Inyecciones SQL: Ataques al corazón de su sitio

6 Min.
Inyecciones SQL

Además de Brute Force Ataques redive WordPress Inyecciones SQL en la lista de las mayores amenazas a WordPress los sitios. Son manipulaciones relativamente sencillas de la base de datos de sus sitios. Los hackers pueden acceder a datos sensibles o crear sus propias cuentas de administración y manipular su sitio a voluntad. Mostramos cómo funciona el ataque y por qué es tan peligroso.

Marzo de 2008: Hacker (incluyendo, por cierto, un verdadero mastermind) se apoderen de 134 millones de datos de tarjetas de crédito en el grupo americano Heartland Payment Systems. Mediados de 2016: Presumiblemente los hackers rusos adquieren Acceso a la base de datos de votantes registrados de la Junta de Elecciones del Estado de Illinois. Algo similar sucede en Arizona. Febrero 2017: El traficante de armas americano Airsoft GI será Datos robados de 65.000 cuentas de usuario. Marzo de 2017: Presuntos hackers chinos se apoderan de los datos personales de 4.000 clientes de una aplicación coreana y envían mensajes de texto parcialmente obscenos a las víctimas.

Todos estos ataques tienen una cosa en común: detrás de ellos hay un hack relativamente simple llamado inyección SQL. En este ataque, los hackers obtienen acceso a la base de datos y por lo tanto a todos los datos de usuario de una página. De hecho, las inyecciones SQL se consideran, por lo tanto, uno de los mayores peligros para los operadores de sitios web. También y especialmente para los webmasters que trabajan principalmente conWordPress .

Y como las tiendas más grandes y complejas en WooCommerceparticular han podido WordPress funcionar sin problemas, es importante entender, lo alto que es el riesgo de una WordPress inyección SQL y cómo esto trabajo.

¿Qué tan "peligrosas" son WordPress las inyecciones SQL?

La cuestión del "peligro" de un WordPress -no se puede responder en términos de un solo indicador. En cambio, deben considerarse al menos dos aspectos: Una es la probabilidad de que el hack sea exitoso... WordPress -WordPress Proyectos puede ser víctima de tal ataque, así como el daño que un hack puede causar.

En Brute Force Ataques por ejemplo, el número de ataques por mes es tan alto (en parte más de 1.000 millones de ataques medidos + el número estimado de ataques no declarados) que se puede decir que cada WordPress -WordPress Proyectos tarde o temprano es el objetivo de tal ataque. El daño que puede causar un hack exitoso es múltiple. La Brute Forcemayoría de los ataques también se utilizan para secuestrar sitios web e integrarlos en una red de robots. Guión de sitios cruzados por otra parte, ocurre con mucha menos frecuencia, pero se utiliza principalmente para crear sitios web con Infectar el código malicioso.

La organización sin fines de lucro Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP) publica regularmente una lista de los 10 mayores riesgos de seguridad para las aplicaciones web. Y las inyecciones SQL ocupan el primer lugar aquí permanentemente, también en el (aunque provisional) Lista para 2017.

Puedes ver un gráfico de la lista de los 10 mayores riesgos de seguridad para las aplicaciones Web, que publica regularmente la organización sin ánimo de lucro OWASP. Las inyecciones SQL ocupan el primer lugar aquí.
La organización sin fines de lucro OWASP publica regularmente una lista de los 10 mayores riesgos de seguridad para las aplicaciones Web. Las inyecciones SQL ocupan regularmente el primer lugar aquí.

De hecho, las inyecciones SQL han llegado para quedarse. El hack es conocido por más de 15 años. Y según el Informe de Seguridad del Estado de Internet de Akamai para 2017 la frecuencia de los ataques SQL ha aumentado en un 28 por ciento desde el primer trimestre de 2016. En el primer trimestre de 2017, las inyecciones SQL fueron las más frecuentes, representando el 44 por ciento de los ataques. 

Se ilustra aquí que en el primer trimestre de 2017 la inyección SQL es el hacking más frecuente, con un 44% de los ataques.
Según el Informe sobre el Estado de la Seguridad en Internet de Akamai de 2017, la inyección SQL fue el ataque más frecuente durante el primer trimestre de 2017, con un 44% de los ataques.

Wordfence, Productor de un software de seguridad para WordPress llega a la conclusión de que las inyecciones SQL son específicamente para WordPress -Los usuarios son un gran peligro. A Análisis de casi 1.600 vulnerabilidades de seguridad en Pluginsque se comunicaron durante un período de 14 meses, muestra claramente que las inyecciones SQL son el segundo riesgo de seguridad más común para WordPress los sitios.

El gráfico muestra claramente que las inyecciones SQL son el segundo riesgo de seguridad más común para WordPress las páginas.
El gráfico muestra que las inyecciones SQL son el segundo riesgo de seguridad más común para WordPress las páginas.

Con todos estos números hay que tener en cuenta que el número de casos no reportados es mucho más alto - a menudo los ataques SQL no se notan en absoluto y no aparecen en ninguna estadística.

Los números muestran que las inyecciones WordPress SQL se realizan de acuerdo con Brute Force Ataques y Las lagunas del XSS son uno de los tipos de ataques más comunes de todos. Las inyecciones SQL también se dirigen a un área particularmente sensible de su sitio: su base de datos. Especialmente para los dueños de tiendas, estos hackers son una amenaza existencial. Por lo tanto, es importante entender cómo funcionan y qué se puede hacer al respecto.

WordPress Las inyecciones SQL apuntan al corazón de su sitio: la base de datos

Para entender cómo funciona una inyección SQL, hay que entender la estructura WordPress básica. Si ya sabes esto, puedes salta esta sección con confianza.

La base de datos es la base de cada WordPress instalación: todos los contenidos se almacenan aquí. El propio CMS permite entonces mostrar y editar este contenido. Esta WordPress es una base de datos MySQL. SQL son las siglas de Structured Query Language (Lenguaje de consulta estructurado), un lenguaje de programación con todas las funciones que puede utilizarse para crear estructuras en una base de datos y para insertar, modificar y eliminar datos.

Cada vez que escribes un artículo, creas una nueva categoría, cambias tu contraseña o incluso cuando tus usuarios escriben un comentario, estos nuevos datos se almacenan en la base de datos. Así que aquí está cada uno de los contenidos de su sitio web.

WordPress cada vez que un usuario visita su sitio y solicita cierto contenido, extrae los datos apropiados de la base de datos, los fusiona con PHP y crea un documento HTML que finalmente se envía al navegador del usuario. El usuario no se da cuenta de nada de todos los procesos que tienen lugar hasta entonces.

Las inyecciones SQL inyectan código externo en la base de datos

Incluso si nunca interactúas directamente con la base de datos, sino sólo con el WordPress backend: La base de datos es el corazón de tu sitio web.

Pero como dije, los usuarios también pueden introducir datos en la base de datos. Escribir un comentario, crear una cuenta de usuario, rellenar un formulario de contacto y enviarlo - todas estas acciones generan datos que se almacenan en la base de datos.

¿Pero qué pasa si alguien utiliza este acceso indirecto a su base de datos para introducir de contrabando código malicioso en la base de datos? Entonces esto se llama una inyección SQL.

La idea detrás de esto no es particularmente complicada: Si no existen medidas de seguridad, el hacker sólo tiene que introducir el código SQL en un campo de formulario (por ejemplo, al escribir un comentario). Contiene caracteres que tienen una función especial para el intérprete SQL, que se encarga de ejecutar los comandos SQL en la base de datos. Tales personajes especiales, llamados meta personajes, son por ejemplo ; " y \ ~ -.

La CMS cree que los datos son inofensivos y pasa la entrada a la base de datos con la orden de guardarla, como siempre. El intérprete SQL reconoce el código por los meta caracteres como una petición de acción y ejecuta el comando de la base de datos.

Por cierto, lo mismo se aplica a las inyecciones de SQL que a los Brute Forceataques: casi nunca hay un hacker que se siente solo en el ordenador e introduzca manualmente los códigos en los formularios. Estos ataques también se llevan a cabo a través de redes de bots automatizadas, que escanean miles de sitios web simultáneamente en busca de puntos débiles y atacan donde encuentran uno.

¿Qué puede pasar ahora?

  • El hacker elude cualquier mecanismo de autenticación o se esconde detrás de la identidad de un usuario existente para obtener acceso. Por ejemplo, si un hacker crea una nueva cuenta de administrador, también se habla de una Explotación de la escalada del privilegio.
  • De esta manera puede espiar, cambiar o borrar datos. Esto es particularmente crítico si usted opera una tienda en línea y tiene a su disposición los datos de pago de sus clientes.
  • Puede tomar el control de todo su sitio y espacio web, por ejemplo, iniciando sesión como administrador y obteniendo acceso a su backend. De esta manera, un hacker tiene el control total de su sitio y puede abusar de él como un lanzador de spam, introducir código malicioso o insertarlo en una red de bots.

Conclusión: WordPress las inyecciones SQL son muy peligrosas debido a la automatización

WordPress Las inyecciones de SQL están entre las más peligrosas de todas. Son fáciles de realizar, en su mayoría automatizadas y pueden causar daños masivos: Especialmente para los dueños de tiendas el peligro de las inyecciones SQL es existencial.

Por lo tanto, es importante proteger su sitio en consecuencia: Las entradas del usuario deben ser revisadas y limpiadas. También debe enmascarar los datos para evitar que se ejecute el código malicioso. Este proceso se denomina Saneamiento y Validación de Datos y se utiliza, por ejemplo, en la WordPress Códice en detalle. Sin embargo, en uno de los siguientes artículos, entraremos en el tema con más detalle y le mostraremos cómo evitar que el malware se active en su base de datos.

La seguridadPlugins integral también es una ayuda fundamental aquí: son especialmente capaces de bloquear los ataques automatizados a sus páginas, que son la base de muchos hackeos.

Artículos relacionados

Comentarios sobre este artículo

Escriba un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con * marcado.