\/inform.click\/es\/como-verificar-si-su-sistema-de-wordpress-esta-protegido-contra-ataques-xss\/","title":{"rendered":"C\u00f3mo verificar si su sistema de WordPress est\u00e1 protegido contra ataques XSS"},"content":{"rendered":"

\n En todo el mundo, casi el 48 por ciento de todos los sitios web son vulnerables a secuencias de comandos entre sitios (XSS). En todo el mundo, casi exactamente el 25 por ciento de todos los sitios web utilizan la plataforma WordPress.\n<\/p>\n

\n De ello se deduce que en el diagrama de Venn de sitios web que son vulnerables a XSS y sitios web que ejecutan la plataforma WordPress, la superposici\u00f3n debe ser bastante grande.\n<\/p>\n

\n Esto no es un golpe en la plataforma en s\u00ed. El equipo de WordPress ha hecho de la seguridad una parte integral de su declaraci\u00f3n de misi\u00f3n y parchea agresivamente las vulnerabilidades cada vez que se conocen. Sin embargo, esto no impide que las personas codifiquen temas inseguros o instalen complementos inseguros. Estos problemas son las dos principales v\u00edas de entrada para los ataques XSS en los sitios de WordPress, y este art\u00edculo analizar\u00e1 c\u00f3mo detenerlos.\n<\/p>\n

\n Introducci\u00f3n a las secuencias de comandos entre sitios
\n<\/h4>\n

\n Primero, analicemos c\u00f3mo se llevan a cabo los ataques XSS. Hay m\u00e1s de un tipo de ataque XSS, por lo que comenzar\u00e9 con una definici\u00f3n simplificada. En general, los ataques XSS comienzan con entradas no desinfectadas: formularios de comentarios, cuadros de comentarios, barras de b\u00fasqueda, etc. Estos ataques var\u00edan ampliamente en sofisticaci\u00f3n. En realidad, los usuarios de WordPress ven la forma m\u00e1s simple de ataque XSS todos los d\u00edas: el comentario de spam. Ya sabes de lo que hablo: \u00abGracias por el excelente art\u00edculo. Por cierto, aqu\u00ed est\u00e1 mi sitio donde gano $5,000 a la semana trabajando desde casa: www.only-an-idiot-would-click-this-link.co.uk\u00bb.\n<\/p>\n

\n De alguna manera, los comentarios de spam son el ejemplo perfecto de un ataque XSS. Una entidad maliciosa subvierte la infraestructura de su sitio (el cuadro de comentarios) para colocar su contenido (el enlace malicioso) en su sitio. Si bien este es un buen ejemplo ilustrativo, un ataque XSS m\u00e1s realista ser\u00e1 mucho m\u00e1s sutil. Un comentario de spam tarda unos cinco segundos en crearse. Un ataque XSS es algo en lo que un pirata inform\u00e1tico adecuado dedicar\u00e1 un poco m\u00e1s de tiempo.\n<\/p>\n

\n Un verdadero sombrero negro intentar\u00e1 aprovechar todos y cada uno de los aspectos de su sitio que env\u00edan datos al servidor, esencialmente us\u00e1ndolos como un editor de texto en miniatura. Si sus entradas no est\u00e1n protegidas, eso significa que literalmente pueden tomar su c\u00f3digo y obligar a su aplicaci\u00f3n a ejecutarlo y representarlo en el navegador de un usuario (y eso puede incluir su navegador). A diferencia de los comentarios de spam, solo un examen detallado del c\u00f3digo modificado de su sitio o un an\u00e1lisis de las interacciones del sitio web puede revelar una infracci\u00f3n. Como uno podr\u00eda imaginar, no hay fin a la cantidad de cosas desagradables que podr\u00edan resultar de tal incumplimiento.\n<\/p>\n

\n El vandalismo simple es un resultado relativamente com\u00fan de los ataques XSS, lo que hace que a sus usuarios se les muestren im\u00e1genes grotescas o propaganda pol\u00edtica en lugar de su contenido. Los especialistas en marketing con pocos planes a largo plazo o preocupaciones \u00e9ticas los utilizar\u00e1n para anunciarse a las personas en contra de su voluntad. Un ataque m\u00e1s matizado y sutil podr\u00eda robar las credenciales de inicio de sesi\u00f3n de sus usuarios. Si uno de ellos tiene privilegios de administrador, cualquier informaci\u00f3n personal que almacene en su sitio puede estar disponible. Alternativamente, podr\u00edan usar el ataque XSS inicial como palanca para abrir su sitio e instalar malware a\u00fan m\u00e1s avanzado.\n<\/p>\n

\n Detenci\u00f3n de ataques
\n<\/h4>\n

\n Si usted es un individuo razonablemente experto en programaci\u00f3n y es el \u00fanico propietario de un sitio de WordPress relativamente peque\u00f1o, entonces las pr\u00e1cticas de codificaci\u00f3n seguras probablemente ser\u00e1n la mejor manera de bloquear su sitio contra ataques de secuencias de comandos entre sitios. Incluyo esta advertencia porque si usted es parte de una organizaci\u00f3n m\u00e1s grande que ejecuta una aplicaci\u00f3n m\u00e1s compleja, es posible que no sea humanamente posible encontrar todas las \u00e1reas donde un atacante malintencionado podr\u00eda inyectar c\u00f3digo. Los sitios web modernos pueden tener una escala enorme, y es posible que le convenga contratar a un profesional experimentado y dedicar su tiempo a otras actividades para que su sitio web sea a\u00fan mejor para sus lectores.\n<\/p>\n

\n Otra advertencia es que si usted no es particularmente experto en programaci\u00f3n y tiene a alguien m\u00e1s que construye su sitio por usted, entonces no asuma que han usado pr\u00e1cticas de codificaci\u00f3n seguras. Se sabe que incluso los desarrolladores m\u00e1s experimentados dejan de lado la seguridad o cometen errores menores sin que alguien m\u00e1s verifique su trabajo. Es posible que otros desarrolladores simplemente no sepan lo que est\u00e1n haciendo en t\u00e9rminos de seguridad, y otros a\u00fan pasan por alto la seguridad para ahorrar tiempo para s\u00ed mismos (a pesar de la falta de profesionalismo cuando se trata de eso). En resumen, aseg\u00farese de contratar a un profesional aclamado que no tome atajos cuando se trata de desarrollar y proteger su sitio web.\n<\/p>\n

\n Una vez expresada esa preocupaci\u00f3n, una de las primeras y m\u00e1s sencillas cosas que puede hacer para evitar las secuencias de comandos entre sitios es validar los datos del usuario.\n<\/p>\n

\n Supongamos que tiene un formulario de registro en su sitio y ese formulario le pide al usuario que ingrese su nombre. En cambio, un usuario malintencionado podr\u00eda escribir algo como:\n<\/p>\n

\n<script>\n<![CDATA[\nCoughUpYourPreciousData();\n]]>\n<\/script><\/code><\/pre>\n
\n  Esto podr\u00eda, por ejemplo, hacer que la pr\u00f3xima persona que visite esa p\u00e1gina env\u00ede una copia de sus cookies a un atacante.\n<\/p>\n
\n  Puede ver que en este ejemplo, la cadena de c\u00f3digo anterior no se parece en nada al nombre de alguien. Su servidor no sabe esto, pero al usar algunos par\u00e1metros establecidos, puede ense\u00f1arlo. Por ejemplo, puede indicarle a ese campo que rechace caracteres especiales, como ,() y ; (no son particularmente necesarios en una secci\u00f3n de comentarios). Puede decirle a ese campo que el nombre de una persona probablemente no tenga n\u00fameros. Si est\u00e1 dispuesto a ser un poco draconiano, puede decirle a ese campo que rechace las entradas que tengan m\u00e1s de quince caracteres (o puede cambiar los valores como desee). Seguir estos pasos limitar\u00e1 dr\u00e1sticamente la cantidad de da\u00f1o que un atacante puede hacer con un campo en particular.\n<\/p>\n
\"\"<\/a><\/p>\n
\n  Incluso con la validaci\u00f3n de datos, puede haber formularios o campos en los que no pueda limitar de manera realista el tipo de caracteres que se utilizan, como en un formulario de contacto o un campo de comentarios. Lo que puede hacer es desinfectar los datos. Este proceso hace que sea imposible ejecutar HTML en un campo determinado, convirtiendo todo lo que podr\u00eda reconocerse como una pieza de c\u00f3digo ejecutable en caracteres no codificables. Como ejemplo, un hiperv\u00ednculo no aparecer\u00e1 donde de otro modo podr\u00eda haber uno.\n<\/p>\n
\n  Por \u00faltimo, hay casos en los que su sitio podr\u00eda terminar mostrando datos que no son seguros para los usuarios. Digamos que alguien escribe un comentario malicioso en una de sus p\u00e1ginas, que posteriormente es indexado por la funci\u00f3n de b\u00fasqueda de su sitio web. Cada vez que uno de sus usuarios realiza una b\u00fasqueda, ese c\u00f3digo malicioso se ejecuta cuando su navegador carga los resultados de la b\u00fasqueda. Esto se evita mediante el escape de datos, lo que garantiza que cuando su sitio entregue datos a un usuario, el \u00fanico c\u00f3digo que se ejecuta es el c\u00f3digo que desea ejecutar.\n<\/p>\n
\n  Para obtener m\u00e1s informaci\u00f3n sobre la validaci\u00f3n de datos, la desinfecci\u00f3n de datos y el escape de datos, el Codex de WordPress<\/a> tiene un excelente recurso. Explicar\u00e1 los conceptos anteriores en detalle y dar\u00e1 m\u00e1s ejemplos que se pueden aplicar universalmente.\n<\/p>\n
\n  Otros metodos
\n<\/h4>\n
\n  Las grandes empresas tienen sitios web m\u00e1s grandes; es un hecho. Tal vez miles de personas usen su sitio por d\u00eda. Tal vez en lugar de formularios y campos est\u00e1ndar, tambi\u00e9n hay animaciones, varios portales, partes escritas en Java, etc. Incluso si realiza un seguimiento de todo eso, tal vez haya un d\u00eda cero en una de sus aplicaciones y no tenga forma de defenderse.\n<\/p>\n
\n  En una situaci\u00f3n como esta, si tiene la influencia y el presupuesto para hacerlo, le recomiendo que invierta en un firewall de aplicaciones web (WAF). Un buen WAF tendr\u00e1 reglas de correlaci\u00f3n que identifiquen y bloqueen autom\u00e1ticamente las cadenas HTML que se asocian m\u00e1s com\u00fanmente con los ataques de inyecci\u00f3n de c\u00f3digo. Tambi\u00e9n pueden notificarle cuando las aplicaciones comienzan a exfiltrar datos cuando se supone que no deber\u00edan hacerlo o lo est\u00e1n haciendo en un volumen inusual, lo que ayuda a defenderse contra ataques de d\u00eda cero y otras amenazas avanzadas. Un WAF no es una bala de plata, pero es una herramienta invaluable para los profesionales de la seguridad y los propietarios de sitios web que esperan proteger aplicaciones complejas.\n<\/p>\n
\n  Tambi\u00e9n hay una serie de complementos que pretenden defenderse de los ataques XSS. En realidad no recomiendo estos. En lugar de reducir el riesgo, muchos de estos complementos representan solo otra superficie de ataque para que un hacker explote. Incluso uno de los complementos de seguridad m\u00e1s conocidos y utilizados, Akismet, result\u00f3 ser vulnerable a los ataques XSS<\/a> el a\u00f1o pasado. Cuando se trata de desviar ataques XSS, no conf\u00ede en las medias tintas. Desarrolle las habilidades necesarias y utilice el conjunto adecuado de herramientas para mantener su sitio web seguro.\n<\/p>\n
\n  Otras aplicaciones pr\u00e1cticas
\n<\/h4>\n
\n  Esta informaci\u00f3n puede ser un poco compleja para los no iniciados, pero odiar\u00eda que la gente se desanime por las posibles complejidades de esta informaci\u00f3n. En caso de que ocurra un ataque XSS, puede estar seguro de que limpiar las consecuencias de tal evento ser\u00e1 mucho m\u00e1s complejo que hacer los cambios en su sitio web. Limpiar los costos de reputaci\u00f3n de su sitio web (los lectores habituales abandonar\u00e1n su sitio web con bastante facilidad) ser\u00e1 un problema adicional del que no querr\u00e1 tener que preocuparse.\n<\/p>\n
\n  Incluso si est\u00e1 contratando a otra persona para que maneje el desarrollo y la seguridad de su sitio web por usted, haga lo que pueda para al menos poder responder a una emergencia y saber d\u00f3nde est\u00e1n sus puntos d\u00e9biles. Saber c\u00f3mo verificar su sistema ser\u00e1 una habilidad vital a largo plazo y ser\u00e1 la base para otros temas de seguridad y proyectos de desarrollo de sitios web. Todo est\u00e1 interconectado en l\u00ednea y, si bien los ataques XSS pueden ser cosa de los \u00faltimos a\u00f1os en el futuro (aunque esto sea poco probable), conocer los entresijos de su sitio web nunca estar\u00e1 desactualizado.\n<\/p>\n
\n  Pensamientos finales
\n<\/h4>\n
\n  El panorama de la seguridad en Internet cambia constantemente. Nunca puede estar completamente seguro de c\u00f3mo podr\u00eda aparecer un ataque XSS o c\u00f3mo podr\u00eda utilizarse en su contra, pero se lo debe a usted mismo y a sus lectores para asegurarse de que est\u00e1 haciendo todo lo que est\u00e1 a su alcance para detenerlos. Mant\u00e9ngase informado sobre esta amenaza y verifique regularmente (recomendar\u00eda al menos una vez al mes) cualquier desarrollo relevante en el mundo de la seguridad cibern\u00e9tica.\n<\/p>\n
\n  Esto tampoco significa que pueda ignorar otras amenazas. El acceso a la red p\u00fablica a\u00fan requiere el uso de VPN para estar seguro. No puede descuidar la seguridad de cualquier computadora que use para acceder a su sitio web. La informaci\u00f3n de inicio de sesi\u00f3n a\u00fan debe cambiarse con frecuencia y estar a salvo de ataques de fuerza bruta. Los ataques XSS son brutales, pero no son la \u00fanica amenaza a tener en cuenta.\n<\/p>\n
\n  Tambi\u00e9n puede ser conveniente que comparta esta informaci\u00f3n (o incluso este art\u00edculo) con sus pares y partes interesadas para difundir la resistencia contra este tipo de ataques. Si bien es posible que no pueda hacer demasiado por s\u00ed mismo, si suficientes personas se protegen adecuadamente, es posible que veamos una disminuci\u00f3n general en este tipo de ataques a medida que los piratas inform\u00e1ticos intentan descubrir una forma diferente de sacar provecho de los usuarios de Internet pobres.\n<\/p>\n
\n  \u00bfTiene alguna idea sobre c\u00f3mo verificar los ataques XSS y c\u00f3mo defenderse de ellos en el futuro? \u00bfHay alguna otra estrategia de detecci\u00f3n y eliminaci\u00f3n que utilice usted mismo para luchar contra esta amenaza? \u00bfHay alguna herramienta que recomendar\u00eda a sus compa\u00f1eros lectores? Si es as\u00ed, deje un comentario a continuaci\u00f3n y contin\u00fae esta importante conversaci\u00f3n con sus compa\u00f1eros lectores.\n<\/p>\n<\/p>\n
\n  Fuente de grabaci\u00f3n: instantshift.com<\/a>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
En todo el mundo, casi el 48 por ciento de todos los sitios web son vulnerables a secuencias de comandos entre sitios (XSS). En todo el mundo, casi exactamente el 25 por ciento de todos los sitios web utilizan la plataforma WordPress. De ello se deduce que en el diagrama de Venn de sitios web que son vulnerables a XSS y sitios web que ejecutan la plataforma WordPress, la superposici\u00f3n debe ser bastante grande. Esto no es un golpe en la plataforma en s\u00ed. El equipo de WordPress ha hecho de la seguridad una parte integral de su declaraci\u00f3n de misi\u00f3n y parchea agresivamente las vulnerabilidades cada vez que se conocen. Sin embargo, esto no impide que las personas codifiquen temas inseguros o instalen complementos inseguros. Estos problemas son las dos entradas principales…<\/p>\n","protected":false},"author":1,"featured_media":222525,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[112,60],"tags":[],"class_list":["post-262989","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad-web","category-web-y-wordpress"],"_links":{"self":[{"href":"https:\/\/inform.click\/es\/wp-json\/wp\/v2\/posts\/262989","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/inform.click\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/inform.click\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/inform.click\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/inform.click\/es\/wp-json\/wp\/v2\/comments?post=262989"}],"version-history":[{"count":0,"href":"https:\/\/inform.click\/es\/wp-json\/wp\/v2\/posts\/262989\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/inform.click\/es\/wp-json\/wp\/v2\/media\/222525"}],"wp:attachment":[{"href":"https:\/\/inform.click\/es\/wp-json\/wp\/v2\/media?parent=262989"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/inform.click\/es\/wp-json\/wp\/v2\/categories?post=262989"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/inform.click\/es\/wp-json\/wp\/v2\/tags?post=262989"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}