{"id":11314,"date":"2023-04-19T20:13:26","date_gmt":"2023-04-19T20:13:26","guid":{"rendered":"https:\/\/wcanvas.com\/?post_type=blogs&p=11314"},"modified":"2024-12-23T20:56:35","modified_gmt":"2024-12-23T20:56:35","slug":"csrf-wordpress","status":"publish","type":"blogs","link":"https:\/\/wcanvas.com\/es\/blog\/csrf-wordpress\/","title":{"rendered":"Ataques CSRF en WordPress: \u00bfqu\u00e9 son y c\u00f3mo prevenirlos?"},"content":{"rendered":"\n

Los ataques de CSRF (cross-site request forgery) en WordPress son una de las vulnerabilidades de seguridad<\/a> m\u00e1s comunes que deben tener en cuenta los desarrolladores de plugins, temas y sitios web. Un hacker dedicado puede apoderarse de cuentas de administrador (y, por extensi\u00f3n, de tu sitio web), hacer que los usuarios revelen informaci\u00f3n personal o eliminen sus cuentas, e incluso robarles dinero con un ataque de CSRF bien ejecutado.<\/p>\n\n\n\n

Este art\u00edculo explora los ataques de CSRF, c\u00f3mo funcionan y qu\u00e9 pod\u00e9s hacer para prevenirlos.<\/p>\n\n\n\n

\u00bfQu\u00e9 es un cross-site request forgery (CSRF)?<\/h2>\n\n\n\n
\"hombre<\/figure>\n\n\n\n

El cross-site request forgery (CSRF, pronunciado \u201csea-surf\u201d) es, en t\u00e9rminos sencillos, cuando los hackers enga\u00f1an a los usuarios para que realicen una acci\u00f3n no deseada y maliciosa mientras est\u00e1n conectados a un sitio confiable. Es decir, explotan mecanismos de membres\u00eda, suscripci\u00f3n, formularios e inicios de sesi\u00f3n para aprovechar la confianza del usuario y lograr que revelen sus credenciales de autenticaci\u00f3n, entreguen dinero de sus cuentas bancarias y potencialmente realicen muchas otras acciones da\u00f1inas para el usuario y el sitio web en el que conf\u00edan.<\/p>\n\n\n\n

Junto con el cross-site scripting (XSS), los ataques de inyecci\u00f3n SQL y los bypass, los ataques de CSRF se encuentran entre las amenazas m\u00e1s comunes y persistentes para los sitios de WordPress y la Internet.<\/p>\n\n\n\n

\u00bfC\u00f3mo ocurren los ataques de CSRF en los sitios de WordPress?<\/h2>\n\n\n\n

El funcionamiento interno del CSRF requiere una explicaci\u00f3n, ya que puede ser dif\u00edcil de entender al principio. Para comprenderlo, imaginate un ejemplo en el que un hacker enga\u00f1a a un usuario para que elimine su cuenta en un foro web.<\/p>\n\n\n\n

Un sitio web no seguro<\/h3>\n\n\n\n

El foro vulnerableforum.com<\/code> es un foro com\u00fan donde los usuarios pueden discutir varios temas. Es un sitio muy b\u00e1sico y no muy seguro que permite a los usuarios iniciar y cerrar sesi\u00f3n, cambiar sus contrase\u00f1as, realizar algunos cambios en sus perfiles y eliminar sus cuentas.<\/p>\n\n\n\n

Si quer\u00e9s eliminar tu cuenta, el foro te lleva a la p\u00e1gina vulnerableforum.com\/delete_my_account<\/code>. En esta p\u00e1gina, ten\u00e9s que confirmar tu elecci\u00f3n haciendo clic en un bot\u00f3n que dice: \u201cS\u00ed, quiero eliminar mi cuenta.\u201d Al presionarlo, elimin\u00e1s permanentemente tu cuenta.<\/p>\n\n\n\n

Un hacker puede enga\u00f1arte para que presiones este bot\u00f3n sin siquiera estar en la p\u00e1gina empleando CSRF. As\u00ed es como lo hacen.<\/p>\n\n\n\n

Enga\u00f1arte para eliminar tu cuenta<\/h3>\n\n\n\n

Un usuario est\u00e1 navegando por vulnerableforum.com<\/code>. Est\u00e1 conectado y encuentra un hilo del foro con un enlace a koalas.com<\/code> donde puede ver fotos de lindos koalas. Naturalmente, el usuario hace clic en el enlace pensando que lo llevar\u00e1 a un sitio con muchas im\u00e1genes de lindos koalas. En realidad, el usuario est\u00e1 haciendo dos cosas:<\/p>\n\n\n\n