Los ataques XSS son especialmente insidiosos. Y son especialmente populares entre los hackers. Te mostramos cómo puedes protegerte contra el secuestro de tus sitio - como operador de un sitio web y como usuario.
El proveedor de seguridad Wordfence analizó 1599 plug-ins de WordPress durante un periodo de 14 meses, y las vulnerabilidades más frecuentes de todas fueron las llamadas XSS. Casi el 47% de las vulnerabilidades encontradas tenían que ver con el cross-site scripting - XSS para abreviar. Razón suficiente para analizar este tipo de ataque, en el que los hackers inyectan código malicioso en tu sitio y lo secuestran virtualmente. De este modo, los atacantes utilizan tu blog, tu tienda o la web de tu empresa tu como vehículo para sus actividades ilegales.
Las vulnerabilidades XSS se vuelven peligrosas siempre que las entradas del usuario se envían al servidor web sin ser comprobadas, por ejemplo en los formularios de contacto o en los campos de comentarios. Una vez conseguido, los hackers pueden robar datos, integrar tu sitio en una red de bots o infectar los ordenadores de los visitantes de tus . Afortunadamente, existen algunas medidas de protección muy sencillas contra los ataques XSS.
El XSS es relevante tanto para los visitantes como para los operadores de la página
Es importante entender que las vulnerabilidades XSS en los sitios de WordPress son relevantes tanto para los operadores del sitio como para los visitantes. Los operadores de los sitios se aprovechan para cumplir los objetivos más bajos de los hackers y los visitantes de los sitios suelen ser las partes agraviadas, por ejemplo, mediante el robo de datos o la distribución de códigos maliciosos.
En principio, los ataques XSS comienzan cuando los usuarios envían datos al servidor web del operador del sitio web. En estos puntos neurálgicos se inyecta código, que -si la entrada del usuario no se comprueba críticamente, por ejemplo, mediante un cortafuegos- puede infectar el sitio . Los diferentes tipos de ataques XSS se resumen en nuestro artículo de fondo sobre el tema.
Lo más importante: Actualizaciones regulares de WordPress
Las vulnerabilidades que los hackers utilizan para inyectar código malicioso están en el núcleo de WordPress, en los plugins o en los temas. Precisamente por eso son tan importantes las actualizaciones periódicas de todos estos componentes. Porque las vulnerabilidades que se han encontrado hasta ahora se solucionan en estas actualizaciones.
También tiene sentido leer regularmente los detalles de las actualizaciones de los respectivos fabricantes para tener una idea de las brechas de seguridad que se cierran regularmente mediante las actualizaciones. Para el mantenimiento y las actualizaciones de seguridad del núcleo de WordPress, por ejemplo, esta información está documentada en el blog de WordPress. El mejor ejemplo de esto es la última actualización de seguridad, WordPress 4.7.5.
Cortafuegos y listas blancas contra ataques XSS simples
Otra medida de protección sencilla contra los ataques XSS son los llamados cortafuegos de aplicaciones web, o WAF. Estos cortafuegos son el corazón de los grandes complementos de seguridad y son alimentados con las últimas vulnerabilidades por el respectivo equipo de investigación del fabricante. Un WAF es generalmente un procedimiento que protegelas aplicaciones web de los ataques a través del Protocolo deTransferencia de Hipertexto (HTTP).
Sin embargo, incluso estos mecanismos de protección tienen sus límites. En algunos ataques XSS, el ataque se produce a través de la base de datos. Por lo tanto, la comprobación de la entrada del usuario en busca de código malicioso es uno de los mecanismos de seguridad centrales en la lucha contra los ataques XSS. Por ejemplo, el contenido de los comentarios se analiza en busca de cadenas de caracteres sospechosas y se clasifica si es necesario.
La salida de datos también debe estar asegurada
Regelmäßige Updates schließen vorhandene XSS-Sicherheitslücken und Firewalls sowie Whitelists versuchen Schadcode auszufiltern, bevor dieser den Webserver erreicht und die Seite infizieren kann. Doch sollte auch die Datenausgabe entsprechend gesichert werden. Die meisten Programmier- und Skriptsprachen, wie PHP, Perl oder JavaScript, besitzen hierfür bereits vordefinierte Funktionen zur Zeichenersetzung bzw. -maskierung. Diese sorgen dafür, dass “problematische” HTML-Metazeichen (z. B. <, > und &) durch harmlose Zeichenreferenzen ersetzt werden. So wird verhindert, dass der Schadcode aktiv werden kann. Auch sollte der Code mithilfe von sog. sanitization libraries bereinigt werden. Hierfür wird ein Plugin auf dem Server installiert und zusätzlicher Code in deinen Seitenquellcode eingebunden. Der folgende Code-Schnipsel sorgt dann zum Beispiel dafür, dass <class> zu den erlaubten Attributen hinzugefügt wird:
Se necesitan conocimientos de programación para ponerlo en práctica. Esta protección de la salida de datos puede ser fácilmente implementada por un desarrollador o un CTO, por ejemplo.
Una buena dosis de escepticismo: cómo se protegen los usuarios
Pero no sólo los operadores de la página, también los visitantes de la misma se ven afectados por los ataques XSS. Muchos ataques XSS pueden evitarse con un enfoque crítico y cauteloso de los enlaces "extranjeros". Por ejemplo, los usuarios tienen la opción de utilizar complementos NoScript .Impiden la ejecución de scripts, es decir, las líneas de código dañinas que roban datos, por ejemplo.
Si quieres estar seguro, también puedes evitar el cross-site scripting del lado del cliente simplemente desactivando el soporte de JavaScript en el navegador. Porque si este llamado scripting activo está desactivado, ciertos tipos de ataques XSS ya no tienen oportunidad, ya que las aplicaciones dañinas ni siquiera se inician. Sin embargo, la mayoría de los sitios web modernos dejan de "funcionar" correctamente o, en el peor de los casos, dejan de funcionar. Así que aquí se trata de sopesar los aspectos de seguridad y de usabilidad.
Conclusión: los ataques XSS son a veces muy complejos, pero la protección es a veces bastante sencilla.
El XSS es un peligro tanto para ti, como operador del sitio web, como para los visitantes y clientes de tu . Una y otra vez se conocen vulnerabilidades en plugins o temas. Por ejemplo, el plugin WP Statistics, con más de 400.000 instalaciones activas, o WooCommerce y Jetpack, cada uno con más de tres millones de instalaciones activas.
Si mantienes actualizados los plugins y temas de tu y utilizas un WAF, ya has dado un gran paso en la dirección correcta. Si además utilizas listas blancas para el código entrante y saliente, ya has asegurado excelentemente tu sitio . Sin embargo, las dos últimas medidas en particular no son fáciles de aplicar sin conocimientos de programación.
En comparación con los ataques de fuerza bruta más bien primitivos los ataques XSS más complejos, por desgracia, siguen teniendo éxito con relativa frecuencia. Sin embargo, hay muchos menos de estos llamados ataques complejos que ataques de fuerza bruta a sitios de WordPress.. Sin embargo, debes ponérselo lo más difícil posible a los atacantes. Un hackeo exitoso no sólo cuesta tiempo y dinero para eliminar los scripts, sino que también puede poner en peligro la posición de tu en los motores de búsqueda.
¿Quizás ya has tenido experiencias con ataques XSS? ¿Qué haces para protegerte de ellos?
