De este modo, los operadores de sitios web y los usuarios pueden protegerse de los ataques de secuencias de comandos entre sitios.

Ataques XSS: cómo protegerse, tuclientes y tunegocio

Los ataques XSS son especialmente insidiosos. Y son especialmente populares entre los hackers. Le mostramos cómo puede protegerse contra el secuestro de tussitio - como operador del sitio web y como usuario.

El proveedor de seguridad Wordfence analizó 1.599 plug-ins de WordPress durante un periodo de 14 meses, y las vulnerabilidades más frecuentes de todas fueron las llamadas XSS. Casi el 47% de las vulnerabilidades encontradas tenían que ver con el cross-site scripting - XSS para abreviar. Razón suficiente para analizar este tipo de ataque, en el que los hackers inyectan código malicioso en tusitio y lo secuestran virtualmente. De este modo, los atacantes utilizan su blog, su tienda o el sitio web de la empresa tucomo vehículo para sus actividades ilegales.

Este gráfico muestra que el XSS es la vulnerabilidad más común encontrada en los plugins, según wordfence .
El XSS es la vulnerabilidad que más se encuentra en los plugins, según wordfence .

Las vulnerabilidades XSS se vuelven peligrosas siempre que la entrada del usuario se envía al servidor web sin ser comprobada, por ejemplo en los formularios de contacto o en los campos de comentarios. Una vez conseguido, los hackers pueden robar datos, integrar tusitio en una red de bots o infectar los ordenadores de los visitantes de tus. Afortunadamente, existen algunas medidas de protección muy sencillas contra los ataques XSS.

El XSS es relevante tanto para los visitantes como para los operadores de páginas

Es importante entender que las vulnerabilidades XSS en los sitios de WordPress son relevantes tanto para los operadores del sitio como para los visitantes. Los operadores de los sitios son explotados para cumplir los objetivos más bajos de los hackers y los visitantes de los sitios son a menudo las partes agraviadas, por ejemplo a través del robo de datos o la distribución de códigos maliciosos.

En principio, los ataques XSS comienzan cuando los usuarios envían datos al servidor web del operador del sitio. En estos puntos neurálgicos se inyecta un código que, si la entrada del usuario no se comprueba de forma crítica, por ejemplo, mediante un cortafuegos, puede infectar la web sitio. Los diferentes tipos de ataques XSS se resumen en nuestro artículo de fondo sobre el tema.

Lo más importante: Actualizaciones regulares de WordPress

Las vulnerabilidades que los hackers utilizan para inyectar código malicioso están en el núcleo de WordPress, en los plugins o en los temas. Precisamente por eso son tan importantes las actualizaciones periódicas de todos estos componentes. Porque las vulnerabilidades que se han encontrado hasta ahora se han corregido en estas actualizaciones.

También tiene sentido leer con regularidad los detalles de las actualizaciones de los respectivos fabricantes para tener una idea de qué brechas de seguridad se cierran regularmente a través de las actualizaciones. Para el mantenimiento y las actualizaciones de seguridad del núcleo de WordPress, por ejemplo, esta información está documentada en el blog de WordPress. El mejor ejemplo de esto es la última actualización de seguridad, WordPress 4.7.5.

Cortafuegos y listas blancas contra ataques XSS simples

Otra medida de protección sencilla contra los ataques XSS son los llamados cortafuegos de aplicaciones web, o WAF. Estos cortafuegos son el corazón de los grandes complementos de seguridad y son alimentados con las últimas vulnerabilidades por el respectivo equipo de investigación del fabricante. Un WAF es generalmente un procedimiento que protegelas aplicaciones web de los ataques a través del protocolo detransferencia de hipertexto (HTTP).

Sin embargo, incluso estos mecanismos de protección tienen sus límites. Para algunos ataques XSS, el ataque se produce a través de la base de datos. Por lo tanto, la comprobación de la entrada del usuario en busca de código malicioso es uno de los mecanismos de seguridad centrales en la lucha contra los ataques XSS. Por ejemplo, se analiza el contenido de los comentarios en busca de cadenas de caracteres sospechosas y se clasifica si es necesario.

La salida de datos también debe estar asegurada

Regelmäßige Updates schließen vorhandene XSS-Sicherheitslücken und Firewalls sowie Whitelists versuchen Schadcode auszufiltern, bevor dieser den Webserver erreicht und die Seite infizieren kann. Doch sollte auch die Datenausgabe entsprechend gesichert werden. Die meisten Programmier- und Skriptsprachen, wie PHP, Perl oder JavaScript, besitzen hierfür bereits vordefinierte Funktionen zur Zeichenersetzung bzw. -maskierung. Diese sorgen dafür, dass “problematische” HTML-Metazeichen (z. B. <, > und &) durch harmlose Zeichenreferenzen ersetzt werden. So wird verhindert, dass der Schadcode aktiv werden kann. Auch sollte der Code mithilfe von sog. sanitization libraries bereinigt werden. Hierfür wird ein Plugin auf dem Server installiert und zusätzlicher Code in deinen Seitenquellcode eingebunden. Der folgende Code-Schnipsel sorgt dann zum Beispiel dafür, dass <class> zu den erlaubten Attributen hinzugefügt wird:

Este es el aspecto del código de configuración que necesita para realizar una limpieza de código.
Este es el aspecto que puede tener el código necesario para realizar una limpieza de código.

Se necesitan conocimientos de programación para ponerlo en práctica. Esta protección de la salida de datos puede ser fácilmente implementada por un desarrollador o un CTO, por ejemplo.

Una buena dosis de escepticismo: cómo se protegen los usuarios

Pero no sólo los operadores de la página, también los visitantes de la misma se ven afectados por los ataques XSS. Muchos ataques XSS pueden evitarse con un manejo crítico y cuidadoso de los enlaces "extranjeros". Por ejemplo, los usuarios tienen la opción de utilizar complementos NoScript .Estos impiden la ejecución de scripts, es decir, las líneas de código dañinas que roban datos, por ejemplo.

Si quiere estar seguro, también puede evitar el cross-site scripting del lado del cliente simplemente desactivando el soporte de JavaScript en el navegador. Porque si este llamado scripting activo está desactivado, ciertos tipos de ataques XSS ya no tienen oportunidad, ya que las aplicaciones dañinas ni siquiera se inician. Sin embargo, la mayoría de los sitios web modernos dejan de "funcionar" correctamente o, en el peor de los casos, dejan de funcionar. Así que aquí se trata de sopesar los aspectos de seguridad y usabilidad.

Cómo desactivar JavaScript con un clic en la configuración del navegador Chrome.
Cómo desactivar JavaScript con un clic en la configuración del navegador Chrome.

Conclusión: los ataques XSS son a veces muy complejos, pero la protección es a veces bastante sencilla.

El XSS es un peligro para usted, como operador de un sitio web, así como para los visitantes y clientes de tu. Una y otra vez, se dan a conocer vulnerabilidades en plugins o temas. Por ejemplo, el plugin WP Statistics, con más de 400.000 instalaciones activas, o WooCommerce y Jetpack, cada uno con más de tres millones de instalaciones activas.

Si mantiene actualizados los plugins y temas de tuy utiliza un WAF, ya ha dado un gran paso en la dirección correcta. Si además utiliza listas blancas para el código entrante y saliente, ya ha asegurado de forma excelente tusitio . Sin embargo, las dos últimas medidas en particular no son fáciles de aplicar sin conocimientos de programación.

En comparación con los ataques de fuerza bruta bastante primitivos los ataques XSS más complejos, por desgracia, siguen teniendo éxito con relativa frecuencia. Sin embargo, hay muchos menos de estos llamados ataques complejos que de los ataques de fuerza bruta a los sitios de WordPress.. No obstante, debe dificultar al máximo a los atacantes. Un hackeo exitoso no sólo cuesta tiempo y dinero para eliminar los scripts, sino que también puede poner en peligro la posición de tuen los motores de búsqueda.

¿Quizás ya has tenido experiencias con ataques XSS? ¿Qué hace usted para protegerse de ellos?

¿Te ha gustado el artículo?

Con tu valoración nos ayudas a mejorar aún más nuestro contenido.

Escribe un comentario

Tu dirección de correo electrónico no se publicará.