Tipos de ataque sobre WordPress

Última revisión: 2 de octubre de 2021

Existen infinidad de posibles ataques a tu sitio, ya que existen infinidad de posibles puntos de acceso a los mismos, ya sean por el propio WordPress, pero también por el servidor, los usuarios, comentarios, códigos de script, etcétera. Algunos de los más habituales pueden ser estos:

  • Authentication Bypass: Agujero de seguridad que permite saltarse el formulario de acceso y acceder al sitio.
  • Brute Force: Se intenta iniciar sesión adivinando el nombre de usuario y la contraseña de la cuenta de administrador (o de un usuario).
  • Cross-Site Request Forgery (CSRF): El código se introduce y ejecuta desde la URL.
  • Cross-site Scripting (XSS): Se puede inyectar código en un sitio, normalmente a través de un campo de formulario.
  • Denial of Service (DoS): Un sitio se cae debido a un ataque constante de tráfico que suele proceder de una red de máquinas controladas.
  • Path Traversal: Posibilidad de listar los directorios de un sitio y ejecutar comandos fuera del directorio raíz del servidor.
  • Distributed Denial of Service (DDoS): Similar a un ataque DoS, excepto que las redes de máquinas suelen haber sido infectadas.
  • File Upload: Se puede subir un fichero con código malicioso en un servidor sin restricciones.
  • Full Path Disclosure (FPD): Se expone la ruta de acceso a la carpeta raíz del sitio; habitualmente es debido a que están activos los mensajes de error que las muestran.
  • Local File Inclusion (LFI): Un atacante es capaz de controlar qué archivo se ejecuta en una hora programada que fue configurada anteriormente.
  • Malware: Un sitio o programa malintencionado con el propósito de infectar al usuario u otra máquina.
  • Open Redirect: El sitio redirige a otro debido a alguna vulnerabilidad, a menudo un sitio de spam o de suplantación de identidad.
  • Phishing (Identity Theft): Un sitio que se parece a otro conocido y de confianza, pero que se utiliza para recopilar credenciales de inicio de sesión, números de tarjetas de crédito, etcétera, engañando al usuario.
  • Remote Code Execution (RCE): Capacidad de ejecutar código en un sitio desde una máquina diferente.
  • Remote File Inclusion (RFI): Posibilidad de ejecutar un script externo en un sitio al que se suele cargar malware, desde un sitio diferente.
  • Security Bypass: Similar al Authentication Bypass, pero en este caso permite saltarse algún sistema de seguridad establecido.
  • Server-side Request Forgery (SSRF): Toma de control de un servidor, ya sea parcial o total, para obligarlo a ejecutar peticiones de forma remota.
  • SQL Injection (SQLI): Se produce cuando consultas SQL se pueden introducir y ejecutar desde la URL de un sitio.
  • User Enumeration: Posibilidad de encontrar la lista de usuarios de un sitio desde la zona pública, para posteriormente realizar un ataque de Brute Force.
  • XML External Entity (XXE): Un fichero XML que por la generación de errores deja expuesto algún tipo de ruta, mensaje o acceso a información confidencial.

Seguir con Seguridad para WordPress

Anterior

Actual

General

Siguiente

Especial

Sobre este documento

Este documento está regulado por la licencia EUPL v1.2, publicado en WP SysAdmin y creado por Javier Casares. Por favor, si utilizas este contenido en tu sitio web, tu presentación o cualquier material que distribuyas, recuerda hacer una mención a este sitio o a su autor, y teniendo que poner el material que crees bajo licencia EUPL.