Seguridad O-W-A-S-P- y WordPress

Posted on by admin

Mejore la seguridad de su sitio web con las cabeceras de seguridad HTTP

Un plugin antispam de WordPress con más de 60.000 instalaciones ha parcheado una vulnerabilidad de inyección de objetos PHP que surgió a raíz de una desinfección inadecuada de las entradas, permitiendo posteriormente entradas de usuario codificadas en base64.

“El plugin pasa entradas de usuario codificadas en base64 a la función unserialize() de PHP cuando se utilizan CAPTCHA como segundo desafío, lo que podría llevar a la inyección de Objetos PHP si un plugin instalado en el blog tiene una cadena de gadgets adecuada…”

La organización sin ánimo de lucro Open Web Application Security Project (OWASP) describe el impacto potencial de este tipo de vulnerabilidades como grave, lo que puede o no ser el caso específico de esta vulnerabilidad.

Endurecimiento de wordpress

“La seguridad afecta a todos por igual. No hay un tema, un objetivo o un público específico cuando se trata de la seguridad de los sitios web”, dijo Victor Santoyo, Senior Account Executive de Sucuri Security. Account Executive de Sucuri Security, durante su sesión “Security lessons learned from 2021” en WordCamp Europe 2022.

Los ciberataques hacen perder tiempo, energía y dinero. Y también pueden amenazar su autoridad y reputación, especialmente si los visitantes de su sitio se ven afectados por los ataques. Aunque es imposible cuantificar el número de amenazas cotidianas a las que puede enfrentarse su sitio, es esencial reconocer y comprender los problemas específicos de WordPress en caso de que sea víctima de uno de ellos.

  Sorteo de temas WordPress de regalo de Template Monster

Una ventaja de utilizar una plataforma de creación de sitios web en lugar de construir un sitio desde cero es que los desarrolladores mejorarán continuamente la funcionalidad y la seguridad de la plataforma para ofrecer una experiencia de usuario perfecta.

Los desarrolladores de WordPress lanzan actualizaciones cada tres meses aproximadamente. Se recomienda encarecidamente a todos los usuarios de WordPress que descarguen estas actualizaciones cuando estén disponibles, ya sea manualmente o activando las actualizaciones automáticas. Cada una de estas actualizaciones suele incluir mejoras, correcciones de errores y correcciones de vulnerabilidades de seguridad más críticas. Por lo tanto, actualizar los archivos principales puede ayudar a mejorar la funcionalidad, el rendimiento y la compatibilidad del sitio, además de la seguridad.

Los 7 problemas de seguridad y vulnerabilidades más comunes de WordPress

>WAF i.e. Web Application Firewall le protege contra ataques de todo tipo. Monitoriza y rastrea continuamente todas las peticiones entrantes. Proporciona seguridad para todos los Owasp Top 10 problemas para un sitio web como SQL Injection, Cross-site Scripting y otros. Además, la limitación de velocidad evitará cualquier ataque de denegación de servicio. Para el bloqueo en tiempo real, te protegerá de prácticamente cualquier IP maliciosa.

  Versión final de Artisteer aplazada pero lista para descarga

En las aplicaciones web, los datos se transmiten entre el cliente y el servidor en forma de páginas HTML a través del protocolo HTTP. Existen vulnerabilidades del lado del cliente y del lado del servidor que conducen a un ataque a una aplicación web.

Un estudio reciente indica que cada 39 segundos se produce un ataque informático en Internet. Con más del 40% de estos ataques dirigidos a pequeñas y medianas empresas. Los piratas informáticos y otros actores maliciosos siempre están buscando vulnerabilidades que puedan ser explotadas en un sitio web.

El sitio web de su empresa puede ser vulnerable debido a pequeños descuidos, como omitir el saneamiento y las verificaciones de los campos de entrada, o la presencia de formularios vulnerables. Esto permitiría a los piratas informáticos ejecutar secuencias de comandos, consultas a bases de datos o incluso insertar archivos maliciosos en el sistema.

Serie OWASP: XSS a través de un plugin WP obsoleto

Las configuraciones por defecto y los errores de seguridad se encuentran comúnmente en el software instalado y en las aplicaciones. Una configuración por defecto se refiere a la configuración estándar que viene con una aplicación. Utilizar el nombre de usuario y/o contraseña por defecto que viene con una aplicación es un ejemplo de configuración por defecto. Una configuración errónea se refiere a establecer las opciones de configuración de una aplicación en el valor incorrecto. Las configuraciones por defecto y las configuraciones erróneas pueden dejar una aplicación vulnerable a los atacantes y exponer información sensible a personas no autorizadas.

  WordPress en ASCII

rationale: “Es posible que se descubran nuevas vulnerabilidades en WordPress. Es importante actualizar a la última versión de WordPress para evitar que se exploten las vulnerabilidades descubiertas en versiones antiguas.”

justificación: “Cuando WP_DEBUG está activado, se muestra información detallada sobre errores en las páginas del sitio web. Esto puede contener información sobre errores, funciones obsoletas y código vulnerable que puede ser explotado por actores maliciosos.”

Relacionados

Blog del lector: Reaplicante
Guía Role Manager
WordPress para iPhone 2-2
Desarrollos a medida: El verdadero efecto lockin
Menciones de usuario en bbPress
Barras laterales Dinámicas
Actualizaciones de Google+ en WordPress
Solución para algunos problemas de WP 2-7
Consumo de las familias se redujo en -1,5%: INEI
Que revisar si hackean tu WordPress
WordPress-org en mantenimiento
Tutoriales Ajax Javascript Symfony CSS y XHTML gratis
Mascota para WordPress
Quitar campos del perfil de usuario
En defensa de Jetpack
Desarrollador experto en WordPress (oferta de trabajo)
Tiempo de lectura de una entrada en WordPress
SEO en WordPress – eBook gratuito
Automattic se mete en el mercado de los diarios locales
Avisa a los colaboradores de tu WordPress cuando sus artículos se publiquen