Soporte » Seguridad » Problemas de seguridad en mi web CSRF or XSRF

  • Hola, hace unos dias publiqué una web en wordpress 5.2.1 y el admin del hosting me envía un mensaje donde me dice que el software con que audita las webs le reporta lo que les pongo debajo. Pudieran ayudarme a resolver este problema? Existe algún plugin que resuelva esto?

    ———–

    Cross-site request forgery, also known as a one-click attack or session riding and abbreviated as CSRF or XSRF, is a type of malicious exploit of a website whereby unauthorized commands are transmitted from a user that the website trusts.

    Acunetix WVS found a HTML form with no apparent CSRF protection implemented. Consult details for more information about the affected HTML form

    Traducido por google:

    La falsificación de solicitudes entre sitios, también conocida como ataque con un solo clic o sesión montada y abreviada como CSRF o XSRF, es un tipo de explotación maliciosa de un sitio web mediante el cual se transmiten comandos no autorizados de un usuario en el que el sitio confía.

    Acunetix WVS encontró un formulario HTML sin ninguna protección CSRF aparente implementada. Consulte los detalles para obtener más información sobre el formulario HTML afectado.

Viendo 2 respuestas - 1 de 2 (de 2 total)
  • Hola @braniegi el problema es debido a algún plugin que o bien no se ha actualizado por parte del usuario o por parte del desarrollador del mismo.

    Lo primero es localizar el plugin (o el Tema) responsable del fallo de seguridad y una vez localizado actualizarlo a la última versión, o de no haber nueva versión, sustituirlo por otro plugin con las mismas funciones y más actualizado.

    Para la búsqueda del plugin/plugins o tema culpables, puedes utilizar alguna herramienta externa de búsqueda de vulnerabilidades buscando en Google por «online wordpress vulnerability scanner»

    Hola @braniegi. En general muchos sistemas automáticos de análisis pueden dar falsos positivos.

    Si ese aviso hace referencia a uno de los formularios metidos en el propio núcleo de WordPress puedes ignorarlo. Los comentarios (que son los formularios únicos que hay en WordPress) son seguros. También lo son los que hay en el /wp-admin/.

    En caso de que utilices algún plugin de formularios, te recomiendo que uses los más conocidos ya que suelen ser los más seguros, como por ejemplo Contact Form 7. Eso sí, rte recomiendo usar un plugin de formularios que esté en el repositorio oficial o, al menos, sea extensamente conocido por la comunidad aunque sea premium.

    Si das alguna pista más es posible que podamos ayudarte con más detalle. Saludos.

Viendo 2 respuestas - 1 de 2 (de 2 total)
  • Debes estar registrado para responder a este tema.