WordPress es sin duda el CMS más utilizado en el mundo. Como resultado, también es uno de los CMS más dirigidos en Internet. A menudo, en las noticias, hay informes de varios sitios de WordPress pirateados en una sola campaña de malware. La mayoría de las veces, muchos sitios web tienen una vulnerabilidad común que no se repara. Esto conduce al compromiso de varios sitios web de una sola vez. Una auditoría de seguridad de WordPress es una respuesta a todos estos problemas.
Según Ira Winkler, presidente de Internet Security Advisors Group,
“Las auditorías de seguridad, las evaluaciones de vulnerabilidad y las pruebas de penetración son los tres tipos principales de diagnósticos de seguridad. Cada uno de los tres adopta un enfoque diferente y puede ser más adecuado para un propósito en particular «.
Este artículo explica qué es una auditoría de seguridad de WordPress y por qué la necesita. También se mencionan los pasos y herramientas para realizarlo.
¿Qué es una auditoría de seguridad?
Una auditoría de seguridad de WordPress está probando su sitio web con una lista específica de medidas de seguridad. Esta evaluación incluye probar todos los archivos, complementos y temas centrales de WordPress, etc. Se pueden usar varias herramientas para acelerar la auditoría. Luego, los profesionales pueden analizar los resultados para brindarle consejos precisos sobre las medidas de seguridad de WordPress.
El siguiente paso después de la auditoría de seguridad de WordPress es realizar una prueba de penetración. Esto significa que los problemas encontrados durante la auditoría de seguridad se prueban para ver si son explotables. Esto ayuda a evaluar el nivel de amenaza que representa una vulnerabilidad en particular o una configuración incorrecta. Es muy útil para proteger su sitio de WordPress contra los piratas informáticos.
¿Por qué necesita auditar su WordPress?
Hay más de una razón para realizar una auditoría de seguridad de WordPress. El principal es encontrar problemas de seguridad en su sitio web antes de que lo hagan los piratas informáticos. Hay muchos lugares donde los problemas de seguridad pueden estar escondidos como complementos, temas, etc. Para buscar cada uno de ellos, definitivamente se necesita una auditoría de seguridad.
Otra razón es evitar la molestia que enfrenta en caso de que su sitio de WordPress sea pirateado. Puede ser un proceso tedioso y costoso eliminar el malware de su sitio web. Sin mencionar el tiempo de inactividad que enfrentará su sitio de WordPress, lo que provocará una pérdida de ingresos, así como la reputación de su sitio. Entonces, una puntada en el tiempo al hacer una auditoría de seguridad de WordPress puede ahorrarle nueve.
Dependiendo del sector en el que opere su sitio de WordPress, existen ciertas pautas regulatorias que deben seguirse. Por ejemplo, GDPR para sitios que operan dentro de la Unión Europea. En tales casos, existen ciertos estándares de seguridad que cada sitio debe seguir. Por lo tanto, una auditoría de seguridad de WordPress se vuelve obligatoria en estos casos.
¿Cómo realizar una auditoría de seguridad de WordPress? (Incluir herramientas)
Para comenzar cualquier trabajo, necesita el conjunto de herramientas adecuado. Entonces, para realizar una auditoría de seguridad de WordPress, las herramientas necesarias se pueden encontrar empaquetadas en un sistema operativo llamado Kali Linux. Hay varias formas de utilizar este sistema operativo en su sistema. Una es que puede iniciar su sistema de forma dual. El otro lo está utilizando mediante Virtual Box. La última opción es fácil de seguir para los usuarios promedio. Ahora que todo está listo, procedamos a nuestra auditoría.
WPScan
WPScan es una herramienta diseñada específicamente para descubrir vulnerabilidades en WordPress. Mantiene una base de datos de vulnerabilidades en WordPress. A partir de entonces, escanea los diversos componentes en su sitio de WordPress como complementos, versiones, etc. y los compara con la base de datos. En caso de que se detecte una vulnerabilidad, te lo notifica. Para utilizar esta herramienta para auditar la seguridad de WordPress en su sitio, inicie Kali. Luego, abra la terminal y ejecute el siguiente comando:
wpscan --url http://www.example.com
Aquí reemplace example.com con la URL de su sitio y se iniciará el análisis.
Mientras escanea, si se encuentra alguna vulnerabilidad, WPScan le notificará como se muestra en la imagen a continuación. Actualiza el complemento vulnerable. En caso de que no haya ninguna actualización disponible, utilice una alternativa por el momento.
Sqlmap
Sqlmap puede ayudarlo a descubrir errores de inyección de SQL en su sitio de WordPress. Estos son bastante comunes debido a los estándares de codificación deficientes adoptados por algunos desarrolladores de complementos. Un error de SQLi puede comprometer toda la base de datos de su sitio de WordPress. Para comenzar a encontrar algunos de ellos en su sitio, haga una lista de todas las URL que desea escanear. Guárdelos en el archivo diga target.txt. Luego, encienda su Kali, abra la terminal y escriba el siguiente comando:
sqlmap -m "/root/home/target.txt" --random-agent --dbms="MySQL" --dbs --batch
Aquí, reemplace /root/home/target.txt con la ubicación de su archivo de destino. La opción –Dbs intentará enumerar su base de datos de WordPress en caso de que se explote un error de SQLi. Mientras que la -lote option automatizará la selección de opciones.
Nikto
Nikto es una herramienta diseñada para encontrar errores de configuración y vulnerabilidades comunes del servidor. A veces, el servidor que aloja su sitio puede ser vulnerable. Entonces, esta herramienta cal ayuda con la auditoría de seguridad de WordPress. Para usar esta herramienta, abra Kali Linux, abra la terminal y ejecute el siguiente comando:
nikto -h www.example.com
Reemplazar example.com con la URL de su sitio de WordPress. A partir de entonces, Nikto comenzará a encontrar errores de configuración y vulnerabilidades, como se muestra en la imagen a continuación.
XSSer
XSS también es una de las vulnerabilidades comunes que se encuentran en los complementos, temas, etc. de WordPress. XSSer es la herramienta perfecta para encontrarlos durante una auditoría de seguridad de WordPress. Para los principiantes, sería mejor usar la versión GUI de esta herramienta. Para hacerlo, abra la terminal en Kali y ejecute el siguiente comando:
xsser --gtk
Esto abrirá una interfaz gráfica como la que se muestra en la imagen a continuación.
Simplemente ingrese las opciones y comience a encontrar errores XSS en su sitio de WordPress. Si necesita saber más sobre el uso, siga esta documentación.
PhpStan
Esta herramienta se puede utilizar para auditar la seguridad de WordPress y su código PHP estático. Puede detectar varios tipos de errores de codificación. Tendrá que instalar esta herramienta por separado en Kali. Alternativamente, puede usar una extensión de WordPress de PhpStan. Para descargarlo e instalarlo en Kali, siga esta documentación. Haga una copia local de su sitio de WordPress para analizar el código. Luego, abra la terminal y ejecute el siguiente comando:
vendor/bin/phpstan analyse WpFolder
Reemplazar WpFolder con la carpeta en la que está presente la copia local de su sitio de WordPress que desea escanear.
Pruebas profesionales de penetración de WordPress
Este artículo cubre solo los conceptos básicos de la auditoría de seguridad de WordPress, ya que no es posible incluir todo en un artículo. Estos conceptos básicos garantizan que su sitio sea seguro en un nivel básico. Sin embargo, un hacker más hábil puede encontrar fácilmente su propio camino a través de la seguridad de su sitio web.
Por lo tanto, para aumentar su nivel de seguridad, es imprescindible una auditoría de seguridad de WordPress realizada por profesionales. Incluso si tiene un blog pequeño, no hay nada de qué preocuparse por las limitaciones presupuestarias, ya que Astra lo tiene cubierto con sus planes asequibles. Proporciona una amplia gama de pruebas de seguridad para su sitio de WordPress.
.