WordPress es uno de los CMS más utilizados en todo el mundo. Sin embargo, más del 70% de los sitios web de WordPress son vulnerables a los ataques. Sorprendentemente, la mayoría de las personas no saben si son vulnerables o no. La mayoría de los propietarios de sitios web pasan años sin verificar el estado de seguridad de su sitio web. No es de extrañar que sean los primeros en ser pirateados. Conocer sus vulnerabilidades es el primer paso para repararlas. Aquí es donde entra la auditoría de seguridad de WordPress.
Las noticias de explotación en los sitios web de WordPress han dejado de sorprendernos, es muy común. Al comentar sobre la seguridad de WordPress, Matt Mullenweg, el desarrollador de WordPress, escribe en su blog :
Una puntada a tiempo ahorra nueve. No pude salir de una bolsa, pero también es un verdadero consejo para los bloggers: un poco de trabajo en una actualización ahora ahorra mucho trabajo arreglando algo más tarde.
La mayoría de las veces, faltan actualizaciones, parches de seguridad o una vulnerabilidad de complemento que culmina en un hack. De hecho, según las estadísticas de pirateo de WordPress , más del 64% de los usuarios ejecutan versiones desactualizadas.
[ID del visualizador = “6321”]
Entonces, ¿ya has revisado tu sitio web para detectar vulnerabilidades? Si no, use este escáner de vulnerabilidades para verificar ahora.
Continúe leyendo este artículo para saber qué es una auditoría de seguridad de WordPress y por qué su sitio web la necesita. Lea hasta el final para encontrar herramientas para realizar una auditoría de seguridad de WordPress.
¿Qué es la auditoría de seguridad de WordPress?
Una auditoría de seguridad de WordPress es una evaluación cuidadosa de su sitio web y sus activos (incluidos complementos, temas, etc.). Una auditoría viable utiliza herramientas automatizadas e inteligencia humana para hacer un juicio preciso de la estructura de seguridad actual de su sitio web. El objetivo principal de una auditoría de seguridad es identificar cualquier problema de seguridad subyacente de WordPress .
Una auditoría de seguridad de WordPress es seguida de cerca por la prueba de penetración de WordPress. Que tiene la intención de explotar las vulnerabilidades encontradas en la auditoría para obtener una imagen real de la situación y el riesgo. La prueba de penetración también ayuda a segregar falsos positivos de amenazas genuinas.
¿Por qué necesita una auditoría de seguridad de WordPress?
No hay mucha ciencia de cohetes sobre por qué necesita una auditoría de seguridad de WordPress. La lógica es simple si tienes un sitio web y es vulnerable, cualquiera puede piratearlo.
Por lo tanto, se hace necesaria una auditoría de seguridad de WordPress para encontrar y parchear esas vulnerabilidades mientras haya tiempo. De lo contrario, si los piratas informáticos los encuentran antes que usted, pueden:
- Elimine todos los datos de su sitio de WordPress o encripte y solicite un rescate.
- Venda los datos de su sitio web o usuarios en la web oscura.
- Inyecte correo no deseado en las páginas de su sitio de WordPress para obtener una lista negra de motores de búsqueda.
- Roba la información de la tarjeta de crédito de la información de tu sitio de WordPress que conduce a demandas y multas considerables en tu contra.
- ¡Usa tu sitio web para infectar a otros y cosas mucho peores!
¿Cómo llevar a cabo una auditoría de seguridad de WordPress?
Para una auditoría de seguridad de WordPress, primero necesita el conjunto de herramientas correcto. La descarga e instalación manual de cada herramienta puede volverse engorrosa. Entonces, la mejor opción disponible para nosotros es usar Kali Linux . Es un tipo especial de sistema operativo que viene incluido con una amplia variedad de herramientas de seguridad.
Para usar Kali Linux en su máquina, tiene muchas opciones. Para la comodidad de los principiantes, seguiremos el enfoque del uso de la virtualización. Esto puede hacerse mediante un software llamado Virtual Box en el sistema operativo Windows. Entonces, todo el proceso de configuración que va desde descargar Virtual Box hasta instalar Kali Linux en él, siga este enlace . Ahora que nuestra configuración está lista, veremos las herramientas y cómo usarlas.
1. WPScan
Cuando se trata de la auditoría de seguridad de WordPress, tal vez no haya una herramienta especializada que WPScan . Este escáner de vulnerabilidades puede escanear su sitio de WordPress y determinar cosas como los complementos que utiliza, el número de versión de WordPress, etc. Posteriormente, utiliza una base de datos de vulnerabilidades para informarle si alguno de esos complementos, etc. tiene alguna vulnerabilidad en ellos. Para usar esta herramienta, abra la terminal en su Kali Linux y escriba:
wpscan --url https://www.wordpress.org
2. PHPStan
PHPStan es una herramienta que puede hacer un análisis completo del código de su sitio de WordPress y descubrir cualquier error oculto. También viene en forma de una extensión PHPStan específicamente para WordPress . Es posible que esta herramienta no venga con el paquete Kali predeterminado, por lo que deberá descargarla por separado. Para descargar e instalar siga este enlace . Una vez que se realizan algunos ajustes adicionales , para usar esta herramienta, abra el terminal en Kali y escriba este comando:
vendedor / bin / phpstan analizar Dir1 Dir2
Reemplace Dir1 y Dir2 con los directorios que contienen el código de WordPress que desea escanear en busca de errores.
3. Sqlmap
Una de las vulnerabilidades más comunes encontradas en los sitios web es una inyección de SQL. Aunque hay menos posibilidades de que el núcleo de WordPress sea vulnerable, una gran cantidad de módulos pueden ser vulnerables a SQLi. Sqlmap es la herramienta adecuada para verificar este tipo de vulnerabilidad durante la auditoría de seguridad de WordPress. ¡No solo puede enumerar bases de datos, sino que también puede ayudar a obtener shells inversas! Para usar Sqlmap, abra su terminal y escriba:
sqlmap -u "www.your-site.com/module?param=" --random-agent --dbs
Aquí, reemplace la URL con la que desea probar y param con los parámetros que desea probar. La opción –random-agent significa que el agente de usuario se elegirá al azar. Mientras que la opción –dbs significa enumerar bases de datos.
4. XSSer
Otra vulnerabilidad más común encontrada en los sitios web es la secuencia de comandos entre sitios. XSSer es el marco adecuado para encontrar y explotar errores XSS en su WordPress. Con esta herramienta, incluso los módulos de WordPress se pueden verificar. Además, esta herramienta también le permite evitar ciertos filtros de seguridad. Para usar la versión gráfica de esta herramienta, abra el terminal en Kali y escriba:
xsser --gtk
A partir de entonces, se abrirá una interfaz gráfica. ¡Simplemente configure las opciones necesarias y comience!
5. WPSpolit
WPSpoilt es una personalización del famoso framework Metasploit específicamente para WordPress. Por lo tanto, contiene una colección de exploits específicos de WordPress. Actualmente son 15 en número. Para usar esta herramienta, descargue los exploits y auxiliares y luego expórtelos al directorio Metasploit de esta manera . A partir de entonces, abra la terminal en Kali y escriba:
msfconsole
Este comando abrirá el marco Metasploit. Desde aquí se puede acceder a estos exploits y ejecutarlos para realizar una auditoría de seguridad de WordPress.
Prueba de penetración profesional de WordPress con Astra
Los pasos mencionados anteriormente tocan la superficie de la auditoría de seguridad de WordPress y las pruebas de lápiz. Un enfoque más detallado está más allá del alcance de este artículo. Por lo tanto, los principiantes encontrarán fácil seguir los procedimientos mencionados anteriormente. Si bien esto es bueno para comenzar, no es infalible. Por lo tanto, se necesita un enfoque más detallado para asegurar su sitio web.
Esta auditoría detallada solo puede ser realizada por profesionales como los de Astra . La auditoría de seguridad realizada por Astra puede identificar las lagunas de seguridad que los usuarios promedio como usted habrían pasado por alto. La evaluación de vulnerabilidad y prueba de penetración de Astra cubre vulnerabilidades como:
- Configuración e implementación de la configuración incorrecta.
- WordPress Core, complementos y vulnerabilidades específicas del tema.
- Autenticación rota o incorrecta.
- Identificación de vulnerabilidades de lógica técnica y comercial.
- Más de 1250 pruebas de seguridad activa.
Y la mejor parte es que todo esto tiene un precio asequible .
No se olvide de descargar nuestra Lista de verificación de seguridad integral de WordPress desarrollada por nuestros expertos en seguridad