Usando OWASP Top 10 para mejorar la seguridad de WordPress
Publicado: 2018-08-23La seguridad de WordPress puede ser un tema intimidante para aquellos que son nuevos en WordPress y para tener un sitio web. Sin embargo, con el cumplimiento y los estándares como la lista OWASP Top 10, las empresas pueden comenzar fácilmente con la seguridad de WordPress.
Este artículo explica qué es la lista OWASP Top 10. También explica cómo los administradores de sitios de WordPress pueden tener un sitio web de WordPress compatible con Owasp Top 10 .
¿Qué es la lista OWASP Top 10?
El OWASP Top 10 es una lista de los 10 riesgos de seguridad de aplicaciones web más críticos. Como tal, no es un estándar de cumplimiento per se, pero muchas organizaciones lo utilizan como guía. La organización Open Web Application Security Project (OWASP) publicó la primera lista en 2003. Ahora publican una lista actualizada cada tres años.
¿Cuáles son las 10 principales vulnerabilidades y riesgos de seguridad de OWASP?
OWASP publicó la lista OWASP Top 10 más reciente en 2017. A continuación se incluye la lista de riesgos de seguridad:
A1: inyección
A2: Autenticación rota
A3: Exposición de datos confidenciales
A4: Entidades Externas XML
A5: control de acceso roto
A6: Configuración incorrecta de seguridad
A7: Secuencias de comandos entre sitios (XSS)
A8: Deserialización insegura
A9: Uso de componentes con vulnerabilidades conocidas
A10: Registro y monitoreo insuficientes
Aplicando OWASP Top 10 Security en tu WordPress
Esta sección explica lo que debe hacer para asegurarse de que su sitio web de WordPress no sea vulnerable a ninguna de las 10 principales vulnerabilidades y fallas de seguridad de OWASP.
Direccionamiento A1: Inyección en WordPress
SQL Injection es una vulnerabilidad de aplicación técnica que generalmente es causada por la falta de saneamiento de la entrada del usuario. Al explotarlo, los piratas informáticos maliciosos pueden obtener acceso a los datos en la base de datos de WordPress.
El equipo central de WordPress generalmente corrige las vulnerabilidades de inyección en unos pocos días. Lo mismo se aplica a la mayoría de los desarrolladores de complementos de WordPress. Por eso es importante usar siempre complementos bien mantenidos que sean desarrollados por desarrolladores receptivos.
La única forma en que puede asegurarse de que su núcleo, complementos y temas de WordPress no sean vulnerables a este tipo de vulnerabilidad es manteniendo todo su software actualizado. Instale siempre todos los parches de seguridad que publican los desarrolladores.
Dirigiéndose a A2: Autenticación rota en WordPress
Este tipo de fallas de seguridad también son vulnerabilidades técnicas. Estas vulnerabilidades son el resultado de un diseño roto de la aplicación web, falta de planificación. Los atacantes pueden explotar problemas de autenticación rotos para acceder a datos confidenciales.
Solo los desarrolladores pueden abordar estos problemas. Siempre que use la última versión del núcleo y los complementos de WordPress, su sitio web no será propenso a tales vulnerabilidades. Por supuesto, suponiendo que siempre use complementos bien mantenidos.
Sin embargo, dado que estamos hablando de autenticación, vale la pena recordarle que implemente la autenticación de dos factores en su sitio web de WordPress . Si no está seguro de qué complemento usar, aquí hay una lista de algunos de los mejores complementos de WordPress de autenticación de dos factores .
Abordar A3: exposición de datos confidenciales en WordPress
La exposición de datos confidenciales se ha convertido en un gran problema. Las violaciones de datos aparecen casi a diario en las noticias de seguridad web. De hecho, el RGPD y otros requisitos de cumplimiento normativo están haciendo un gran énfasis en la necesidad de manejar y almacenar adecuadamente los datos personales y confidenciales.
De acuerdo con GDPR, los datos personales y sensibles son cualquier dato relacionado con un usuario identificable. Podría ser el nombre de sus clientes, sus detalles de facturación y los datos del titular de la tarjeta en el caso de un sitio web de comercio electrónico. En el caso de los servicios financieros, también podrían ser los detalles de la cuenta bancaria, o en el caso de la atención médica, podría ser su historial médico. Tenga en cuenta que aunque una dirección IP puede clasificarse como información confidencial, aún puede mantener un registro de actividad de WordPress , lo que le permite realizar un seguimiento de todo lo que sucede en sus sitios web.
Para asegurarse de que su sitio web de WordPress sea compatible , si almacena datos confidenciales en su sitio web de WordPress, asegúrese de que solo los usuarios que necesitan usar los datos tengan acceso a ellos y, por supuesto, los datos deben estar encriptados. Utilice siempre los usuarios y roles de WordPress para administrar mejor los privilegios de los usuarios y el acceso a datos confidenciales.
¿Debe almacenar datos confidenciales en su sitio web de WordPress?
No hay una respuesta definitiva. Todo depende de la configuración y los recursos. Aunque las pequeñas empresas normalmente estarían mejor almacenando datos en un proveedor externo.
Por ejemplo, en el caso de una tienda de comercio electrónico, es mucho más fácil usar sistemas de pago como Stripe o PayPal para manejar y almacenar datos de titulares de tarjetas. Ya cuentan con la infraestructura. Consulte nuestra guía sobre seguridad de comercio electrónico para administradores de WordPress para obtener más información sobre cómo mantener y ejecutar un sitio de comercio electrónico seguro.
Lo mismo se aplica a las direcciones de correo electrónico y las listas de boletines de los clientes. Lo ideal es que no almacene dichos datos en su sitio web. Utilice un servicio de terceros, como Mailchimp, para almacenar los datos en una infraestructura más segura y confiable, en lugar de en su sitio web de WordPress.
Direccionamiento A4: Entidades Externas XML (XXE) en WordPress
Esta es una vulnerabilidad de software técnico. Esto sucede cuando la aplicación maneja incorrectamente archivos y datos XML. Una instalación de WordPress lista para usar no se ocupa mucho de los archivos XML remotos, aunque es posible que use complementos que sí lo hagan.
Para asegurarse de que su sitio web de WordPress no sea vulnerable a este tipo de vulnerabilidad, utilice la última versión del núcleo, complemento y otro software de WordPress. Utilice siempre complementos que se mantengan. Considere cambiar cualquier complemento que use que no se haya actualizado en más de un año.
Dirigiéndose a A5: Control de acceso roto en WordPress
Esta es una vulnerabilidad de aplicación técnica. Este problema ocurre cuando la aplicación no aplica las restricciones necesarias a los usuarios autenticados. Por lo tanto, cuando los atacantes aprovechan dichas vulnerabilidades, pueden acceder a datos confidenciales.
Solo los desarrolladores pueden solucionar este tipo de problema. Para garantizar que su sitio web no sea vulnerable, mantenga actualizados el núcleo de WordPress, los complementos y otro software que use en su sitio web.
Abordar A6: Configuración incorrecta de seguridad en sitios web de WordPress
Las configuraciones incorrectas de seguridad son muy comunes en los sitios web de WordPress. El software sin parches y la explotación de los valores predeterminados son dos de los ataques exitosos más comunes en los sitios web de WordPress. En los últimos años, el equipo central de WordPress ha hecho mucho para ayudar a los usuarios a abordar estos problemas. Por ejemplo, WordPress ya no tiene un nombre de usuario de administrador predeterminado, que fue el culpable de muchos hacks de WordPress.
Para asegurarse de que su sitio web de WordPress no tenga ninguna configuración incorrecta de seguridad, cambie todos los valores predeterminados. Esto se aplica a WordPress, complementos y cualquier otro software y dispositivo que utilice. Por ejemplo, si un complemento tiene un conjunto predeterminado de credenciales, no protege con contraseña los datos confidenciales o los almacena en una ubicación predeterminada, configure una autenticación sólida y cambie las rutas predeterminadas. Esto se aplica a cualquier otro software y dispositivo que utilice, incluido el enrutador doméstico de Internet, que normalmente tiene credenciales predeterminadas.
Direccionamiento de A7: Cross-site Scripting (XSS) en WordPress
Cross-site Scripting, también conocido como XSS , es una vulnerabilidad de aplicación técnica. Es probablemente una de las vulnerabilidades técnicas más comunes. Se produce una vulnerabilidad XSS cuando los datos que no son de confianza no se validan y escapan. Cuando un atacante malintencionado explota una vulnerabilidad de secuencias de comandos entre sitios, puede robar la cookie de los usuarios registrados y hacerse pasar por ellos. También pueden secuestrar su sesión.
El equipo central de WordPress generalmente aborda los problemas de XSS informados en el núcleo en tan solo unos días. Entonces, para asegurarse de que el núcleo de su sitio web de WordPress, los complementos y los temas no sean vulnerables a este tipo de vulnerabilidad, use siempre la última versión del software. Además, siempre use complementos mantenidos.
Abordar A8: deserialización insegura en WordPress
La deserialización insegura es una vulnerabilidad de aplicación técnica. Esta vulnerabilidad puede ocurrir cuando la aplicación utiliza objetos serializados de fuentes que no son de confianza sin realizar comprobaciones de integridad.
El equipo central de WordPress generalmente aborda este tipo de problema en unos pocos días. Entonces, para asegurarse de que el núcleo de su sitio web de WordPress, los complementos y los temas no sean vulnerables a este tipo de vulnerabilidad, use siempre la última versión del software.
Abordar A9: Uso de componentes con vulnerabilidades conocidas en un sitio web de WordPress
No usar software y aplicaciones web que tengan vulnerabilidades conocidas puede sonar como algo obvio. Aunque por desgracia no lo es. La fundación WordPress ha estado haciendo mucho en este sentido. Tienen actualizaciones automáticas para el núcleo de WordPress. El equipo de revisión de complementos de WordPress etiqueta los complementos en el repositorio que no se han actualizado durante un tiempo como inseguros.
Sin embargo, no siempre es fácil para las empresas utilizar la versión más reciente y segura de un software. Muchos usan software heredado y aplicaciones web que no son compatibles con la última versión de WordPress u otros complementos. Entonces tienen que usar una versión antigua y vulnerable de WordPress y complementos. En tales casos, si es posible, póngase en contacto con los desarrolladores para actualizar el código.
Para asegurarse de que su sitio web cumpla con los requisitos, esto es evidente: use siempre la última versión del núcleo y los complementos de WordPress. Además, es importante desactivar y desinstalar los complementos, scripts y temas no utilizados de su sitio web. Por ejemplo, muchos administradores de sitios no eliminan los temas y complementos predeterminados de WordPress. Si no los está utilizando, elimínelos.
Esto también se aplica al nuevo software: cuando busque un nuevo complemento, siempre investíguelo. Lea nuestra guía sobre cómo elegir un complemento de WordPress para obtener más información sobre lo que debe hacer al buscar un nuevo complemento de WordPress.
Abordar A10: registro y monitoreo insuficientes en WordPress
El registro y la supervisión son vitales para la seguridad de su sitio web de WordPress y su red multisitio. Los registros de actividad de WordPress también lo ayudan a administrar mejor su sitio web, identificar comportamientos sospechosos antes de que se conviertan en un problema, garantizar la productividad del usuario y mucho más. Obtenga más información sobre los beneficios de mantener un registro de actividad de WordPress (registro de auditoría) .
Para asegurarse de que su sitio web de WordPress cumpla con los requisitos, instale el registro de auditoría de seguridad de WP, el complemento de registro de actividad de WordPress más completo . Mantendrá un registro de todo lo que sucede en su sitio web de WordPress y red multisitio en un registro de actividad. Consulte abordar el registro insuficiente con un complemento de registro de actividad de WordPress para obtener información más detallada sobre cómo abordar esta parte de la lista OWASP Top 10.
Creación de un sitio web de WordPress compatible con OWASP con OWASP Top 10
La seguridad de WordPress puede ser compleja, especialmente cuando se trata de configuraciones grandes. Aunque comenzar y cubrir los conceptos básicos no es tan difícil, como se destaca en este artículo. Puede tener un sitio web de WordPress compatible con OWASP Top 10 si se ocupa de estos conceptos básicos:
- Use la última versión del núcleo, complementos y temas de WordPress,
- Asegúrese de cambiar todos los valores predeterminados en su núcleo y complementos de WordPress,
- Hacer cumplir políticas de contraseñas seguras,
- Habilite 2FA con un complemento de WordPress de autenticación de dos factores,
- Use los usuarios y roles de WordPress de manera apropiada,
- Mantén un registro de todo lo que sucede en tu sitio web en un registro de actividad de WordPress .
Aumente la seguridad de su sitio web de WordPress utilizando esta lista OWASP Top 10 como guía. Consulte la página oficial de OWASP Top 10 para obtener información más detallada.