Inyecciones SQL: ataques al corazón tus sitio

Tobias Schüring Actualizado el 15.01.2020
6 Min.
Inyecciones SQL

Además de Brute Force Ataques redive WordPress Inyecciones SQL en la lista de las mayores amenazas a WordPress los sitios. Son manipulaciones relativamente sencillas de las páginas de la base tus de datos. Los hackers pueden acceder a datos confidenciales o configurar ellos mismos cuentas de administración y manipular tu sitio a voluntad. Mostramos cómo funciona el ataque y por qué es tan peligroso.

Marzo de 2008: Hacker (incluyendo, por cierto, un verdadero mastermind) se apoderen de 134 millones de datos de tarjetas de crédito en el grupo americano Heartland Payment Systems. Mediados de 2016: Presumiblemente los hackers rusos adquieren Acceso a la base de datos de votantes registrados de la Junta de Elecciones del Estado de Illinois. Algo similar sucede en Arizona. Febrero 2017: El traficante de armas americano Airsoft GI será Datos robados de 65.000 cuentas de usuario. Marzo de 2017: Presuntos hackers chinos se apoderan de los datos personales de 4.000 clientes de una aplicación coreana y envían mensajes de texto parcialmente obscenos a las víctimas.

Todos estos ataques tienen una cosa en común: detrás de ellos hay un hack relativamente simple llamado inyección SQL. Este ataque da a los hackers acceso a la base de datos y por lo tanto a todos los datos de usuario de un sitio. De hecho, las inyecciones SQL se consideran, por lo tanto, uno de los mayores peligros para los operadores de sitios web. También y especialmente para los webmasters que trabajan principalmente con WordPress .

Y como las tiendas más grandes y complejas en WooCommerceparticular han podido WordPress funcionar sin problemas, es importante entender, lo alto que es el riesgo de una WordPress inyección SQL y cómo esto trabajo.

¿Qué tan "peligrosas" son WordPress las inyecciones SQL?

La cuestión del "peligro" de un WordPress -no se puede responder en términos de un solo indicador. En cambio, deben considerarse al menos dos aspectos: Una es la probabilidad de que el hack sea exitoso... WordPress -WordPress Proyectos puede ser víctima de tal ataque, así como el daño que un hack puede causar.

En Brute Force Ataques por ejemplo, el número de ataques por mes es tan alto (en parte más de 1.000 millones de ataques medidos + el número estimado de ataques no declarados) que se puede decir que cada WordPress -WordPress Proyectos tarde o temprano es el objetivo de tal ataque. El daño que puede causar un hack exitoso es múltiple. La Brute Forcemayoría de los ataques también se utilizan para secuestrar sitios web e integrarlos en una red de robots. Guión de sitios cruzados por otra parte, ocurre con mucha menos frecuencia, pero se utiliza principalmente para crear sitios web con Infectar el código malicioso.

La organización sin fines de lucro Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP) publica regularmente una lista de los 10 mayores riesgos de seguridad para las aplicaciones web. Y las inyecciones SQL ocupan el primer lugar aquí permanentemente, también en el (aunque provisional) Lista para 2017.

Puedes ver un gráfico de la lista de los 10 mayores riesgos de seguridad para las aplicaciones Web, que publica regularmente la organización sin ánimo de lucro OWASP. Las inyecciones SQL ocupan el primer lugar aquí.
La organización sin fines de lucro OWASP publica regularmente una lista de los 10 mayores riesgos de seguridad para las aplicaciones Web. Las inyecciones SQL ocupan regularmente el primer lugar aquí.

De hecho, las inyecciones SQL han llegado para quedarse. El hack es conocido por más de 15 años. Y según el Informe de Seguridad del Estado de Internet de Akamai para 2017 la frecuencia de los ataques SQL ha aumentado en un 28 por ciento desde el primer trimestre de 2016. En el primer trimestre de 2017, las inyecciones SQL fueron las más frecuentes, representando el 44 por ciento de los ataques. 

Se ilustra aquí que en el primer trimestre de 2017 la inyección SQL es el hacking más frecuente, con un 44% de los ataques.
Según el Informe sobre el Estado de la Seguridad en Internet de Akamai de 2017, la inyección SQL fue el ataque más frecuente durante el primer trimestre de 2017, con un 44% de los ataques.

Wordfence, Productor de un software de seguridad para WordPress llega a la conclusión de que las inyecciones SQL son específicamente para WordPress -Los usuarios son un gran peligro. A Análisis de casi 1.600 vulnerabilidades de seguridad en Pluginsque se comunicaron durante un período de 14 meses, muestra claramente que las inyecciones SQL son el segundo riesgo de seguridad más común para WordPress los sitios.

El gráfico muestra claramente que las inyecciones SQL son el segundo riesgo de seguridad más común para WordPress las páginas.
El gráfico muestra que las inyecciones SQL son el segundo riesgo de seguridad más común para WordPress las páginas.

Con todos estos números hay que tener en cuenta que el número de casos no reportados es mucho más alto - a menudo los ataques SQL no se notan en absoluto y no aparecen en ninguna estadística.

Los números muestran que las inyecciones WordPress SQL se realizan de acuerdo con Brute Force Ataques y Las lagunas del XSS son uno de los tipos de ataque más comunes de todos. Las inyecciones SQL también se dirigen a un área particularmente sensibletus sitio : la tu base de datos. Estos hackeos son, por lo tanto, una amenaza existencial, especialmente para los operadores de tiendas. Por lo tanto, es importante entender cómo funcionan y qué se puede hacer al respecto.

WordPress Las inyecciones SQL apuntan al corazón tus sitio: La base de datos

Para entender cómo funciona una inyección SQL, hay que entender la estructura WordPress básica. Si ya sabes esto, puedes salta esta sección con confianza.

La base de datos es la base de cada WordPress instalación: todos los contenidos se almacenan aquí. El propio CMS permite entonces mostrar y editar este contenido. Esta WordPress es una base de datos MySQL. SQL son las siglas de Structured Query Language (Lenguaje de consulta estructurado), un lenguaje de programación con todas las funciones que puede utilizarse para crear estructuras en una base de datos y para insertar, modificar y eliminar datos.

Cada vez que se escribe un artículo, se crea una nueva categoría, se cambia tu la contraseña o incluso cuando los tu usuarios escriben un comentario, estos nuevos datos se almacenan en la base de datos. Así que aquí es donde se encuentra cada sitio web de contenidotus .

WordPress Cada vez que un usuario tu sitio llama y solicita cierto contenido, extrae los datos apropiados de la base de datos, los fusiona con PHP y crea un documento HTML que finalmente se transfiere al navegador del usuario. El usuario no se da cuenta de nada de todos los procesos que tienen lugar hasta entonces.

Las inyecciones SQL inyectan código externo en la base de datos

Incluso si nunca interactúas directamente con la base de datos, sino sólo con el WordPress backend: La base de datos es el corazón tus del sitio web.

Pero como dije, los usuarios también pueden introducir datos en la base de datos. Escribir un comentario, crear una cuenta de usuario, rellenar un formulario de contacto y enviarlo - todas estas acciones generan datos que se almacenan en la base de datos.

¿Pero qué pasa si alguien utiliza este acceso indirecto a tus la base de datos para introducir de contrabando código malicioso en la base de datos? Esto se llama una inyección SQL.

La idea detrás de esto no es particularmente complicada: Si no existen medidas de seguridad, el hacker sólo tiene que introducir el código SQL en un campo de formulario (por ejemplo, al escribir un comentario). Contiene caracteres que tienen una función especial para el intérprete SQL, que se encarga de ejecutar los comandos SQL en la base de datos. Tales personajes especiales, llamados meta personajes, son por ejemplo ; " y \ ~ -.

La CMS cree que los datos son inofensivos y pasa la entrada a la base de datos con la orden de guardarla, como siempre. El intérprete SQL reconoce el código por los meta caracteres como una petición de acción y ejecuta el comando de la base de datos.

Por cierto, lo mismo se aplica a las inyecciones de SQL que a los Brute Forceataques: casi nunca hay un hacker que se siente solo en el ordenador e introduzca manualmente los códigos en los formularios. Estos ataques también se llevan a cabo a través de redes de bots automatizadas, que escanean miles de sitios web simultáneamente en busca de puntos débiles y atacan donde encuentran uno.

¿Qué puede pasar ahora?

  • El hacker elude cualquier mecanismo de autenticación o se esconde detrás de la identidad de un usuario existente para obtener acceso. Por ejemplo, si un hacker crea una nueva cuenta de administrador, también se habla de una Explotación de la escalada del privilegio.
  • De esta manera puede espiar, cambiar o borrar datos. Esto es particularmente crítico si tienes una tienda online y tienes los datos tus de pago de los clientes disponibles.
  • Puede tomar el control de tu toda la websitio y de su espacio web, por ejemplo, entrando como administrador y obteniendo acceso al tu backend. Así que un hacker tiene el control total tu sitio y puede abusar de él como un lanzador de spam, introducir código malicioso o insertarlo en una red de bots.

Conclusión: WordPress las inyecciones SQL son muy peligrosas debido a la automatización

WordPress Las inyecciones de SQL están entre las más peligrosas de todas. Son fáciles de realizar, en su mayoría automatizadas y pueden causar daños masivos: Especialmente para los dueños de tiendas el peligro de las inyecciones SQL es existencial.

Por lo tanto, es importante proteger tu sitio en consecuencia: Las entradas del usuario deben ser revisadas y limpiadas. También debe enmascarar los datos para evitar que se ejecute el código malicioso. Este proceso se denomina Saneamiento y Validación de Datos y se utiliza, por ejemplo, en la WordPress Códice se discute en detalle. Sin embargo, en uno de los siguientes artículos entraremos en más detalle y le mostraremos cómo evitar que el código malicioso se active en las tus bases de datos.

La seguridadPlugins integral también puede ser de ayuda fundamental en este caso, ya que son particularmente capaces de bloquear los ataques automatizados en tu los sitios que son la base de muchos hackeos.

Como administrador de sistemas, Tobías vigila nuestra infraestructura y encuentra todas las formas posibles de optimizar el rendimiento de nuestros servidores. Debido a sus incansables esfuerzos, a menudo se le Slack encuentra por la noche.

Artículos relacionados

Comentarios sobre este artículo

Escriba un comentario

tu La dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con * marcado.