Tipos de ataque sobre WordPress

Última revisión: 24 de noviembre de 2020

Existen infinidad de posibles ataques a tu sitio, ya que existen infinidad de posibles puntos de acceso a los mismos, ya sean por el propio WordPress, pero también por el servidor, los usuarios, comentarios, códigos de script, etcétera. Algunos de los más habituales pueden ser estos:

  • Authentication Bypass: Agujero de seguridad que permite saltarse el formulario de acceso y acceder al sitio.
  • Brute Force: Se intenta iniciar sesión adivinando el nombre de usuario y la contraseña de la cuenta de administrador (o de un usuario).
  • Cross-Site Request Forgery (CSRF): El código se introduce y ejecuta desde la URL.
  • Cross-site Scripting (XSS): Se puede inyectar código en un sitio, normalmente a través de un campo de formulario.
  • Denial of Service (DoS): Un sitio se cae debido a un ataque constante de tráfico que suele proceder de una red de máquinas controladas.
  • Path Traversal: Posibilidad de listar los directorios de un sitio y ejecutar comandos fuera del directorio raíz del servidor.
  • Distributed Denial of Service (DDoS): Similar a un ataque DoS, excepto que las redes de máquinas suelen haber sido infectadas.
  • File Upload: Se puede subir un fichero con código malicioso en un servidor sin restricciones.
  • Full Path Disclosure (FPD): Se expone la ruta de acceso a la carpeta raíz del sitio; habitualmente es debido a que están activos los mensajes de error que las muestran.
  • Local File Inclusion (LFI): Un atacante es capaz de controlar qué archivo se ejecuta en una hora programada que fue configurada anteriormente.
  • Malware: Un sitio o programa malintencionado con el propósito de infectar al usuario u otra máquina.
  • Open Redirect: El sitio redirige a otro debido a alguna vulnerabilidad, a menudo un sitio de spam o de suplantación de identidad.
  • Phishing (Identity Theft): Un sitio que se parece a otro conocido y de confianza, pero que se utiliza para recopilar credenciales de inicio de sesión, números de tarjetas de crédito, etcétera, engañando al usuario.
  • Remote Code Execution (RCE): Capacidad de ejecutar código en un sitio desde una máquina diferente.
  • Remote File Inclusion (RFI): Posibilidad de ejecutar un script externo en un sitio al que se suele cargar malware, desde un sitio diferente.
  • Security Bypass: Similar al Authentication Bypass, pero en este caso permite saltarse algún sistema de seguridad establecido.
  • Server-side Request Forgery (SSRF): Toma de control de un servidor, ya sea parcial o total, para obligarlo a ejecutar peticiones de forma remota.
  • SQL Injection (SQLI): Se produce cuando consultas SQL se pueden introducir y ejecutar desde la URL de un sitio.
  • User Enumeration: Posibilidad de encontrar la lista de usuarios de un sitio desde la zona pública, para posteriormente realizar un ataque de Brute Force.
  • XML External Entity (XXE): Un fichero XML que por la generación de errores deja expuesto algún tipo de ruta, mensaje o acceso a información confidencial.

Seguir con Seguridad para WordPress


Sobre este documento

Este documento está regulado por la licencia EUPL v1.2, publicado en WP SysAdmin y creado por Javier Casares. Por favor, si utilizas este contenido en tu sitio web, tu presentación o cualquier material que distribuyas, recuerda hacer una mención a este sitio o a su autor, y teniendo que poner el material que crees bajo licencia EUPL.

Servicios de Administración de Sistemas WordPress

¿Tienes un sitio web con WordPress de alto tráfico? ¿Eres una Agencia con servidores con cPanel, Plesk u otro panel en los que mantienes WordPress para tus clientes?

Si es así y te interesa un servicio profesional de mantenimiento de infraestructura WordPress y de mejora del rendimiento de tus sitios web o los de tus clientes, contacta conmigo.