WordPress y Cross-Site Scripting (XSS)

Publicado: 2022-11-02

Los ataques de secuencias de comandos entre sitios son uno de los tipos más comunes de ataques a sitios web que se ven en Internet. Comprender qué son y cómo protegerse contra ellos es vital para salvaguardar la seguridad de su sitio web, visitantes y negocio. ¡Sigue leyendo para saber más!

¿Qué son los ataques de secuencias de comandos entre sitios?

Un ataque Cross-Site Scripting (más conocido como ataque XSS) ocurre cuando se inyecta un código malicioso (normalmente JavaScript) en una página web con la intención de dañar al usuario final.

Este código generalmente se inserta al final del URI (Identificador uniforme de recursos) como un parámetro o mediante el uso de una aplicación web en una página web, como un formulario de entrada de usuario. El código malicioso normalmente estará diseñado para anular el control de acceso y manipular la funcionalidad del sitio web.

Vulnerabilidad de secuencias de comandos entre sitios

Como hemos visto, un ataque XSS es un ataque basado en la web que utiliza un código malicioso para acceder a un sitio web vulnerable y realizar actividades dañinas. La palabra clave en esta oración es 'vulnerable'. Esto (¡desafortunadamente!) puede significar muchas, muchas cosas. Un sitio web de WordPress que usa 'admin' y '123456' como nombre de usuario y contraseña es vulnerable, incluso si se han tomado todas las demás precauciones de seguridad. Los sitios web de WordPress que ejecutan complementos desactualizados podrían considerarse vulnerables. O incluso una aplicación web que incluye la entrada del usuario dentro de un formulario y no valida ni codifica los valores enviados se consideraría vulnerable.

Los piratas informáticos que implementan ataques XSS buscan constantemente vulnerabilidades que puedan explotar. Los que se encuentran más comúnmente y, por lo tanto, abren más sitios web para atacar son, comprensiblemente, los preferidos, pero los piratas informáticos buscarán vulnerabilidades más oscuras para atacar sitios web que consideren de gran valor para ellos como piratas informáticos.

Aloje su sitio web con Pressidium

GARANTÍA DE DEVOLUCIÓN DE DINERO DE 60 DÍAS

VER NUESTROS PLANES

El hecho de que haya tantas vulnerabilidades potenciales y todo tipo de ataques hace que identificar los posibles puntos débiles y mitigar los ataques sea un trabajo complicado.

Sitios web objetivo

Un servidor o cliente de correo electrónico basado en la web, un sistema CRM / ERP, una página de perfil disponible públicamente (como las que se ven comúnmente en los sitios de redes sociales y grupos de membresía) son solo algunos tipos de sitios web y aplicaciones que son excelentes objetivos para los ataques XSS. .

Otros sitios que suelen ser vulnerables son aquellos en los que los usuarios pueden publicar texto en formato HTML que otros pueden ver, como en foros o campos de comentarios.

Tipos de secuencias de comandos entre sitios

Los ataques conocidos como cross-site scripting (XSS) se pueden dividir en tres tipos principales según si el código inyectado se ejecuta en el servidor o únicamente en el navegador de la persona que intenta el ataque. Estos son los siguientes:

  • El XSS persistente (o almacenado), donde el código inyectado por el atacante se almacena en el servidor de forma permanente.
  • El XSS no persistente (o reflexivo), donde el ataque se realiza a través de una URL manipulada que se engaña al usuario final para que la use.
  • El XSS basado en DOM (o XSS del lado del cliente) que, como todos los demás tipos, también se realiza dentro del navegador del visitante, con la diferencia de que altera el DOM del sitio.

Impacto de Cross-Site Scripting XSS

El impacto que pueda tener cualquier ataque XSS variará según una variedad de factores. Uno de los mayores será la sensibilidad de los datos que se almacenan y que son objeto de un ataque. ¡Los comentarios en un foro sobre cocina son claramente menos sensibles que los secretos que se guardan en un sitio web del gobierno nacional!

Por lo general, el objetivo de un ataque XSS es una persona que utiliza un sitio web o una aplicación. Según el tipo de ataque y el script inyectado, el atacante puede robar las cookies de sesión de la víctima y datos personales como las credenciales de acceso. Un ataque también puede intentar robar información confidencial, como datos de tarjetas de crédito (suponiendo que esté presente).

Lo que es particularmente horrible acerca de los ataques XSS es que están efectivamente enmascarados... por lo tanto, el usuario objetivo puede aparecer como la persona que podría estar causando daños maliciosos cuando, lo más probable es que no tenga idea de que algo anda mal.

Claramente, el impacto de esto puede ser significativo en un negocio. Cualquier pirateo que dañe un sitio web y potencialmente revele información confidencial es una mala noticia. La gravedad dependerá de la gravedad del ataque y el impacto en sus clientes.

Proteja su sitio de WordPress de ataques XSS

Los sitios web de WordPress sufren una buena cantidad de ataques XSS. En parte, esto se debe a la gran cantidad de sitios que funcionan con WordPress (actualmente el 43,1 % en todo el mundo). También es el resultado de las muchas vulnerabilidades XSS que tienen muchos complementos de WordPress. A su vez, esto significa, estadísticamente hablando, que cuantos más complementos se usen en un sitio web de WordPress, mayores serán las posibilidades de sufrir un ataque XSS.

Debido a esto, generalmente todo lo que necesita para reducir al mínimo la vulnerabilidad XSS de su sitio web de WordPress es validar y desinfectar cualquier variable que pueda incluirse en una URL del atacante. Aquí hay algunos consejos genéricos junto con otras soluciones más especializadas que puede aplicar a su sitio para ayudar a protegerlo.

¡Estar al día!

Es muy importante para la seguridad de su sitio web asegurarse de mantener sus archivos principales, complementos y temas actualizados a su última versión. Al hacerlo, reduce el riesgo de todas las formas de ataque a su sitio web, incluidos los ataques XSS.

Para obtener más detalles sobre los pasos generales que puede seguir para proteger su sitio web de WordPress, asegúrese de consultar nuestro artículo, Cómo proteger su sitio web de WordPress.

Implemente el complemento 'Prevenir la vulnerabilidad XSS'

Quizás, como era de esperar (ya que esto es WordPress), se ha desarrollado un complemento que puede ayudar a reducir el riesgo de ataques XSS. Se llama 'Prevenir la vulnerabilidad XSS'

Secuencias de comandos de sitios cruzados: complemento para prevenir la vulnerabilidad XSS

Una vez que instale y active el complemento, vaya a su página de configuración, en el elemento de menú "Secuencias de comandos de sitios cruzados reflejadas (XSS)" que aparecerá.

El complemento Prevent XSS configura de manera predeterminada una variedad de entidades que están bloqueadas desde la URL. Esto ayuda a detener los ataques en seco. Además de la configuración predeterminada, puede especificar otras entidades que le gustaría bloquear de la URL.

Lo mismo ocurre con las entidades que el complemento codifica en la URL. Puede excluir las entidades que no desea que se codifiquen en la tarea de texto proporcionada separándolas con una coma.

También protege las vulnerabilidades escapando del HTML en el parámetro $_GET. Por lo tanto, si alguien intenta inyectar HTML en la URL, no funcionará.

Es muy importante cuando haya instalado el complemento y haya terminado de ajustar la configuración que al menos revise algunas páginas al azar para asegurarse de que su sitio web funcione como debería. Esto es especialmente crítico si está utilizando WooCommerce. En este caso, asegúrese de realizar todo el proceso de pago (incluido el pago) para asegurarse de que esto funcione.

Protección de los datos de salida

Excepto para validar la entrada cuando se recibe de un visitante, también debe codificar todas las respuestas HTTP que generan los datos. En la práctica, esto significa que cada carácter debe convertirse a su nombre de entidad HTML.

Si es un desarrollador de WordPress, hay un gran manual sobre el escape de datos de salida que vale la pena leer.

Protección contra ataques XSS con Pressidium

Si aloja con Pressidium, disfrutará automáticamente de la protección de nuestra capa de firewall de aplicaciones web administradas que protegerá su sitio web de múltiples maneras, incluidos los ataques XSS. Esto le permite concentrarse solo en su negocio sin preocuparse por su sitio web. Obtenga más información sobre las características de la plataforma Pressidium aquí.