WordPress es sin duda el CMS más utilizado en el mundo. Como resultado, también es uno de los CMS más ampliamente dirigidos en Internet. A menudo, en las noticias, hay informes de múltiples sitios de WordPress pirateados en una sola campaña de malware. La mayoría de las veces, muchos sitios web tienen una vulnerabilidad común que no tiene parches. Esto lleva al compromiso de múltiples sitios web de una sola vez. Una auditoría de seguridad de WordPress es una respuesta a todos estos problemas.

Según Ira Winkler, presidente del Grupo de Asesores de Seguridad de Internet,

“Las auditorías de seguridad, las evaluaciones de vulnerabilidad y las pruebas de penetración son los tres tipos principales de diagnósticos de seguridad. Cada uno de los tres adopta un enfoque diferente y puede ser el más adecuado para un propósito particular «.

Este artículo explica qué es una auditoría de seguridad de WordPress y por qué la necesita. También se mencionan los pasos y herramientas para realizarlo.

¿Qué es una auditoría de seguridad?

Una auditoría de seguridad de WordPress está probando su sitio web contra una lista específica de medidas de seguridad. Esta evaluación incluye probar todos los archivos, complementos y temas principales de WordPress, etc. Se pueden usar varias herramientas para acelerar la auditoría. Luego, los profesionales pueden analizar los resultados para brindarle consejos precisos sobre sus medidas de seguridad de WordPress.

El siguiente paso después de la auditoría de seguridad de WordPress es ir por un prueba de penetración. Esto significa que los problemas encontrados durante la auditoría de seguridad se prueban para ver si son explotables. Esto ayuda a evaluar el nivel de amenaza que representa una vulnerabilidad particular o una configuración incorrecta. Es muy útil para asegurar su sitio de WordPress contra los piratas informáticos.

¿Por qué necesitas auditar tu WordPress?

Hay más de una razón para hacer una auditoría de seguridad de WordPress. El principal es encontrar problemas de seguridad en su sitio web antes que los hackers. Hay muchos lugares donde los problemas de seguridad pueden estar ocultos, como complementos, temas, etc. Para buscar cada uno de ellos, definitivamente se necesita una auditoría de seguridad.

Otra razón es evitar la molestia que enfrenta en caso de que su El sitio de WordPress está pirateado. Puede ser un proceso tedioso y costoso para eliminar el malware de su sitio web. Sin mencionar el tiempo de inactividad que enfrentará su sitio de WordPress, lo que provocará la pérdida de ingresos y la reputación de su sitio. Entonces, una puntada a tiempo al hacer una auditoría de seguridad de WordPress puede ahorrarle nueve.

Dependiendo del sector en el que opera su sitio de WordPress, hay ciertas pautas regulatorias que deben seguirse. Por ejemplo, GDPR para sitios que operan dentro de la Unión Europea. En tales casos, hay ciertos estándares de seguridad que cada sitio debe seguir. Por lo tanto, una auditoría de seguridad de WordPress se vuelve obligatoria en estos casos.

¿Cómo llevar a cabo una auditoría de seguridad de WordPress? (Incluir herramientas)

Para comenzar cualquier trabajo, necesita el conjunto correcto de herramientas. Entonces, para realizar una auditoría de seguridad de WordPress, las herramientas necesarias se pueden encontrar agrupadas en un sistema operativo llamado Kali Linux. Hay varias formas de usar este sistema operativo en su sistema. Una es que puede iniciar dualmente su sistema. El otro lo está utilizando por medio de Caja virtual. La última opción es fácil de seguir para los usuarios promedio. Ahora que todo está listo, procedamos a nuestra auditoría.

WPScan

WPScan es una herramienta diseñada específicamente para descubrir vulnerabilidades en WordPress. Mantiene una base de datos de vulnerabilidades en WordPress. Posteriormente, escanea los diversos componentes en su sitio de WordPress como complementos, versiones, etc. y los compara con la base de datos. En caso de que se detecte una vulnerabilidad, se lo notifica. Para usar esta herramienta para auditar la seguridad de WordPress en su sitio, inicie Kali. Luego, abra la terminal y ejecute el siguiente comando:

wpscan --url http://www.example.com

Aquí reemplaza ejemplo.com con la URL de su sitio y comenzará el escaneo.

Durante el escaneo, si se encuentra alguna vulnerabilidad, WPScan le notificará como se muestra en la imagen a continuación. Actualiza el complemento vulnerable. En caso de que no haya actualizaciones disponibles, utilice una alternativa por el momento.

Auditoría de seguridad de WordPress usando wpscan

Sqlmap

Sqlmap puede ayudarlo a descubrir errores de inyección SQL en su sitio de WordPress. Estos son bastante comunes debido a los pobres estándares de codificación adoptados por algunos desarrolladores de complementos. Un error de SQLi puede comprometer la base de datos completa de su sitio de WordPress. Para comenzar a encontrar algunos de ellos en su sitio, haga una lista de todas las URL que desea escanear. Guárdelos en el archivo, por ejemplo, target.txt. Luego, encienda su Kali, abra la terminal y escriba el siguiente comando:

sqlmap -m "/root/home/target.txt" --random-agent --dbms="MySQL" --dbs --batch

Aquí, reemplace /root/home/target.txt con la ubicación de su archivo de destino. La opción –Dbs intentará enumerar su base de datos de WordPress en caso de que se explote un error SQLi. Mientras que la -lote La opción automatizará la selección de opciones.

Auditoría de seguridad de WordPress usando SQLMAP

Nikto

Nikto es una herramienta diseñada para encontrar vulnerabilidades y configuraciones comunes de servidores. A veces, el servidor que aloja su sitio puede ser vulnerable. Entonces, esta herramienta ayuda con la auditoría de seguridad de WordPress. Para usar esta herramienta, abra Kali Linux, abra la terminal y ejecute el siguiente comando:

nikto -h www.example.com

Reemplazar ejemplo.com con la URL de tu sitio de WordPress. Posteriormente, Nikto comenzará a encontrar configuraciones erróneas y vulnerabilidades como se muestra en la imagen a continuación.

Auditoría de seguridad de WordPress con Nikto

XSSer

XSS también es una de las vulnerabilidades comunes que se encuentran en los complementos, temas, etc. de WordPress. XSSer es la herramienta perfecta para encontrarlos durante una auditoría de seguridad de WordPress. Para principiantes, sería mejor usar la versión GUI de esta herramienta. Para hacerlo, abra la terminal en Kali y ejecute el siguiente comando:

xsser --gtk

Esto abrirá una interfaz gráfica como la que se muestra en la imagen a continuación.

Escaneo de WordPress usando XSSer

Simplemente ingrese las opciones y comience a encontrar errores XSS en su sitio de WordPress. Si necesita saber más sobre el uso, siga esta documentación.

PhpStan

Esta herramienta se puede usar para auditar su seguridad de WordPress y su código PHP estático. Puede detectar varios tipos de errores de codificación. Tendrás que instalar esta herramienta por separado en Kali. Alternativamente, puedes usar una extensión de WordPress de PhpStan. Para descargarlo e instalarlo en Kali, siga esta documentación. Haga una copia local de su sitio de WordPress para analizar el código. Luego, abra la terminal y ejecute el siguiente comando:

vendor/bin/phpstan analyse WpFolder

Reemplazar WpFolder con la carpeta en la que está presente la copia local de su sitio de WordPress que desea escanear.

Prueba de penetración profesional de WordPress

Este artículo cubre solo los conceptos básicos de la auditoría de seguridad de WordPress, ya que no es posible incluir todo en un artículo. Estos conceptos básicos aseguran que su sitio sea seguro en un nivel básico. Sin embargo, un hacker más hábil puede encontrar fácilmente su propio camino a través de la seguridad de su sitio web.

Entonces, para aumentar su nivel de seguridad, un Auditoría de seguridad de WordPress por profesionales es un deber. Incluso si es un blog pequeño, no hay nada de qué preocuparse por las restricciones presupuestarias, ya que Astra lo tiene cubierto con sus planes asequibles. Proporciona una amplia gama de pruebas de seguridad para su sitio de WordPress.