WP Auditory: ¿Cuáles son algunos de los posibles problemas encontrados en los sitios web de WordPress?

¿Qué es?

Los archivos como wp-config.php, .env o copias de seguridad (.zip, .sql) son de acceso público.

¿Por qué podría pasar esto?

Configuraciones de servidor que no bloquean el acceso directo a estos archivos.
Riesgo de ataque: Fuga de credenciales de bases de datos, claves secretas y código fuente, lo que permite el control total del sitio (intrusión, robo de datos).

¿Por qué corregirlo?

Sin un parche, un atacante puede descargar estos archivos y comprometer todo el sistema, lo que puede provocar pérdida de datos, desfiguración o ransomware. Se trata de una vulnerabilidad básica y común explotada por bots automatizados.

¿Qué es?

El servidor muestra el contenido de las carpetas (por ejemplo, /wp-content/uploads/) cuando no hay ningún archivo de índice.

¿Por qué podría pasar esto?

Configuración del servidor por defecto sin bloqueo (Opciones + Índices en Apache).

Riesgo de ataque de hackers:

Enumeración de archivos sensibles, copias de seguridad o configuraciones ocultas, lo que facilita ataques dirigidos.

¿Por qué corregirlo?

Revela la estructura del sitio, lo que permite a los hackers encontrar vulnerabilidades que explotar (por ejemplo, cargas de shell mediante directorios expuestos). Es una puerta abierta para el reconocimiento.

¿Qué es?

La carpeta .git (que contiene el historial del código) es de acceso público.

¿Por qué podría pasar esto?

Implementación incorrecta o falta de bloqueo del servidor.
Riesgo de ataque: Descarga completa del código fuente, incluyendo contraseñas codificadas, claves API y confirmaciones antiguas.

¿Por qué corregirlo?

Expone todo el código del sitio web, lo que permite la ingeniería inversa y exploits personalizados. Esto puede provocar filtraciones de datos confidenciales o puertas traseras.

¿Qué es?

Existe una falta de protección contra la carga del sitio en un iframe desde otro dominio.

¿Por qué podría pasar esto?

Encabezados de seguridad no configurados en el servidor.
Riesgo de ataque: Clickjacking (superposición de iframes para robar clics, como inicios de sesión o pagos).

¿Por qué corregirlo?

Protege a los usuarios del phishing avanzado, en el que se utiliza el sitio web real para engañar a los usuarios. Es una medida básica contra la vulneración de la interfaz de usuario.

¿Qué es?

No obliga al navegador a utilizar únicamente HTTPS para futuras conexiones.

¿Por qué podría pasar esto?

Encabezado no añadido al servidor HTTPS.
Riesgo de ataque de hackers: Ataques de degradación (obligando a HTTP a interceptar el tráfico en redes Wi-Fi públicas).

¿Por qué corregirlo?

Asegura que el tráfico permanezca encriptado, previniendo ataques del tipo «man-in-the-middle» (MITM) y el robo de datos confidenciales como contraseñas.

¿Qué es?

No impide que el navegador adivine el tipo de archivo (rastreo MIME).

¿Por qué podría pasar esto?

Encabezado no configurado.
Riesgo de ataque de hackers: Ataques XSS mediante archivos subidos que se malinterpretan (por ejemplo, una imagen como script).

¿Por qué corregirlo?

Previene la explotación de cargas maliciosas, reduciendo el riesgo de inyección de código en los navegadores.

¿Qué es?

No controla el envío de información de origen (referrers) a otros sitios web.

¿Por qué podría pasar esto?

Encabezado predeterminado no definido.
Riesgo de ataque de hackers: Filtración de URL sensibles (p. ej., que contienen tokens) a terceros.

¿Por qué corregirlo?

Protege la privacidad y evita el seguimiento o la explotación de enlaces internos filtrados.

¿Qué es?

No define reglas para cargar recursos (scripts, estilos) ni permite elementos ‘unsafe-inline’.

¿Por qué podría pasar esto?

Encabezado no implementado o mal configurado.

Riesgo de ataque de hackers:

Alta exposición a XSS (inyección de scripts maliciosos).

¿Por qué corregirlo?

Reduce drásticamente los ataques de inyección, protegiendo a los usuarios del robo de datos a través de JavaScript malicioso.

¿Qué es?

El servidor de encabezado revela el nombre/versión del servidor (por ejemplo, Apache/2.4).

¿Por qué podría pasar esto?

Configuración predeterminada del servidor.

Riesgo de ataque de hackers:

Facilita exploits conocidos para versiones específicas.

¿Por qué corregirlo?

Reduce las huellas dactilares, lo que hace más difícil para los piratas informáticos elegir ataques específicos.

¿Qué es?

El servidor permite métodos como TRACE o PUT además de GET/POST.

¿Por qué podría pasar esto?

Configuración predeterminada sin restricciones.

Riesgo de ataque de hackers:

Fuga de encabezados (TRACE) o carga maliciosa (PUT).

¿Por qué corregirlo?

Evita el uso excesivo de métodos innecesarios, reduciendo la superficie de ataque.

¿Qué es?

Las metaetiquetas o cadenas de consulta revelan la versión de WordPress.

¿Por qué podría pasar esto?

Funcionalidad estándar de WP.

Riesgo de ataque de hackers:

Ataques dirigidos a vulnerabilidades conocidas en esa versión.

¿Por qué corregirlo?

Esto dificulta el reconocimiento y da tiempo para actualizar el WP sin convertirse en un objetivo inmediato.

¿Qué es?

La API REST expone a usuarios no autenticados.

¿Por qué podría pasar esto?

La API REST de WP está habilitada de forma predeterminada.

Riesgo de ataque de hackers:

Ataques de fuerza bruta en inicios de sesión reales (por ejemplo, administrador).

¿Por qué corregirlo?

Protege contra ataques automatizados de credenciales, reduciendo el riesgo de intrusión.

¿Qué es?

El punto final xmlrpc.php permite llamadas remotas.

¿Por qué podría pasar esto?

Habilitado por defecto en WordPress.

Riesgo de ataque de hackers:

Fuerza bruta masiva y DDoS vía pingback.

¿Por qué corregirlo?

Cierra una puerta de entrada común para ataques amplificados, mejorando el rendimiento y la seguridad.

¿Qué es?

Archivos WP estándar accesibles, versión reveladora.

¿Por qué podría pasar esto?

No se elimina ni se bloquea después de la instalación.

Riesgo de ataque de hackers:

Facilita la identificación de versiones vulnerables.

¿Por qué corregirlo?

Reduce las huellas dactilares en WP, lo que dificulta los escáneres automáticos.

¿Qué es?

Tráfico enviado sin cifrado.

¿Por qué podría pasar esto?

Certificado SSL no instalado o configurado.

Riesgo de ataque de hackers:

Interceptación de datos (contraseñas, cookies) vía MITM.

¿Por qué corregirlo?

Protege los datos en tránsito, mejora el SEO y evita las advertencias del navegador.

¿Qué es?

Los usuarios pueden acceder a través de HTTP sin redirección.

¿Por qué podría pasar esto?

Falta regla de reescritura.

Riesgo de ataque de hackers:

Cambiar a HTTP inseguro.

¿Por qué corregirlo?

Garantiza el cifrado en todo momento, evitando ataques MITM en redes públicas.

¿Qué es?

Los parámetros de URL redirigen a sitios web externos arbitrarios.

¿Por qué podría pasar esto?

Validación débil en códigos de redirección.

Riesgo de ataque de hackers:

Phishing o robo de tokens mediante redirecciones maliciosas.

¿Por qué corregirlo?

Evita que el sitio se utilice como vector para estafas o ataques de credenciales.

¿Qué es?

El servidor responde al TRACE haciendo eco de los encabezados.

¿Por qué podría pasar esto?

Configuración predeterminada sin deshabilitar.

Riesgo de ataque de hackers:

Fuga de cookies mediante XST (Cross-Site Tracing).

¿Por qué corregirlo?

Fecha brecha para roubo de dados protegidos (HttpOnly cookies).

¿Qué es?

Permite un amplio acceso entre orígenes con credenciales.

¿Por qué podría pasar esto?

Los encabezados CORS están configurados incorrectamente.

Riesgo de ataque de hackers:

Robo de datos a través de JavaScript desde otros sitios web.

¿Por qué corregirlo?

Protege las API y los datos confidenciales contra lecturas no autorizadas.

¿Qué es?

Sin FPS o sin -todo (falla total).

¿Por qué podría pasar esto?

DNS no configurado para correos electrónicos.

Riesgo de ataque de hackers:

Suplantación de correo electrónico (correos electrónicos de phishing que simulan provenir de su propio dominio).

¿Por qué corregirlo?

Previene el abuso del dominio para spam/phishing, mejorando la capacidad de entrega y el cumplimiento de LGPD.

¿Qué es?

Sin DMARC o con p=ninguno/cuarentena (no rechaza).

¿Por qué podría pasar esto?

Falta de configuración avanzada de DNS.

Riesgo de ataque de hackers:

Correos electrónicos falsos enviados pretendiendo ser suyos.

¿Por qué corregirlo?

Bloquea la suplantación de identidad, protegiendo la reputación y a los usuarios del fraude.

¿Qué es?

No hay firma digital para correos electrónicos.

¿Por qué podría pasar esto?

Proveedor de correo electrónico no configurado.

Riesgo de ataque de hackers:

Correos electrónicos alterados en tránsito sin detección.

¿Por qué corregirlo?

Garantiza la integridad de los correos electrónicos, reduciendo el spam y la suplantación de identidad.

¿Qué es?

Archivos o directorios con permisos excesivos (por ejemplo, 777, 666).

¿Por qué podría pasar esto?

Implementación manual, alojamiento compartido mal configurado.

Riesgo de ataque de hackers:

Permite escritura no autorizada → puerta trasera o carga webshell.

¿Por qué corregirlo?

Los permisos incorrectos facilitan que se modifique maliciosamente el código.

¿Qué es?

Área administrativa de acceso público sin capa adicional.

Riesgo de ataque de hackers:

Fuerza bruta dirigida.

¿Por qué corregirlo?

Incluso con una contraseña segura, reduce los ataques automatizados.

¿Qué es?

No controla funciones como la cámara, el micrófono o la geolocalización.

Riesgo de ataque de hackers:

Abuso de las API de los navegadores modernos.

¿Qué es?

Cookies sin Secure, HttpOnly y SameSite.

Riesgo de ataque de hackers:

Secuestro de sesión mediante XSS o MITM.

Qué comprobar:

/wp-json/

Rutas personalizadas

Complementos que exponen puntos finales inseguros

Riesgo de ataque de hackers:

Exposición de datos confidenciales a través de puntos finales personalizados.

¿Qué es?

wp-cron.php es accesible externamente.

Riesgo de ataque de hackers:

Abuso para sobrecargar el servidor.

¿Qué es?

El servidor ejecuta archivos .php dentro de /uploads.

Riesgo de ataque de hackers:

Webshell remoto.

Además de comprobar los archivos en el directorio raíz, también puedes probar:

/respaldo/

/viejo/

/desarrollador/

/prueba/

Los bots buscan estas carpetas.

¿Qué es?

Subdominio que apunta a un servicio inexistente (por ejemplo, el antiguo Heroku).

Riesgo de ataque de hackers:

El delantero registra el servicio y se hace cargo del subdominio.

¿Qué es?

Los servidores DNS no están protegidos contra la suplantación de identidad.

Riesgo de ataque de hackers:

Secuestro de dominio.

¿Qué es?

El servidor acepta solicitudes ilimitadas.

Riesgo de ataque de hackers:

Ataques de fuerza bruta y DDoS leves.

¿Qué es?

Las páginas iniciadas se almacenan en la caché pública.

Riesgo de ataque de hackers:

Fuga de sesión.

¿Qué es?

Se puede acceder al archivo phpinfo.php.

Riesgo de ataque de hackers:

Exposición completa de la configuración del servidor.

¿Qué es?

El servidor acepta TLS 1.0 o 1.1.

Riesgo de ataque de hackers:

Ataques de degradación y cifrado débil.

¿Qué es?

Cifras inseguras habilitadas.

Riesgo de ataque de hackers:

Ataques de descifrado.

¿Qué es?

Certificado con menos de 15 días restantes.

Riesgo de ataque de hackers:

Site cai inesperadamente.

¿Qué es?

Carga de páginas HTTPS de recursos HTTP.

Riesgo de ataque de hackers:

MITM a través de activos inseguros.

¿Qué es?

El sitio tiene un usuario con el nombre de inicio de sesión «admin», que es el nombre de usuario predeterminado de WordPress en instalaciones anteriores.

Riesgo de ataque de hackers:

Facilita los ataques de fuerza bruta y el robo de credenciales, ya que el atacante ya conoce la mitad de las credenciales (el inicio de sesión). Los bots automatizados prueban miles de combinaciones, comenzando por el usuario «admin».

¿Por qué corregirlo?

Reduce significativamente los ataques automatizados. Cuando el inicio de sesión es predecible, basta con descifrar la contraseña. Cambiar el usuario elimina un vector común explotado por los escáneres masivos.

¿Qué es?

Usuarios con contraseñas débiles (por ejemplo, 123456, admin123, nombre+año).

Riesgo de ataque de hackers:

Los ataques de diccionario y el robo de credenciales pueden generar acceso rápidamente, especialmente cuando se combinan con violaciones de datos anteriores.

¿Por qué corregirlo?

Incluso con firewalls y medidas de seguridad, las contraseñas débiles son el principal vector de intrusiones en WordPress. La mayoría de los sitios web pirateados se deben a credenciales débiles, no a fallos técnicos avanzados.

¿Qué es?

Complemento instalado sin actualización durante más de 2 años o eliminado del repositorio oficial.

Riesgo de ataque de hackers:

Las vulnerabilidades conocidas pueden explotarse públicamente. Los exploits automatizados suelen tener como objetivo complementos descontinuados.

¿Por qué corregirlo?

Los plugins abandonados no reciben parches de seguridad. Mantener un plugin así es como dejar una puerta permanentemente abierta a futuras intrusiones.

¿Qué es?

Temas instalados, pero no activos.

Riesgo de ataque de hackers:

Incluso desactivado, los archivos permanecen accesibles en el servidor. Las vulnerabilidades del tema pueden explotarse directamente mediante URL.

¿Por qué corregirlo?

Reduce la superficie de ataque. Si no se utiliza, no debe permanecer en el entorno de producción.

¿Qué es?

Modo de depuración habilitado en un entorno público.

Riesgo de ataque de hackers:

Visualización de mensajes de error con:

• Rutas absolutas

• Consultas SQL

• Estructura interna del sistema

• Información del complemento

¿Por qué corregirlo?

Facilita la ingeniería inversa y la explotación dirigida. La información privilegiada ayuda al atacante a identificar vulnerabilidades con precisión.

¿Qué es?

Los errores de PHP revelan la ruta completa del servidor.

Riesgo de ataque de hackers:

Ayuda a crear cargas útiles personalizadas, explorar LFI (inclusión de archivos locales) y otras técnicas avanzadas.

¿Por qué corregirlo?

Reduce las huellas dactilares y evita que los atacantes obtengan información interna sobre el entorno.

¿Qué es?

Las tablas utilizan el prefijo estándar wp_.

Riesgo de ataque de hackers:

Facilita scripts de inyección SQL automatizados que asumen nombres de tabla predeterminados.

¿Por qué corregirlo?

No evita SQLi, pero dificulta los ataques automatizados masivos que dependen de estructuras predecibles.

¿Qué es?

Usuario del banco con permisos como GRANT ALL o acceso administrativo completo.

Riesgo de ataque de hackers:

Si hay una inyección SQL, el atacante puede:

Crear nuevos usuarios

Borrar base de datos

Realizar operaciones destructivas

¿Por qué corregirlo?

La aplicación del principio del mínimo privilegio limita el impacto de un posible fallo.

¿Qué es?

Puerta 3306 abierta para acceso externo.

Riesgo de ataque de hackers:

Intentos de fuerza bruta dirigidos directamente a MySQL o explotando vulnerabilidades del servicio.

¿Por qué corregirlo?

La base de datos sólo debe aceptar conexiones locales o a través de una dirección IP restringida.

¿Qué es?

Ausencia de una capa de filtrado entre el visitante y el servidor.

Riesgo de ataque de hackers:

Ataques como:

• Inyección SQL

• XSS

• Explotaciones automatizadas

• DDoS leve

¿Por qué corregirlo?

WAF bloquea los ataques antes de que lleguen a WordPress, lo que reduce drásticamente el riesgo y la carga del servidor.

¿Qué es?

El sistema acepta intentos de inicio de sesión ilimitados.

Riesgo de ataque de hackers:

Ataque masivo de fuerza bruta hasta que se encuentre la contraseña correcta.

¿Por qué corregirlo?

Limitar los intentos evita que los ataques automatizados prueben miles de combinaciones.

¿Qué es?

El inicio de sesión depende únicamente de la contraseña.

Riesgo de ataque de hackers:

Si se filtra la contraseña, el acceso es inmediato.

¿Por qué corregirlo?

2FA agrega una capa adicional y bloquea intrusiones incluso con una contraseña comprometida.

¿Qué es?

Los parámetros de URL se muestran sin desinfección.

Riesgo de ataque de hackers:

Ejecución de scripts maliciosos en el navegador de la víctima, que pueden robar cookies o redirigir a sitios de phishing.

¿Por qué corregirlo?

Protege a los usuarios contra el secuestro de sesiones y la manipulación de contenido.

¿Qué es?

Entradas de usuario no validadas antes de consultar la base de datos.

Riesgo de ataque de hackers:

Extraer o modificar datos de la base de datos.

¿Por qué corregirlo?

La inyección SQL es una de las vulnerabilidades más críticas según OWASP y puede comprometer completamente un sitio web.

¿Qué es?

La dirección IP real del servidor se descubre fácilmente.

Riesgo de ataque de hackers:

Evitar firewalls CDN y ataques directos al servidor.

¿Por qué corregirlo?

Ocultar su dirección IP le protege contra ataques directos y ataques DDoS.

¿Qué es?

cPanel, Plesk o un panel de acceso público.

Riesgo de ataque de hackers:

Fuerza bruta administrativa.

¿Por qué corregirlo?

El panel es un puerto crítico: debe tener una dirección IP restringida o 2FA obligatoria.

¿Qué es?

Puerto 22 abierto sin límite de velocidad o fail2ban.

Riesgo de ataque de hackers:

Ataque de fuerza bruta a las credenciales SSH.

¿Por qué corregirlo?

SSH comprometido significa control completo del servidor.

¿Qué es?

No hay sistema para detectar cambios de archivos.

Riesgo de ataque de hackers:

Las puertas traseras pueden permanecer ocultas durante meses.

¿Por qué corregirlo?

Permite la detección rápida de intrusiones.

¿Qué es?

Copias de seguridad manuales o ninguna copia de seguridad.

Riesgo de ataque de hackers:

El ransomware o una falla técnica pueden causar una pérdida total.

¿Por qué corregirlo?

La copia de seguridad es la última línea de defensa.

¿Qué es?

Registros no almacenados ni analizados.

Riesgo de ataque de hackers:

Los ataques pasan desapercibidos.

¿Por qué corregirlo?

Los registros permiten la auditoría, la investigación y el cumplimiento de la LGPD (Ley General de Protección de Datos de Brasil).

¿Qué es?

Scripts externos cargados sin verificación de hash.

Riesgo de ataque de hackers:

Si la CDN se ve comprometida, se ejecuta un script malicioso.

¿Por qué corregirlo?

SRI garantiza la integridad del recurso cargado.

¿Qué es?

Encabezados de aislamiento de contexto modernos.

Riesgo de ataque de hackers:

Posibilidad de ataques avanzados de origen cruzado.

¿Por qué corregirlo?

Mejora el aislamiento y la seguridad en aplicaciones modernas.

¿Qué es?

Enlaces externos abiertos con target=»_blank» sin protección.

Riesgo de ataque de hackers:

La página externa puede alterar la pestaña original.

¿Por qué corregirlo?

Protege a los usuarios contra el phishing indirecto.

¿Qué es?

HSTS está activo, pero no está incluido en la lista de precarga global.

Riesgo de ataque de hackers:

El acceso inicial puede ocurrir a través de HTTP.

¿Por qué corregirlo?

Garantiza HTTPS incluso antes de la primera conexión.

¿Qué es?

Los encabezados permiten el almacenamiento en caché público de contenido confidencial.

Riesgo de ataque de hackers:

Los datos privados pueden almacenarse de forma incorrecta.

¿Por qué corregirlo?

Evita fugas de datos a través de proxy/caché.

¿Qué es?

Puntos finales AJAX o REST expuestos sin autenticación.

Riesgo de ataque de hackers:

Extracción de datos o ejecución de acciones indebidas.

¿Por qué corregirlo?

Cada API debe requerir autenticación y validación adecuadas.