He aquí por qué siempre debería cerrar sesión en WordPress

He aquí por qué siempre debería cerrar sesión en WordPress

Podemos pensar que conocemos la seguridad de WordPress. Pero no podemos subestimar la tarea que tenemos entre manos. Parece que en cada esquina acechan sorpresas.

Considere, por ejemplo, un informe reciente de la empresa de seguridad We Watch Your Website. El informe afirma que el 60% de los sitios de WordPress pirateados provienen de cookies de sesión robadas. Seguro que no lo vi venir.

Sabemos cómo usar contraseñas seguras y configurar permisos de archivos. Entendemos la importancia de actualizar nuestras instalaciones de WordPress. Incluso podemos utilizar uno o dos complementos de seguridad.

Sin embargo, incluso los más preocupados por la seguridad pueden perderse cosas. Ese descuido puede conducir a un sitio web pirateado. Y eso a pesar de tomar una serie de medidas de seguridad.

Las cookies de sesión robadas no estaban en el radar. Entonces, ¿qué podemos hacer para evitar que esto suceda? El autor de este informe tiene algunos consejos.

Cómo prevenir el robo de cookies de sesión

Thomas J. Raef es el autor de «El vector de ataque real responsable del 60% de los sitios de WordPress pirateados en 2023». Su informe demuestra con gran detalle la amenaza del robo de cookies de sesión. Y una aparición reciente en el podcast WP Tavern Jukebox arrojó más luz sobre el tema.

Pero ¿qué pasa con los remedios? ¿Cómo evitamos que estos ataques afecten a nuestros sitios web? Le pedí a Raef algunos consejos preventivos. La respuesta es tan sencilla como cerrar sesión.

Nuestra entrevista fue ligeramente editada para mayor claridad y brevedad.

¿Cómo se roban las cookies de sesión?

Thomas J. Raef: Si no es WordPress, con frecuencia se roban mediante secuencias de comandos entre sitios. Sin embargo, WordPress usa la opción HttpOnly en los encabezados. Esto evita el robo de cookies en WordPress a través de XSS.

La forma principal es mediante ladrones de información. Si busca el término en Google, verá que es casi tan popular como ransomware. Algunos piratas informáticos de ransomware están empezando a utilizar más ladrones de información para sus infecciones. Los ladrones de información están diseñados para evadir la detección de la mayoría de los programas antimalware. Algunos se dedican a evadir la detección en Windows, otros en Mac.

Normalmente roban todo lo posible en unos 10 segundos. Algunos preguntan por qué se molestarían en robar cookies de sesión de WordPress si también roban inicios de sesión bancarios, etc. Pero mire la industria cibercriminal. ¿Qué necesitan para la mayoría de sus ataques? Oh, un sitio web legítimo para infectar a visitantes desprevenidos.

Roban las cookies de sesión porque omiten totalmente 2FA (autenticación de dos factores), MFA, etc. porque el usuario todavía está autenticado. Siempre y cuando la cookie no haya caducado.

El informe de Raef muestra que casi el 60% de los sitios web de WordPress pirateados fueron el resultado de cookies de sesión robadas.
Crédito de la imagen: Vigilamos su sitio web

¿Cómo podemos proteger nuestros dispositivos contra este tipo de amenazas?

TJR: La forma más sencilla es recordar cerrar sesión. ¡Eso es todo! Cuando cierras la sesión, la cookie caduca. Si simplemente cierra la ventana de su navegador, dejará la cookie activa. Entonces, si es robado, cualquiera puede usarlo.

Una prevención sencilla es utilizar SolidWP (Solid Security). Su función Dispositivos de confianza utiliza la dirección IP para generar la cookie de sesión. Si es robado, no se puede utilizar en ningún otro lugar que no sea donde se creó originalmente. Esas dos cosas son la mejor manera de evitar que se utilicen cookies de sesión en sus sitios.

¿Hay algún cambio que el proyecto de WordPress pueda realizar para aumentar la seguridad de las cookies de sesión?

TJR: Posiblemente. Si hubiera un procedimiento que verificara la inactividad después de 30 minutos y luego cerrara automáticamente la sesión del usuario, eso podría ayudar. Pero creo que eso implicaría JavaScript y se está volviendo demasiado complicado. Ya incluyen la opción HttpOnly, por lo que están haciendo mucho para evitar que esto sea aún mayor.

¿Tiene algún otro consejo para los diseñadores web que administran sitios de WordPress?

TJR: Asegúrese de que todas las personas con acceso de administrador a su sitio también se centren en los procedimientos sanitarios para todos los dispositivos locales. Cada vez vemos más sitios infectados debido a malware en el dispositivo local de un administrador. Puede robar nombres de usuario, contraseñas y cookies de sesión.

2FA puede detener el uso de nombre de usuario y contraseña, pero no cookies de sesión. ¡Dile a todos los desarrolladores que cierren sesión! Es bastante sencillo y 100% efectivo.

Una cosa que estamos empezando a ver con más frecuencia es que los piratas informáticos atacan desde el dispositivo local. No robar cookies de sesión ni nada más, simplemente aprovechar una sesión de administrador legítima.

Vemos la dirección IP legítima de un administrador, y él está haciendo su trabajo y, de repente, desde la misma dirección IP al mismo tiempo, el administrador legítimo está trabajando: ¡BAM! – ¡Se instala un complemento falso desde la misma dirección IP!

Los piratas informáticos tienen control sobre el dispositivo local y atacan desde ese dispositivo. Esto respalda el hecho de que DEBE preocuparse por la salud y el bienestar de sus dispositivos locales.

Asegúrese de que su dispositivo esté seguro y libre de malware.

Su dispositivo también es un factor en la seguridad del sitio web

Una computadora o dispositivo móvil comprometido puede afectar la seguridad de su sitio web. A primera vista, esta teoría tiene sentido. Sin embargo, normalmente no escuchamos mucho sobre ello.

La seguridad del sitio web generalmente significa centrarse en el sitio mismo. Intentamos filtrar el tráfico malicioso. Y empleamos varios métodos para prevenir ataques directos.

Ya es hora de que miremos también nuestros dispositivos. Ya sabes, los sistemas que utilizamos para iniciar sesión en nuestros sitios web. Una buena seguridad debería empezar por ahí.

Un ladrón de información puede causar daños incalculables en cuestión de segundos. No sabremos las consecuencias hasta que sea demasiado tarde. Hagamos algo al respecto.

Siga las mejores prácticas para proteger su dispositivo y anime a sus clientes y colegas a hacer lo mismo. Unas cuantas medidas sencillas podrían evitar una catástrofe.

Y seguir el consejo de Raef: ¡Asegúrese de cerrar sesión en su sitio web! Una cookie de sesión caducada es inútil. Por lo tanto, no puede causar ningún daño.

¡Muchas gracias a Thomas J. Raef por charlar con nosotros! Consulte más consejos de seguridad en We Watch Your Website.


Arriba


Source link

About David Lopez

Check Also

La estabilidad general de la aplicación mejora a medida que las sesiones sin fallos se acercan al 100%

La estabilidad general de la aplicación mejora a medida que las sesiones sin fallos se acercan al 100%

Instabug ha publicado el informe Outlook 2024 de estabilidad de aplicaciones móviles, que arroja luz …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *