Los ataques más comunes en WordPress

Índice de contenidos

1 Tipos de ataque en WordPress más comunes

Tipos de ataque en WordPress más comunes

Los 5 ataques más comunes a WordPress y cómo prevenirlos.
Si la seguridad de su sitio de WordPress es una prioridad, esta lista le ayudará a conocer los ataques a los que debes prestar atención y cómo prevenirlos.

Si estas pensando en montar tu página web con WordPress de forma segura, descubre el Hosting WordPress que te ofrecemos el equipo de Hoswedaje.

Fallos de inyección

La vulnerabilidad más prominente que probablemente encontrarás en tu sitio de WordPress es una falla de inyección de código. La mayoría de las veces se produce una inyección cuando su sitio permite a los usuarios introducir datos a través de un punto de entrada vulnerable, como un formulario de contacto o de inicio de sesión.

Cuando los datos introducidos no están "validados", puede ser susceptible de este ataque. Las inyecciones SQL son las más comunes, pero otros tipos como las inyecciones NoSQL, OS y LDAP también pueden ser un problema.

Los fallos de inyección a menudo conducen a la denegación de acceso, la pérdida y corrupción de datos, la divulgación a partes no autorizadas, e incluso la toma total del host.

El mejor enfoque para prevenir la inyección implica separar los comandos de las consultas en su sitio. Los desarrolladores de WordPress pueden utilizar ciertos controles SQL, como LIMIT, para evitarlo. Los propietarios de sitios también pueden aprovechar los plugins de seguridad (como Malcare) para mantener sus sitios web protegidos.

Autenticación rota

La autenticación rota ocurre cuando hay una vulnerabilidad en la implementación de los controles de identidad y sesión. La fuerza del control de autenticación de un sitio depende en gran medida de la gestión de la sesión.

Si esto no se implementa correctamente, los cibercriminales pueden comprometer tus claves, contraseñas y tokens de sesión. En la mayoría de los casos, puedes acabar sufriendo un robo de identidad, un fraude y la divulgación de información muy sensible.

Si quieres minimizar el riesgo de una autenticación rota, deberías implementar la autenticación doble en tu sitio. Es más, busca reemplazar las credenciales por defecto que se le dan al crear un nuevo sitio de WordPress. Las comprobaciones de contraseñas débiles tampoco deberían ser una opción, especialmente para los usuarios administradores.

Ataques de secuencias de comandos en sitios cruzados (XSS)

Muy similares a los ataques de inyección, los ataques XSS se producen en los puntos de entrada del sitio, como los campos de entrada del usuario. Estos ataques se producen cuando las aplicaciones automatizadas, detectan cualquier forma de XSS en su sitio. Se puede aprovechar para infiltrar datos no fiables en una nueva página que carece de la validación adecuada o en una ya existente a través de los datos introducidos por el usuario.

El cross-site scripting permite al atacante ejecutar código de forma remota dentro del navegador de la víctima. De esta manera, pueden robar sus credenciales o filtrar malware. Puedes prevenir un ataque XSS haciendo uso de dos estrategias.

La primera estrategia es asegurarse de que las peticiones de red generadas desde una página no accedan a los datos de otra. Asimismo, su sitio web debe ser capaz de diferenciar entre la entrada normal y el código malicioso. Frameworks como React JS escapan de este tipo de ataque.

En general, la prevención de los ataques XSS comienza con buenas prácticas de desarrollo. Para el propietario de un sitio, elegir un tema fuerte y seguro es vital.

Exposición de datos sensibles

La exposición de datos sensibles, puede considerarse una violación de datos. Cuando se transfieren o almacenan datos sensibles en tu sitio, debes poner las medidas adecuadas para asegurar que los cibercriminales no puedan poner sus manos en encima. De lo contrario, si se exponen, los atacantes pueden robar contraseñas, datos de tarjetas de crédito, testigos de sesión y mucho más.

Además de poner en riesgo tus propios datos sensibles, los visitantes de tu sitio también pueden ser víctimas. Por eso debes hacer todo lo posible para mantener los datos seguros en tu sitio web.

Para evitar este tipo de ataques, es importante que nunca almacenes datos en texto plano ni aceptes datos enviados a través de conexiones no HTTPS. Para los propietarios de sitios, un certificado SSL adecuado puede ayudarle a cifrar los datos más sensibles a través de la red.

Entidades externas XML

Este tipo de ataque surge debido a procesadores de Lenguaje de Marcado eXtensible (XML) antiguos o mal gestionados. Estos evalúan las referencias a entidades externas dentro de los documentos XML. En el proceso, un atacante puede explotar un parser XML mal configurado que acepte XML directamente o a través de la carga de XML. En otras palabras, ahora pueden acceder a cualquier entrada XML que haga referencias a entidades externas.

Entidades externas XML pueden utilizarse para ejecutar un ataque de denegación de servicio (DOS), extraer sus datos o incluso implementar una petición remota desde su servidor. La experiencia de los desarrolladores es muy importante para identificar y tratar las entidades externas XML.

Para prevenir este ataque como usuario final, tienes que mantener tu instalación principal de WordPress actualizado. Los problemas de XXE suelen estar en un nivel de código fundamental, y se parchean durante las actualizaciones de la versión del software principal.

Accede a más contenido

En Hoswedaje te ofrecemos más información acerca de clonar WordPress mediante Duplicator y Instalar temas personalizados en WordPress. Te dejamos estos artículos y si necesitas ayuda contacta con nosotros.

Si estas interesado en Clonar WordPress mediante Duplicator pincha aquí.

Si estas interesado en Instalar temas personalizados en WordPress pincha aquí.

Propiedad	Cookie	Finalidad	Plazo
google.com	__Secure-3PAPISID	Estas cookies se utilizan para entregar anuncios más relevantes para usted y sus intereses.	en 2 años
google.com	__Secure-3PSID	Estas cookies se utilizan para entregar anuncios más relevantes para usted y sus intereses.	en 2 años
google.es	__Secure-3PAPISID	Estas cookies se utilizan para entregar anuncios más relevantes para usted y sus intereses.	en 2 años
google.es	__Secure-3PSID	Estas cookies se utilizan para entregar anuncios más relevantes para usted y sus intereses.	en 2 años
hoswedaje.com	_ga	ID utiliza para identificar a los usuarios	en 2 años
hoswedaje.com	_gid	ID utiliza para identificar a los usuarios durante 24 horas después de la última actividad	en 20 horas


Propiedad	Cookie	Finalidad	Plazo
doubleclick.net	IDE	Esta cookie se utiliza para la orientación, el análisis y la optimización de las campañas publicitarias en DoubleClick / Google Marketing Suite	en un año
facebook.com	fr	Contiene un navegador único e identificador de usuario, que se utiliza para la publicidad dirigida.	en 3 meses
google.com	1P_JAR	Estas cookies se establecen a través de vídeos de youtube incrustados. Registran los datos estadísticos anónimos sobre, por ejemplo, cuántas veces se reproduce el vídeo y las configuraciones que se utilizan para la reproducción.	en un mes
google.com	ANID	Google utiliza estos cookies para hacer publicidad más atractiva para los usuarios y más valiosa para los editores y anunciantes	en un año
google.com	APISID	Descargar ciertas herramientas de Google y guardar ciertas preferencias, por ejemplo, el número de resultados de la búsqueda por hoja o la activación del filtro SafeSearch. Ajusta los anuncios que aparecen en la búsqueda de Google.	en 2 años
google.com	HSID	Descargar ciertas herramientas de Google y guardar ciertas preferencias, por ejemplo, el número de resultados de la búsqueda por hoja o la activación del filtro SafeSearch. Ajusta los anuncios que aparecen en la búsqueda de Google.	en 2 años
google.com	NID	Estas cookies se utilizan para recopilar estadísticas del sitio web y rastrear las tasas de conversión y la personalización de anuncios de Google	en 7 meses
google.com	OTZ	Análisis agregado de los visitantes del sitio	en 13 días
google.com	SAPISID	Descargar ciertas herramientas de Google y guardar ciertas preferencias, por ejemplo, el número de resultados de la búsqueda por hoja o la activación del filtro SafeSearch. Ajusta los anuncios que aparecen en la búsqueda de Google.	en 2 años
google.com	SID	Descargar ciertas herramientas de Google y guardar ciertas preferencias, por ejemplo, el número de resultados de la búsqueda por hoja o la activación del filtro SafeSearch. Ajusta los anuncios que aparecen en la búsqueda de Google.	en 2 años
google.com	SIDCC	Descargar ciertas herramientas de Google y guardar ciertas preferencias, por ejemplo, el número de resultados de la búsqueda por hoja o la activación del filtro SafeSearch. Ajusta los anuncios que aparecen en la búsqueda de Google.	en un año
google.com	SSID	Descarga ciertas herramientas de Google y guarda ciertas preferencias, por ejemplo, el número de resultados de búsqueda por página o la activación del filtro SafeSearch. Ajusta los anuncios que aparecen en la Búsqueda de Google.	en 2 años
google.es	1P_JAR	Estas cookies se establecen a través de vídeos de youtube incrustados. Registran los datos estadísticos anónimos sobre, por ejemplo, cuántas veces se reproduce el vídeo y las configuraciones que se utilizan para la reproducción.	en un mes
google.es	ANID	Google utiliza estos cookies para hacer publicidad más atractiva para los usuarios y más valiosa para los editores y anunciantes	en un año
google.es	APISID	Descargar ciertas herramientas de Google y guardar ciertas preferencias, por ejemplo, el número de resultados de la búsqueda por hoja o la activación del filtro SafeSearch. Ajusta los anuncios que aparecen en la búsqueda de Google.	en 2 años
google.es	HSID	Descargar ciertas herramientas de Google y guardar ciertas preferencias, por ejemplo, el número de resultados de la búsqueda por hoja o la activación del filtro SafeSearch. Ajusta los anuncios que aparecen en la búsqueda de Google.	en 2 años
google.es	NID	Estas cookies se utilizan para recopilar estadísticas del sitio web y rastrear las tasas de conversión y la personalización de anuncios de Google	en 7 meses
google.es	SAPISID	Descargar ciertas herramientas de Google y guardar ciertas preferencias, por ejemplo, el número de resultados de la búsqueda por hoja o la activación del filtro SafeSearch. Ajusta los anuncios que aparecen en la búsqueda de Google.	en 2 años
google.es	SID	Descargar ciertas herramientas de Google y guardar ciertas preferencias, por ejemplo, el número de resultados de la búsqueda por hoja o la activación del filtro SafeSearch. Ajusta los anuncios que aparecen en la búsqueda de Google.	en 2 años
google.es	SSID	Descarga ciertas herramientas de Google y guarda ciertas preferencias, por ejemplo, el número de resultados de búsqueda por página o la activación del filtro SafeSearch. Ajusta los anuncios que aparecen en la Búsqueda de Google.	en 2 años
hoswedaje.com	_fbp	Utilizado por Facebook para ofrecer una serie de productos tales como publicidad, ofertas en tiempo real de anunciantes terceros	en 3 meses

Propiedad	Cookie	Finalidad	Plazo
doubleclick.net	_uetvid	Cookie necesaria para la utilización de las opciones y servicios del sitio web	en 3 días
google.com	__Secure-3PSIDCC	Cookie necesaria para la utilización de las opciones y servicios del sitio web	en un año
google.com	CONSENT	Rastreador de consentimiento de cookies de Google	en 17 años
google.com	UULE	Cookie asociada al servicio de Google Maps. Permite la geolocalización de nuestro laboratorio en la sección correspondiente de este sitio web. Le remitimos a la política de privacidad de Google	en 31 minutos
google.es	CONSENT	Rastreador de consentimiento de cookies de Google	en 17 años
google.es	OGP	Cookie necesaria para la utilización de las opciones y servicios del sitio web	en un mes
google.es	OGPC	Cookie necesaria para la utilización de las opciones y servicios del sitio web	en un mes
google.es	UULE	Cookie asociada al servicio de Google Maps. Permite la geolocalización de nuestro laboratorio en la sección correspondiente de este sitio web. Le remitimos a la política de privacidad de Google	Sesión
gstatic.com	CONSENT	Rastreador de consentimiento de cookies de Google	en 17 años
hoswedaje.com	__tawkuuid	Cookie necesaria para la utilización de las opciones y servicios del sitio web	en 6 meses
hoswedaje.com	_dc_gtm_UA-12838730-1	Cookie necesaria para la utilización de las opciones y servicios del sitio web	Sesión
hoswedaje.com	_gat_gtag_UA_12838730_1	Cookie necesaria para la utilización de las opciones y servicios del sitio web	Sesión
hoswedaje.com	mc_session_ids[default]	Cookie necesaria para la utilización de las opciones y servicios del sitio web	Sesión
hoswedaje.com	mc_session_ids[multi][0]	Cookie necesaria para la utilización de las opciones y servicios del sitio web	Sesión
hoswedaje.com	mc_session_ids[multi][0]	Cookie necesaria para la utilización de las opciones y servicios del sitio web	Sesión
hoswedaje.com	mc_session_ids[multi][1]	Cookie necesaria para la utilización de las opciones y servicios del sitio web	Sesión
hoswedaje.com	mc_session_ids[multi][1]	Cookie necesaria para la utilización de las opciones y servicios del sitio web	Sesión
hoswedaje.com	mc_session_ids[multi][2]	Cookie necesaria para la utilización de las opciones y servicios del sitio web	Sesión
hoswedaje.com	mc_session_ids[multi][2]	Cookie necesaria para la utilización de las opciones y servicios del sitio web	Sesión
hoswedaje.com	mc_session_ids[multi][3]	Cookie necesaria para la utilización de las opciones y servicios del sitio web	Sesión
hoswedaje.com	mc_session_ids[multi][3]	Cookie necesaria para la utilización de las opciones y servicios del sitio web	Sesión
hoswedaje.com	mc_session_ids[multi][4]	Cookie necesaria para la utilización de las opciones y servicios del sitio web	Sesión
hoswedaje.com	mc_session_ids[multi][4]	Cookie necesaria para la utilización de las opciones y servicios del sitio web	Sesión
hoswedaje.com	TawkConnectionTime	Cookie necesaria para la utilización de las opciones y servicios del sitio web	en 22 días
va.tawk.to	ss	Necesario para la funcionalidad de la función chat-box del sitio web.	en 22 días
va.tawk.to	tawkUUID	Cookie necesaria para la utilización de las opciones y servicios del sitio web	en 6 meses

Editor	Política de privacidad
DoubleClick/Google Marketing	privacy.google.com/take control
Facebook	facebook.com/about privacy
Google Analytics	privacy.google.com/take control
Google	privacy.google.com/take control
Google	safety.google/privacy controls

CÓMO GESTIONAR LAS COOKIES DESDE EL NAVEGADOR
Eliminar las cookies del dispositivo	Las cookies que ya están en un dispositivo se pueden eliminar borrando el historial del navegador, con lo que se suprimen las cookies de todos los sitios web visitados. Sin embargo, también se puede perder parte de la información guardada (por ejemplo, los datos de inicio de sesión o las preferencias de sitio web).
Gestionar las cookies específicas del sitio	Para tener un control más preciso de las cookies específicas de cada sitio, los usuarios pueden ajustar su configuración de privacidad y cookies en el navegador.
Bloquear las cookies	Aunque la mayoría de los navegadores modernos se pueden configurar para evitar que se instalen cookies en los dispositivos, eso puede obligar al ajuste manual de determinadas preferencias cada vez que se visite un sitio o página. Además, algunos servicios y características pueden no funcionar correctamente (por ejemplo, los inicios de sesión con perfil).