WordPress es sin duda el CMS más utilizado en el mundo. Como resultado, también es uno de los CMS más utilizados en Internet. A menudo, en las noticias, hay informes de varios sitios de WordPress pirateados en una sola campaña de malware. La mayoría de las veces, muchos sitios web tienen una vulnerabilidad común que no se repara. Esto lleva al compromiso de múltiples sitios web de una sola vez. Una auditoría de seguridad de WordPress es una respuesta a todos estos problemas.
Según Ira Winkler, presidente del Grupo de Asesores de Seguridad de Internet,
“Las auditorías de seguridad, las evaluaciones de vulnerabilidad y las pruebas de penetración son los tres tipos principales de diagnósticos de seguridad. Cada uno de los tres adopta un enfoque diferente y puede ser el más adecuado para un propósito particular”.
Este artículo explica qué es una auditoría de seguridad de WordPress y por qué la necesita. También se mencionan los pasos y herramientas para realizarlo.
¿Qué es una auditoría de seguridad?
Una auditoría de seguridad de WordPress está probando su sitio web contra una lista específica de medidas de seguridad. Esta evaluación incluye probar todos los archivos, complementos y temas principales de WordPress, etc. Se pueden usar varias herramientas para acelerar la auditoría. Luego, los profesionales pueden analizar los resultados para brindarle consejos precisos sobre las medidas de seguridad de WordPress.
El siguiente paso después de la auditoría de seguridad de WordPress es realizar una prueba de penetración. Esto significa que los problemas encontrados durante la auditoría de seguridad se prueban para ver si son explotables. Esto ayuda a evaluar el nivel de amenaza que plantea una vulnerabilidad particular o una configuración incorrecta. Contribuye en gran medida a proteger su sitio de WordPress contra los piratas informáticos.
¿Por qué necesitas auditar tu WordPress?
Hay más de una razón para hacer una auditoría de seguridad de WordPress. El principal es encontrar problemas de seguridad en su sitio web antes de que lo hagan los piratas informáticos. Hay muchos lugares donde los problemas de seguridad pueden estar ocultos, como complementos, temas, etc. Para buscar cada uno de ellos, definitivamente se necesita una auditoría de seguridad.
Otra razón es evitar la molestia que enfrenta en caso de que su sitio de WordPress sea pirateado. Quitar malware de su sitio web puede ser un proceso tedioso y costoso. Sin mencionar el tiempo de inactividad que enfrentará su sitio de WordPress, lo que provocará la pérdida de ingresos y la reputación de su sitio. Entonces, una puntada a tiempo al hacer una auditoría de seguridad de WordPress puede ahorrarle nueve.
Dependiendo del sector en el que opere su sitio de WordPress, existen ciertas pautas regulatorias que deben seguirse. Por ejemplo, GDPR para sitios que operan dentro de la Unión Europea. En tales casos, existen ciertos estándares de seguridad que cada sitio debe seguir. Por lo tanto, una auditoría de seguridad de WordPress se vuelve obligatoria en estos casos.
¿Cómo realizar una Auditoría de Seguridad de WordPress? (Incluir herramientas)
Para comenzar cualquier trabajo, necesita el conjunto adecuado de herramientas. Entonces, para realizar una auditoría de seguridad de WordPress, las herramientas necesarias se pueden encontrar agrupadas en un sistema operativo llamado Kali Linux. Hay varias formas de usar este sistema operativo en su sistema. Una es que puede arrancar su sistema de forma dual. El otro lo está utilizando mediante Virtual Box. La última opción es fácil de seguir para los usuarios promedio. Ahora que todo está listo, procedamos a nuestra auditoría.
WPScan
WPScan es una herramienta diseñada específicamente para descubrir vulnerabilidades en WordPress. Mantiene una base de datos de vulnerabilidades en WordPress. A partir de entonces, escanea los diversos componentes de su sitio de WordPress, como complementos, versiones, etc., y los compara con la base de datos. En caso de que se detecte una vulnerabilidad, te lo notifica. Para usar esta herramienta para auditar la seguridad de WordPress en su sitio, inicie Kali. Luego, abre la terminal y ejecuta el siguiente comando:
wpscan --url http://www.example.com
Aquí reemplazar ejemplo.com con la URL de su sitio y se iniciará el escaneo.
Mientras escanea, si se encuentra alguna vulnerabilidad, WPScan le notificará como se muestra en la imagen a continuación. Actualice el complemento vulnerable. En caso de que no haya ninguna actualización disponible, utilice una alternativa por el momento.
Sqlmap
Sqlmap puede ayudarlo a descubrir errores de inyección SQL en su sitio de WordPress. Estos son bastante comunes debido a los malos estándares de codificación adoptados por algunos desarrolladores de complementos. Un error de SQLi puede comprometer toda la base de datos de su sitio de WordPress. Para comenzar a encontrar algunos de ellos en su sitio, haga una lista de todas las URL que desea escanear. Guárdelos en un archivo, digamos target.txt. Luego, encienda su Kali, abra la terminal y escriba el siguiente comando:
sqlmap -m "/root/home/target.txt" --random-agent --dbms="MySQL" --dbs --batch
Aquí, reemplaza /raíz/inicio/objetivo.txt con la ubicación de su archivo de destino. La opción –dbs intentará enumerar su base de datos de WordPress en caso de que se explote un error de SQLi. Mientras que la -lote opción automatizará la selección de opciones.
Nikto
Nikto es una herramienta diseñada para encontrar errores de configuración y vulnerabilidades comunes del servidor. A veces, el servidor en el que aloja su sitio puede ser vulnerable. Entonces, esta herramienta ayuda con la auditoría de seguridad de WordPress. Para usar esta herramienta, abra Kali Linux, abra la terminal y ejecute el siguiente comando:
nikto -h www.example.com
Reemplazar ejemplo.com con la URL de su sitio de WordPress. A partir de entonces, Nikto comenzará a encontrar configuraciones incorrectas y vulnerabilidades, como se muestra en la imagen a continuación.
XSSer
XSS también es una de las vulnerabilidades comunes que se encuentran en los complementos, temas, etc. de WordPress. XSSer es la herramienta perfecta para encontrarlos durante una auditoría de seguridad de WordPress. Para principiantes, sería mejor usar la versión GUI de esta herramienta. Para hacerlo, abre la terminal en Kali y ejecuta el siguiente comando:
xsser --gtk
Esto abrirá una interfaz gráfica como la que se muestra en la imagen de abajo.
Simplemente ingrese las opciones y comience a encontrar errores XSS en su sitio de WordPress. Si necesita saber más sobre el uso, siga esta documentación.
PhpStan
Esta herramienta se puede utilizar para auditar la seguridad de WordPress y su código PHP estático. Puede detectar varios tipos de errores de codificación. Deberá instalar esta herramienta por separado en Kali. Alternativamente, puede usar una extensión de WordPress de PhpStan. Para descargarlo e instalarlo en Kali, siga esta documentación. Haz una copia local de tu sitio de WordPress para analizar el código. Luego, abre la terminal y ejecuta el siguiente comando:
vendor/bin/phpstan analyse WpFolder
Reemplazar Carpeta Wp con la carpeta en la que está presente la copia local de su sitio de WordPress que desea escanear.
Pruebas de penetración profesionales de WordPress
Este artículo cubre solo los conceptos básicos de la auditoría de seguridad de WordPress, ya que no es posible incluir todo en un artículo. Estos conceptos básicos garantizan que su sitio sea seguro en un nivel básico. Sin embargo, un pirata informático más hábil puede encontrar fácilmente su propio camino a través de la seguridad de su sitio web.
Por lo tanto, para aumentar su nivel de seguridad, es imprescindible una auditoría de seguridad de WordPress realizada por profesionales. Incluso si tiene un blog pequeño, no hay nada de qué preocuparse por las limitaciones presupuestarias, ya que Astra lo tiene cubierto con sus planes asequibles. Proporciona una amplia gama de pruebas de seguridad para su sitio de WordPress.
