¿Le preocupa que los piratas informáticos ataquen su sitio web?

Las secuencias de comandos entre sitios, también llamadas XSS, son uno de los ataques más comunes en los sitios de WordPress. Los piratas informáticos encuentran vulnerabilidades en su sitio y las utilizan para robar información y hacer un mal uso de su sitio web.

Lo que es peor es que si no lo soluciona de inmediato, estos hacks podrían provocar daños más graves, del tipo del que es realmente difícil recuperarse.

Puede evitar estos ataques instalando un cortafuegos en su sitio de WordPress .

Si su sitio web ya está siendo atacado, le mostraremos cómo solucionarlo de inmediato en un lenguaje sencillo para principiantes. Mantendremos la jerga de ciberseguridad al mínimo en este tutorial. También le mostraremos cómo prevenir futuros ataques.

Primero, comprendamos rápidamente qué sucede en un ataque XSS para que esté mejor equipado para manejarlo.

¿Qué es un ataque XSS en WordPress?

XSS significa Cross Site Scripting, que es un tipo de ataque de inyección en el que los piratas informáticos inyectan scripts maliciosos en un sitio web.

Estos scripts se disfrazan de buen código en un sitio web de confianza. Luego, cuando un usuario llega a este sitio web, su navegador ejecuta todo el código, incluido el script malicioso, porque cree que se trata de instrucciones confiables.

En términos más simples, imagina que eres un espía y acabas de recibir un correo electrónico oficial del gobierno sobre una misión ultrasecreta. Contiene todas las instrucciones que debe seguir hasta la T.

Lo que no sabe es que alguien interceptó ese correo electrónico y agregó algunas instrucciones más propias. El gobierno no tiene idea al respecto y no te molestas en verificar dos veces porque confías en la fuente.

Parte de eso no tiene sentido, pero estás entrenado para obedecer todas las órdenes para lograr tu misión.

En este escenario, el gobierno es su sitio web y el espía es el navegador del usuario. El navegador sigue las instrucciones de su sitio web y no puede diferenciar entre los scripts buenos y malos.

Estos scripts suelen estar en Javascript, uno de los lenguajes de programación más populares y utilizados. Sin embargo, estos ataques pueden tener lugar utilizando cualquier lenguaje del lado del cliente.

Ahora hay muchas formas de llevar a cabo un ataque XSS. Una forma es enviar un enlace a los usuarios desprevenidos para que hagan clic en él. Una vez que hacen clic en él, el ataque posiblemente puede hacer uno o más de los siguientes:

  • Redirigir a los usuarios a un sitio malicioso
  • Captura las pulsaciones de teclas del usuario
  • Ejecutar exploits basados ​​en navegador web
  • Robar información de cookies del usuario conectado a una cuenta

Si el pirata informático puede robar información de cookies, puede comprometer completamente la cuenta del usuario. Por ejemplo, si ha iniciado sesión en el panel de administración de wp de su sitio web, el pirata informático puede robar sus credenciales e iniciar sesión en su sitio.

Lo que debe hacer para evitar estos ataques es asegurarse de que todos los datos de los usuarios se validen y desinfecten correctamente antes de ingresar a su sitio web. De esa manera, ninguna entrada del usuario puede ser un código Javascript malicioso. Además de eso, debe asegurarse de que no haya vulnerabilidades XSS en su sitio que puedan permitir que un pirata informático ataque.

Apenas hemos arañado la superficie de los ataques XSS, pero esperamos que tenga una buena comprensión de cómo funciona un ataque XSS de WordPress. Ahora, si sospecha que su sitio ha sido pirateado, siga nuestro sencillo tutorial paso a paso a continuación.

Cómo encontrar y corregir un ataque XSS en WordPress

Para encontrar cualquier tipo de malware o piratería en su sitio, deberá ejecutar un análisis profundo en todo su sitio web, incluidos sus archivos y la base de datos.

Usaremos Sucuri para escanear y limpiar su sitio pirateado. Sucuri le brinda una sólida configuración de seguridad que incluye un firewall, un escáner de malware y un limpiador de malware.

jugos-seguridad-plugin

Sucuri ofrece un escáner de malware de sitios web gratuito que puede instalar dentro de su sitio de WordPress navegando a Complementos » Agregar nueva pestaña.

Recomendamos utilizar el escáner premium del lado del servidor. Esto dará vuelta a su sitio web para encontrar cualquier rastro de malware.

Además de eso, aquí hay algunos de sus aspectos más destacados:

  • Supervisa el spam y los scripts maliciosos
  • Comprueba si hay puertas traseras ocultas creadas por piratas informáticos
  • Detecta cambios realizados en DNS (sistema de nombres de dominio) y SSL
  • Verifica listas negras con motores de búsqueda y otras autoridades
  • Supervisa el tiempo de actividad del sitio web
  • Alertas instantáneas por correo electrónico, SMS, Slack y RSS

Sucuri viene con un precio de $199.99 por año. Si eso está fuera de su presupuesto, puede probar otros complementos de seguridad. 

Al seleccionar un complemento de seguridad, asegúrese de que le brinde todas las funciones de seguridad cibernética que necesita para encontrar y corregir infecciones de malware y proteger su sitio web.

Paso 1: escanear su sitio web

Para comenzar, deberá suscribirse a un plan con Sucuri. Luego, inicie sesión en el tablero de Sucuri donde puede agregar su sitio.

Agregar sitio en Sucuri

Aquí, deberá conectar su sitio web ingresando sus credenciales de FTP. Si no conoce sus credenciales de FTP, puede obtenerlas de su servidor web.

Conectar sitio a Sucuri

Cuando su sitio esté conectado, Sucuri ejecutará automáticamente un análisis exhaustivo de su sitio web. Una vez hecho esto, le mostrará un informe detallado en la pestaña 'Mis sitios' .

Sitio del panel de control de Sucuri infectado

Ahora puede hacer clic en el botón 'Detalles' junto al mensaje de advertencia. Esto abrirá la página de Monitoreo donde puede ver los detalles del hackeo o infección.

Paso 2: solicitar una limpieza de malware

En la página Supervisión , puede ver qué tipo de malware ha infectado su sitio. Sucuri agrega una calificación para indicar el nivel de riesgo. Entonces, si es un riesgo crítico o alto, sabe que debe solucionarlo de inmediato. Además de eso, también le mostrará si su sitio ha sido incluido en la lista negra de algún motor de búsqueda.

Limpiar el sitio con Sucuri

Ahora que sabe que su sitio está infectado, necesita limpiarlo y Sucuri lo hace realmente fácil para usted. Para comenzar con el proceso, haga clic en el botón 'Limpiar mi sitio' .

Solicitud de eliminación de malware en Sucuri

En la página siguiente, haga clic en el botón Nueva solicitud de eliminación de malware y aparecerá un formulario donde puede ingresar los detalles de su sitio.

Formulario de solicitud de eliminación de malware en Sucuri

Simplemente complete el formulario y envíelo. Una vez hecho esto, los expertos en seguridad de Sucuri limpiarán su sitio por usted. En caso de que no sepa alguno de los detalles que necesita para el formulario, puede pedírselos a su proveedor de alojamiento web.

Ahora puede que se pregunte cuánto tiempo llevaría limpiar su sitio.

Sucuri da preferencia a los usuarios del plan Business. Aseguran un tiempo de respuesta de 6 horas. Para otros planes, depende de cuán compleja sea la infección de su sitio y el volumen de solicitudes que tengan en cola.

Inmediatamente después de un ataque, recomendamos enfáticamente cerrar la sesión de todos los usuarios de su sitio y cambiar sus credenciales de inicio de sesión para estar seguros.

Cómo prevenir ataques XSS en su sitio de WordPress

Siempre es mejor proteger su sitio web y evitar este tipo de ataques de malware en su sitio. Es mucho más fácil y económico que tratar de arreglar un sitio web pirateado. Estos son nuestros principales pasos recomendados para evitar ataques XSS en su sitio.

1. Habilite un firewall de aplicaciones web (WAF)

Sucuri tiene uno de los mejores cortafuegos para sitios de WordPress. No solo bloquea los ataques XSS, sino también todo tipo de otros ataques de malware como DDoS, Brute Force, Phishing e inyecciones de SQL.

El firewall se ubicará frente a su sitio web y escaneará a todos los usuarios que ingresen. Identificará y bloqueará los bots malos antes de que lleguen a su sitio.

Para habilitar el firewall de Sucuri, vaya a la pestaña Firewall en su tablero de Sucuri.

Seleccione su sitio y verá las instrucciones de configuración que puede seguir. Sucuri te da 2 opciones para configurar el firewall:

1. Integración automática: simplemente ingrese sus credenciales de hosting usando cPanel o Plesk. Este método requiere que le des acceso a Sucuri al servidor de tu sitio web para configurar automáticamente el firewall en tu sitio.

Jugos de cortafuegos Waf

2. Integración manual: puede configurar el firewall por su cuenta sin otorgar acceso interno a Sucuri. Para comenzar, haga clic en el enlace del dominio interno y asegúrese de que se cargue.

comprobar enlace de dominio interno

A continuación, puede configurar su DNS para apuntar su tráfico web al firewall Sucuri. Para esto, deberá acceder a los registros DNS en su cuenta de alojamiento. Aquí, puede cambiar el registro 'A' de su sitio e ingresar las direcciones IP que proporciona Sucuri.

direcciones ip de sucuri dns

Si está estresado porque todo esto es demasiado complicado, puede pedir ayuda a su proveedor de alojamiento web y lo guiarán a través del proceso. Además de eso, también puede generar un ticket de soporte con Sucuri y su equipo de soporte lo ayudará a cambiar los registros DNS.

Para abrir un ticket, encontrará un enlace dentro de las instrucciones del manual en la misma página.

abre un ticket de jugos

Una vez que haya terminado de configurar el firewall, los cambios suelen tardar unas horas en reflejarse. Puede esperar un tiempo de espera máximo de 48 horas.

Cuando habilite el firewall, agregará automáticamente encabezados de seguridad a su sitio para protegerlo de los ataques XSS.

Si hay un intento de ataque XSS, Sucuri lo bloqueará y se lo informará en la pestaña Informes .

Ahora, lo que nos encanta del firewall Sucuri es que es muy fácil de usar para cualquiera, incluidos los principiantes. No es necesario ser un experto en seguridad cibernética ni saber nada de codificación.

Puede habilitar todo tipo de funciones de protección con solo un clic en la pestaña Configuración » Seguridad .

Entonces, por ejemplo, puede habilitar la protección DDoS y el bloqueo geográfico para dificultar que los piratas informáticos ataquen su sitio.

Protección de emergencia ddos

Para habilitar una función de seguridad aquí, todo lo que tiene que hacer es marcar la casilla y guardar su configuración. Cuando necesites desactivarlo, simplemente tienes que desmarcar la casilla.

Aparte de esto, el complemento de Sucuri:

  • Escanee y controle periódicamente en busca de spam y código malicioso
  • Alertarlo de cualquier vulnerabilidad de secuencias de comandos entre sitios
  • Bloquea bots y hackers malos
  • Verifique las listas negras con los motores de búsqueda y otras autoridades
  • Supervisar el tiempo de actividad del sitio web
  • Detectar cambios realizados en DNS (sistema de nombres de dominio) y SSL
  • Enviarle alertas de seguridad instantáneas por correo electrónico, SMS, Slack y RSS

Así tu sitio estará protegido en todo momento.

2. Usa formularios seguros

En un sitio web vulnerable, los formularios son uno de los objetivos más comunes para los piratas informáticos. Si su formulario no es seguro, esto significa que cualquiera puede simplemente ingresar un código malicioso en los campos de su formulario.

Nuestra recomendación para proteger los formularios de su sitio web es WPForms . Es el creador de formularios de WordPress n.º 1 que tiene seguridad integrada para que sus formularios estén protegidos desde el principio.

De forma predeterminada, los formularios tienen activada la protección antispam. Además, incluso puede agregar CAPTCHA a sus formularios para bloquear los robots de spam.

NoCaptcha avanzado y Captcha invisible

Puede habilitar un captcha invisible o el tipo en el que un usuario tendrá que resolver un pequeño rompecabezas o marcar una casilla para demostrar que es humano.

3. Establecer permisos de roles de usuario

Cuando tiene varias personas trabajando en su sitio web, no es aconsejable otorgar acceso de administrador a todos. Es mejor asignarles roles en función de los permisos que necesitan.

WordPress te permite crear roles para:

  • Superadministrador
  • Administrador
  • Editor
  • Autor
  • Contribuyente
  • Abonado

Ahora, si un pirata informático obtiene el control de la cuenta de un usuario, estará limitado en lo que puede hacer en su sitio.

4. Usuarios inactivos de cierre de sesión automático

Los piratas informáticos pueden obtener acceso a las cuentas de los usuarios secuestrando sus sesiones de navegador y robando cookies.

Puede minimizar este riesgo cerrando la sesión de los usuarios inactivos de WordPress.

Muchos complementos de seguridad tienen una función de cierre de sesión inactivo o puede usar el complemento de cierre de sesión inactivo .

5. Actualice su sitio web regularmente

Los complementos de WordPress, los temas e incluso su instalación de WordPress se actualizan periódicamente. Los verá dentro de su tablero de WordPress cuando estén disponibles:

actualizaciones en wordpress

Muchos propietarios de sitios web ignoran las actualizaciones durante mucho tiempo, pero esto puede exponer su sitio web a los piratas informáticos. Las actualizaciones suelen incluir correcciones de errores, nuevas funciones y mejoras en el software. También pueden tener parches de seguridad. Puede ver si una actualización incluye un parche de seguridad consultando los detalles de la actualización.

ver los detalles de la versión de la actualización

Esto significa que se encontró una vulnerabilidad en el software que los piratas informáticos pueden usar para atacar su sitio. Cuando los desarrolladores encuentran problemas de seguridad, los reparan y lanzan una nueva versión del software.

Todo lo que tiene que hacer es actualizar el software en su sitio.

Entonces, si ve que es un parche de seguridad, actualícelo de inmediato para evitar cualquier riesgo de pirateo.

actualización de seguridad

Una de las principales razones por las que los propietarios de sitios ignoran las actualizaciones es que a veces pueden dañar su sitio o causar problemas de incompatibilidad. Le recomendamos que pruebe la actualización en un sitio provisional y luego la ejecute en su sitio en vivo.

Con eso, ha aprendido cómo reparar y prevenir ataques XSS en su sitio de WordPress.

Antes de terminar, le daremos un consejo de seguridad más. Realice siempre copias de seguridad periódicas de su sitio web.

Incluso con las medidas de seguridad más estrictas en su sitio, hay muchas cosas que pueden salir mal. Por ejemplo, un usuario puede cometer un simple error humano que bloquee su sitio web.

Puede configurar copias de seguridad automáticas utilizando un complemento de copia de seguridad como UpdraftPlus . 

preguntas frecuentes

1. ¿Es WordPress vulnerable a los ataques de secuencias de comandos entre sitios?

El software principal de WordPress está desarrollado y mantenido por algunos de los mejores expertos del mundo. Su software es bastante sólido, pero tenga en cuenta que ningún software está libre de vulnerabilidades.

La razón por la que los sitios web de WordPress son atacados con frecuencia es porque la plataforma es muy popular. Y la mayoría de los usuarios instalan toneladas de temas y complementos de terceros. Se pueden desarrollar vulnerabilidades en cualquiera de estos elementos y los piratas informáticos pueden explotarlas para piratear su sitio.

2. ¿Existen diferentes tipos de ataques de secuencias de comandos entre sitios?

Sí. Hay 3 tipos principales de ataques XSS:

  • XSS almacenado (también conocido como XSS persistente): los atacantes almacenan su carga útil en un servidor comprometido, lo que hace que el sitio web entregue código malicioso a otros visitantes.
  • XSS reflejado: la carga útil se almacena en los datos enviados desde el navegador al servidor.
  • DOM XSS: aquí, el servidor en sí no es el vulnerable a XSS, sino el JavaScript en la página.
  • Creación de secuencias de comandos entre sitios: los atacantes pueden explotar una vulnerabilidad que necesita un contexto realmente específico y cambios manuales. La víctima aquí solo puede ser usted mismo.
  • Scripts cruzados ciegos: en estos ataques, la vulnerabilidad comúnmente se encuentra en una página a la que solo pueden acceder los usuarios autorizados. El atacante no puede ver el resultado de un ataque.

3. ¿Cómo me aseguro de que no haya otros problemas de seguridad en mi sitio?

Asegúrese de tener siempre instalado un complemento de seguridad en su sitio web. Esta es una necesidad para todo tipo de sitios web, incluidos WooCommerce, blogs y sitios de pequeñas empresas. Recomendamos Sucuri, pero también puede consultar Wordfence, MalCare y SiteLock. 

Eso es todo lo que tenemos para ti hoy. Esperamos que esta publicación le haya brindado todo lo que necesita para proteger su sitio web.