Spanish

Cómo hacer una auditoría de seguridad en WordPress? (WordPress Security Audit?)

Published on: March 4, 2021

Cómo hacer una auditoría de seguridad en WordPress? (WordPress Security Audit?)

Resumen del artículo

WordPress es uno de los CMS más utilizados en todo el mundo. Sin embargo, más del 70% de los sitios web de WordPress son vulnerables a los ataques. Sorprendentemente, la mayoría de la gente no sabe si son vulnerables o no. La mayoría de los propietarios de sitios web pasan años sin comprobar el estado de seguridad de su sitio web. No es de extrañar que sean los primeros en ser hackeados. Conocer sus vulnerabilidades es el primer paso para parchearlas. Aquí es donde entra la auditoría de seguridad de WordPress.

WordPress es uno de los CMS más utilizados en todo el mundo. Sin embargo, más del 70% de los sitios web de WordPress son vulnerables a los ataques. Sorprendentemente, la mayoría de la gente no sabe si son vulnerables o no. La mayoría de los propietarios de sitios web pasan años sin comprobar el estado de seguridad de su sitio web. No es de extrañar que sean los primeros en ser hackeados. Conocer sus vulnerabilidades es el primer paso para parchearlas. Aquí es donde entra la auditoría de seguridad de WordPress.

Blog relacionado – Guía completa de bricolaje sobre la seguridad de WordPress

Las noticias sobre explotaciones en sitios web de WordPress han dejado de sorprendernos, son muy comunes. Comentando la seguridad de WordPress Matt Mullenweg, el desarrollador de WordPress escribe en su blog:

Una puntada a tiempo salva nueve. Yo no podría coser para salir de una bolsa, pero es un consejo verdadero también para los blogueros: un poco de trabajo en una actualización ahora ahorra mucho trabajo para arreglar algo más tarde.

La mayoría de las veces, hay alguna actualización que falta, un parche de seguridad o una vulnerabilidad de un plugin que culmina en un hackeo. De hecho, según las estadísticas de hackeo de WordPress, más del 64 % de los usuarios ejecutan versiones obsoletas.

¿Ha comprobado ya las vulnerabilidades de su sitio web? Si no es así, utilice este escáner de vulnerabilidades para comprobarlo ahora.

Continúe leyendo este artículo para saber qué es una auditoría de seguridad de WordPress y por qué su sitio web la necesita. Lee hasta el final para encontrar herramientas para realizar una auditoría de seguridad de WordPress.

¿Qué es la auditoría de seguridad de WordPress?

Una auditoría de seguridad de WordPress es una evaluación cuidadosa de su sitio web y sus activos (incluyendo plugins, temas, etc.). Una auditoría viable utiliza tanto herramientas automatizadas como inteligencia humana para hacer el juicio preciso de la estructura de seguridad actual de su sitio web. El objetivo principal de una auditoría de seguridad es identificar cualquier problema de seguridad subyacente en WordPress.

Una auditoría de seguridad de WordPress es seguida de cerca por la prueba de penetración de WordPress. Que pretende explotar las vulnerabilidades encontradas en la auditoría para obtener una imagen real de la situación y el riesgo. La prueba de penetración también ayuda a separar los falsos positivos de las amenazas genuinas.

¿Por qué necesita una auditoría de seguridad de WordPress?

No hay mucha ciencia de cohetes en cuanto a por qué usted necesita una auditoría de seguridad de WordPress. La lógica es simple, si usted tiene un sitio web y es vulnerable, cualquiera puede hackearlo.

Por lo tanto, una auditoría de seguridad de WordPress se hace necesaria para encontrar y parchear esas vulnerabilidades mientras hay tiempo. De lo contrario, si los hackers las encuentran antes que usted, entonces pueden:

  • Borrar todos los datos de su sitio WordPress o encriptarlos y pedir un rescate.
  • Vender los datos de su sitio web o de los usuarios en la web oscura.
  • Inyectar spam en las páginas de su sitio de WordPress, lo que llevaría a una lista negra de los motores de búsqueda.
  • Robar la información de la tarjeta de crédito de su sitio de WordPress, lo que le llevará a demandas y multas considerables.
  • Utilizar su sitio web para infectar a otros y cosas mucho peores.

¿Cómo llevar a cabo una auditoría de seguridad de WordPress?

Para llevar a cabo una auditoría de seguridad de WordPress, lo primero que hay que hacer es contar con el conjunto de herramientas adecuado. Descargar e instalar manualmente cada herramienta puede resultar engorroso. Por lo tanto, la mejor opción disponible es utilizar Kali Linux. Es un tipo especial de sistema operativo que viene con una amplia variedad de herramientas de seguridad.

Para utilizar Kali Linux en tu máquina tienes muchas opciones. Para la comodidad de los principiantes, vamos a seguir el enfoque de utilizar la virtualización. Esto se puede hacer mediante un software llamado Virtual Box en el sistema operativo Windows. Aquí está cómo se puede configurar Virtual Box en Kali Linux. Ahora que nuestra configuración está lista, vamos a echar un vistazo a las herramientas y cómo usarlas.

1. WPScan

Cuando se trata de una auditoría de seguridad de WordPress, quizás no haya una herramienta más especializada que WPScan. Este escáner de vulnerabilidades puede escanear su sitio de WordPress y determinar cosas como qué plugins utiliza, el número de versión de WordPress, etc. A continuación, utiliza una base de datos de vulnerabilidades para informarle si alguno de esos plugins, etc., tiene una vulnerabilidad. Para utilizar esta herramienta abra el terminal en su Kali Linux y escriba

wpscan –url https://www.wordpress.org

WordPress security audit wpscan tool

2. PHPStan

PHPStan es una herramienta que puede hacer un análisis completo del código de su sitio de WordPress y descubrir cualquier error oculto. También viene en forma de una extensión de PHPStan específicamente para WordPress. Esta herramienta puede no venir con el paquete predeterminado de Kali, por lo que tendrá que descargarla por separado. Una vez que se han hecho algunos ajustes adicionales, para utilizar esta herramienta abra la terminal en Kali y escriba este comando:

vendor/bin/phpstan analyze Dir1 Dir2

Sustituye Dir1 y Dir2 por los directorios que contienen el código de WordPress que deseas analizar en busca de errores.

3. Sqlmap

Una de las vulnerabilidades más comunes encontradas en los sitios web es una inyección SQL. Aunque hay menos posibilidades de que el núcleo de WordPress sea vulnerable, un gran número de módulos pueden ser vulnerables a SQLi. Sqlmap es la herramienta adecuada para comprobar este tipo de vulnerabilidad durante la auditoría de seguridad de WordPress. No sólo puede enumerar las bases de datos, sino que también puede ayudar a obtener shells inversos. Para utilizar Sqlmap, abra su terminal y escriba:

sqlmap -u "www.your-site.com/module?param=" --random-agent --dbs

Aquí, sustituya la URL por la que desea probar y param por los parámetros que desea probar. La opción -random-agent significa que el agente de usuario será elegido al azar. Mientras que la opción -dbs significa enumerar las bases de datos.

WordPress Security Audit SQLMAP

4. XSSer

Otra de las vulnerabilidades más comunes encontradas en los sitios web es el Cross-Site scripting. XSSer es el marco adecuado para encontrar y explotar los errores XSS en su WordPress. Con esta herramienta se pueden comprobar incluso los módulos de WordPress. Además, esta herramienta también permite saltarse ciertos filtros de seguridad. Para utilizar la versión gráfica de esta herramienta, abra el terminal en Kali y escriba

xsser –gtk

A continuación, se abrirá una interfaz gráfica. Sólo tienes que configurar las opciones necesarias y empezar.

WordPress security audit XSSer

5. WPSpolit

WPSpoilt es una personalización del famoso framework Metasploit específicamente para WordPress. Por lo tanto, contiene una colección de exploits específicos para WordPress. Actualmente son 15. Para utilizar esta herramienta, descargue los exploits y los auxiliares y luego expórtelos al directorio de Metasploit. A continuación, abra el terminal en Kali y escriba

msfconsole

Este comando abrirá el framework de Metasploit. Desde aquí se puede acceder a estos exploits y ejecutarlos para realizar una auditoría de seguridad de WordPress.

Pruebas profesionales de penetración en WordPress con Astra

Los pasos mencionados anteriormente tocan la superficie de la auditoría de seguridad de WordPress y las pruebas de penetración. Un enfoque más detallado está fuera del alcance de este artículo. Por lo tanto, los principiantes encontrarán fácil seguir los procedimientos mencionados anteriormente. Aunque esto es bueno para empezar, no es infalible. Por lo tanto, se necesita un enfoque más detallado para asegurar su sitio web.

Esta auditoría detallada sólo puede ser realizada por profesionales como los de Astra. La auditoría de seguridad realizada por Astra puede señalar las lagunas de seguridad que los usuarios medios como usted habrían pasado por alto. La Evaluación de Vulnerabilidad y Prueba de Penetración de Astra cubre vulnerabilidades como:

  • Configuración y Despliegue de la configuración.
  • Vulnerabilidades específicas del núcleo, los plugins y los temas de WordPress.
  • Autenticación rota o inadecuada.
  • Identificación de Vulnerabilidades Técnicas y de Lógica de Negocio.
  • Más de 1250 pruebas de seguridad activas.
Vulnerability Assessment & Penetration Testing by Astra

Evaluación de la vulnerabilidad y pruebas de penetración de Astra

Y lo mejor es que todo esto tiene un precio asequible.


Was this post helpful?

Naman Rastogi

Naman Rastogi is a Growth hacker and digital marketer at Astra security. Working actively in cybersecurity for more than a year, Naman shares the passion for spreading awareness about cybersecurity amongst netizens. He is a regular reader of anything cybersecurity which he channelizes through the Astra blog. Naman is also a jack of all trade. He is certified in market analytics, content strategy, financial markets and more while working parallelly towards his passion i.e cybersecurity. When not hustling to find newer ways to spread awareness about cybersecurity, he can be found enjoying a game of ping pong or CSGO.
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

Psst! Hi there. We’re Astra.

We make security simple and hassle-free for thousands
of websites and businesses worldwide.

Our suite of security products include firewall, malware scanner and security audits to protect your site from the
evil forces on the internet, even when you sleep.

earth spiders cards bugs spiders

Made with ❤️ in USA France India Germany