¿Que es la vulnerabilidad XSS?

vulnerabilidad XSS

¿Que es la vulnerabilidad XSS?

Recientemente los sitios realizados con WordPress han experimentando gran cantidad de ataques que vulneran su seguridad, mediante los agujeros de seguridad XSS (cross site scripting).
Los agujeros XSS son una manera de burlar la seguridad de un sitio web modificando por un tercero parte del código javascript o de programas similares para que realice acciones que evitan la ejecución correcta de las políticas del mismo origen, normalmente afectan a formularios, registros y a campos que requieran una acción del usuario.

Afecta a elementos en los cuales el usuario realiza peticiones del lado del cliente al servidor web y existe una petición por el método GET para adjuntar la información y poder enviarla. Para poder entenderlo fácilmente robar datos.

La vulnerabilidad XSS puede afectar directa o indirectamente:

Directamente cuándo es mediante un Script implementado en el propio código que se ejecuta, simplemente en el html con un script o iframe. En este caso lo ejecuta y cifra la información introducida para enviarla a un tercero.
Indirectamente cuando se ejecuta mediante una aplicación de un tercero como puede ser un complemento del navegador, enviando cookies a otra páginas, sin utilizar la sesión.

¿Porqué nos afecta?

Estos ataques nos roban información de nuestro sitio muy valiosa y no sólo nuestra sino de nuestros usuarios; por tanto cuánto antes lo solucionemos mucho mejor. Podemos notar un rendimiento peor de la página web.

¿Cómo detectarlo?

Mediante la consola de javascript como sugiere este artículo: WordPress sites leaking credentials donde se ubica el código malicioso y como actúa dentro del sitio web, es un poco complicado de entender, pero la mecánica es muy sencilla, se implementa el un script que captura los datos que introducimos en un formulario y los envía, lo normal es no ver  nada porque a parte de que el código .js suele estar comprimido y a parte han implementado variables locales para camuflar… y puede que no estés infectado!.

Normalmente no llegamos a enterarnos ni de la centésima parte de los ataques que sufren nuestras webs.

¿Cómo solucionarlo?

Lo mas recomendable es actualizar siempre WordPress, tener la última versión nos garantiza que a efectos de seguridad es mucho mas efectiva, wordpress tiene una gran comunidad de usuarios, desarrolladores que lo mantienen al día. Normalmente al actualizar no vemos grandes cambios eso es porque gran parte de las actualizaciones se realizan para mantener, depurar y mejorar la seguridad de la plataforma.

Quita siempre los plugins inactivos, actualiza cuándo creas que es necesario e incluso algunos es conveniente cuando crean problemas des-instalarlos y volverlos a instalar de nuevo.

Normalmente es fácil que al instalar un plugin o una plantilla no seamos conscientes de como puede afectar a la seguridad de nuestra web, no obstante hace poco tiempo hubo otro agujero de vulnerabilidad XSS que afectó en realidad a plugins de wordpress muy conocidos:

 

  • WP-E-Commerce
  • All in One Seo,
  • Related Posts for WordPress
  • WordPress SEO
  • Ninja Forms
  • Jetpack…. Entre otros

Al día siguiente muchos desarrolladores sacaron inmediatamente la actualización de ellos y parece que está bastante solucionado.

La plantillas son un tema muy peliagudo, algún día escribiré sobre recomendaciones para elegir la mejor plantilla, pero hay que tener en cuenta el actualizarlas a menudo, por eso debemos evitar las plantillas gratis y las piratas, en caso de recurrir al soporte técnico y actualizaciones tener la tranquilidad de poder recurrir a el, es preferible tener una plantilla de wordpress como twentytwelve con un soporte técnico de wordpress a una sin soporte.

¿Tiemblas con las actualizaciones?

Es normal, a nadie le suele apetecer cambiar de plantilla, pero llega un momento en que quizás te lo debas de plantear, wordpress ha cambiado mucho en dos años, con un tema antiguo puedes tener problemas de compatibilidad con plugins y también la optimización para móviles ha impulsado el cambio.

Yo aconsejo cambiar lo que no funciona, y dar de vez en cuando un cambio a la web no es malo ¿te ha pedido vacaciones?, ¿días libres?… Un lavado de cara no viene mal y es la mejor excusa para retomar el contacto con antiguos clientes y conocidos, tener una excusa para enseñar tu web es lo mejor que te puede pasar… la mejor acción de Marketing

 

 

Sobre la autora

Deja un comentario