{"id":85990,"date":"2026-04-29T19:44:32","date_gmt":"2026-04-30T00:44:32","guid":{"rendered":"https:\/\/niixer.com\/?p=85990"},"modified":"2026-05-05T09:24:49","modified_gmt":"2026-05-05T14:24:49","slug":"pentesting-con-owasp-en-un-sitio-wordpress-hallazgos-reales-de-un-ejercicio-de-hacking-etico","status":"publish","type":"post","link":"https:\/\/niixer.com\/index.php\/2026\/04\/29\/pentesting-con-owasp-en-un-sitio-wordpress-hallazgos-reales-de-un-ejercicio-de-hacking-etico\/","title":{"rendered":"Pentesting con OWASP en un Sitio WordPress: Hallazgos Reales de un Ejercicio de Hacking \u00c9tico"},"content":{"rendered":"\n<p><em>Un recorrido pr\u00e1ctico por las fases de reconocimiento, an\u00e1lisis de infraestructura DNS y evaluaci\u00f3n de vulnerabilidades. Aplicamos Pentesting en WordPress con OWASP Top 10 sobre un sitio web real, en un entorno controlado y autorizado.<\/em><\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Introducci\u00f3n: por qu\u00e9 hacer pentesting en WordPress con OWASP<\/h2>\n\n\n\n<p>WordPress es el gestor de contenidos m\u00e1s utilizado del mundo. Por esa raz\u00f3n, tambi\u00e9n es uno de los m\u00e1s atacados. M\u00e1s del 40% de todos los sitios web activos en internet corren sobre WordPress. Esto lo convierte en un objetivo de alto valor para atacantes automatizados y manuales por igual.<\/p>\n\n\n\n<p>Plugins sin actualizar, contrase\u00f1as d\u00e9biles y configuraciones por defecto suelen convertir a un sitio normal en un blanco f\u00e1cil. La buena noticia es que la mayor\u00eda de estos riesgos son predecibles, detectables y corregibles si se aplica una metodolog\u00eda clara.<\/p>\n\n\n\n<p>OWASP Top 10 es el est\u00e1ndar m\u00e1s usado para evaluar la <a href=\"https:\/\/niixer.com\/?s=seguridad\">seguridad<\/a> de aplicaciones web. La Open Web Application Security Project Foundation publica esta lista con las diez categor\u00edas de riesgo m\u00e1s cr\u00edticas. Se construye a partir de datos reales de cientos de organizaciones en todo el mundo. No es una lista de vulnerabilidades puntuales, sino un marco que permite a equipos de seguridad y desarrolladores priorizar esfuerzos juntos.<\/p>\n\n\n\n<p>En este art\u00edculo compartimos los resultados de un taller acad\u00e9mico de hacking \u00e9tico. Lo realizamos en un entorno controlado, sobre un sitio WordPress propio alojado en InfinityFree. La meta no fue romper nada. El objetivo fue mostrar qu\u00e9 tan expuesto puede estar un sitio t\u00edpico y c\u00f3mo evaluarlo con el OWASP Top 10 paso a paso.<\/p>\n\n\n\n<p><strong>Declaraci\u00f3n \u00e9tica:<\/strong> todas las pruebas se realizaron sobre un sitio propio creado para fines acad\u00e9micos. No se vulneraron sistemas de terceros ni se hicieron pruebas sin autorizaci\u00f3n expl\u00edcita.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Fase 1: Reconocimiento de red<\/h2>\n\n\n\n<p>El reconocimiento es la primera fase de cualquier ejercicio de pentesting. Su objetivo es recolectar informaci\u00f3n p\u00fablica del objetivo sin generar actividad intrusiva. Usamos cuatro herramientas cl\u00e1sicas: <code>ping<\/code>, <code>tracert<\/code>, <code>nslookup<\/code> y <code>nmap<\/code>. Cada una responde una pregunta distinta y, en conjunto, construyen un mapa inicial del entorno.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Ping: \u00bfest\u00e1 activo el servidor?<\/h3>\n\n\n\n<p>Al ejecutar <code>ping <a href=\"https:\/\/suzuki-motos-la13.wuaze.com\/\">suzuki-motos-la13.wuaze.com<\/a><\/code> obtuvimos un 100% de p\u00e9rdida de paquetes. A primera vista parece que el servidor est\u00e1 ca\u00eddo. Sin embargo, el sitio cargaba sin problemas en el navegador. La raz\u00f3n es que InfinityFree bloquea el protocolo ICMP para evitar ataques de reconocimiento y de denegaci\u00f3n de servicio. Este comportamiento es com\u00fan en hosting compartido y no significa que el servidor est\u00e9 fuera de l\u00ednea.<\/p>\n\n\n\n<p>Aqu\u00ed hay una lecci\u00f3n clave para cualquier analista: la falta de respuesta ICMP no equivale a la ausencia del host. Un pentester que abandona el an\u00e1lisis ante un ping fallido puede llegar a conclusiones equivocadas. La regla es siempre combinar varias t\u00e9cnicas antes de sacar conclusiones.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"453\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1065-1024x453.png\" alt=\"Ping\" class=\"wp-image-86263\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1065-1024x453.png 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1065-300x133.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1065-768x340.png 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1065.png 1249w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Traceroute: el camino hasta el servidor<\/h3>\n\n\n\n<p>Con <code>tracert<\/code> mapeamos la ruta de los paquetes desde nuestra <a href=\"https:\/\/niixer.com\/index.php\/2025\/03\/22\/nlp-como-las-maquinas-entienden-el-lenguaje-humano-2\/\">m\u00e1quina <\/a>hasta el servidor (185.27.134.130). El an\u00e1lisis mostr\u00f3 lo siguiente:<\/p>\n\n\n\n<p>El <strong>primer salto<\/strong> (10.242.244.100) es el gateway local, con latencias menores a 5 ms. Los <strong>saltos 2 al 6<\/strong> muestran asteriscos, lo que indica routers que no responden a TTL expirado. Esto es una pr\u00e1ctica normal de seguridad en los ISPs. Los <strong>saltos 7 al 9<\/strong> revelan IPs p\u00fablicas del proveedor de internet, con latencias de 50 a 120 ms. Los <strong>saltos 11 y 12<\/strong> identifican nodos en Manchester, Reino Unido, con latencias cercanas a 200 ms. Desde el salto 13 en adelante, el firewall del hosting bloquea las respuestas.<\/p>\n\n\n\n<p>El dato m\u00e1s relevante es que el sitio est\u00e1 alojado en el <a href=\"https:\/\/es.wikipedia.org\/wiki\/Reino_Unido\">Reino Unido<\/a>. Para un sitio comercial que maneje datos de usuarios europeos, esto tiene implicaciones directas con el cumplimiento del GDPR.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"802\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1066-1024x802.png\" alt=\"Traceroute\" class=\"wp-image-86264\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1066-1024x802.png 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1066-300x235.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1066-768x601.png 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1066.png 1111w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Escaneo de puertos con Nmap<\/h3>\n\n\n\n<p>Usamos el comando <code>nmap -sS -Pn suzuki-motos-la13.wuaze.com<\/code> y obtuvimos:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>80\/tcp<\/strong> \u2014 abierto (HTTP)<\/li>\n\n\n\n<li><strong>443\/tcp<\/strong> \u2014 abierto (HTTPS)<\/li>\n\n\n\n<li><strong>2049\/tcp<\/strong> \u2014 abierto (NFS)<\/li>\n\n\n\n<li>778 puertos filtrados y 219 cerrados<\/li>\n<\/ul>\n\n\n\n<p>Los puertos 80 y 443 son los esperados en cualquier servidor web. El <strong>puerto 2049<\/strong> (Network File System) fue el que llam\u00f3 nuestra atenci\u00f3n. NFS sirve para compartir archivos entre equipos en red. Su exposici\u00f3n en un servidor web es llamativa. Aunque probablemente pertenece a la infraestructura interna del hosting, en entornos mal configurados puede permitir el acceso no autorizado a archivos del servidor.<\/p>\n\n\n\n<p>La gran cantidad de puertos filtrados es una se\u00f1al positiva. Indica que hay un firewall activo que limita el acceso a lo estrictamente necesario.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"293\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1067-1024x293.png\" alt=\"Nmap\" class=\"wp-image-86265\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1067-1024x293.png 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1067-300x86.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1067-768x220.png 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1067.png 1197w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Fase 2: DNS, WHOIS y certificados SSL\/TLS<\/h2>\n\n\n\n<p>Con la conectividad confirmada, analizamos la infraestructura del dominio. Esta fase revela informaci\u00f3n que un atacante puede usar para mapear el entorno: proveedores de hosting, configuraci\u00f3n de correo, fechas de vencimiento del dominio y calidad del cifrado.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Registros DNS<\/h3>\n\n\n\n<p>Con <code>nslookup<\/code> consultamos los registros del dominio y obtuvimos lo siguiente:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Registro A:<\/strong> 185.27.134.130 (servidor compartido).<\/li>\n\n\n\n<li><strong>Registros NS:<\/strong> ns1 a ns5.byet.org, propios de InfinityFree. Toda la resoluci\u00f3n DNS depende de este proveedor.<\/li>\n\n\n\n<li><strong>Registro MX:<\/strong> sv62.ifastnet11.org con prioridad 10. El correo lo gestiona el propio hosting.<\/li>\n\n\n\n<li><strong>Registros TXT:<\/strong> sin SPF ni DKIM configurados.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Por qu\u00e9 importa la falta de SPF y DKIM<\/h3>\n\n\n\n<p>SPF (Sender Policy Framework) permite verificar que un correo viene de un servidor autorizado por el dominio. DKIM a\u00f1ade una firma digital que garantiza que el mensaje no fue alterado en tr\u00e1nsito. Sin estos registros, cualquier persona puede enviar correos que parezcan venir del dominio. Los servidores de destino no tienen forma de rechazarlos de forma autom\u00e1tica. Para un sitio comercial que se comunica con clientes, esto es un problema serio.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Consulta WHOIS<\/h3>\n\n\n\n<p>El registro WHOIS confirm\u00f3 que el dominio est\u00e1 en <strong>NameCheap, Inc.<\/strong> Fue creado el 16\/08\/2023 y vence el 16\/08\/2027. Los datos del propietario est\u00e1n protegidos con privacidad WHOIS. Esta es una buena pr\u00e1ctica: los registros WHOIS son p\u00fablicos y cualquiera puede consultarlos para obtener informaci\u00f3n de contacto.<\/p>\n\n\n\n<p>Para un pentester, el WHOIS tambi\u00e9n permite saber si el dominio est\u00e1 por vencer (lo que facilita un posible secuestro de dominio) y si el registrador ofrece bloqueo de transferencia.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"862\" height=\"389\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1068.png\" alt=\"Consulta WHOIS\" class=\"wp-image-86266\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1068.png 862w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1068-300x135.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1068-768x347.png 768w\" sizes=\"auto, (max-width: 862px) 100vw, 862px\" \/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Certificado SSL\/TLS<\/h3>\n\n\n\n<p>Probamos la conexi\u00f3n al puerto 443 con <code>Test-NetConnection<\/code> y validamos el certificado en SSL Labs. El resultado fue una <strong>calificaci\u00f3n A<\/strong>. El servidor soporta TLS 1.3 y TLS 1.2, y tiene desactivados los protocolos obsoletos (TLS 1.0, TLS 1.1, SSL 2 y SSL 3). El certificado fue emitido por <strong>ZeroSSL ECC Domain Secure Site CA<\/strong> y est\u00e1 vigente y sin revocar.<\/p>\n\n\n\n<p>Este es uno de los pocos puntos bien resueltos del sitio. TLS 1.3 es especialmente valioso porque ofrece Perfect Forward Secrecy por defecto. Esto significa que, aunque alguien capture el tr\u00e1fico cifrado hoy, no podr\u00e1 descifrarlo en el futuro aunque obtenga la clave privada del servidor.<\/p>\n\n\n\n<p>Aun as\u00ed, las pruebas con <code>curl -v<\/code> mostraron que el <a href=\"https:\/\/niixer.com\/index.php\/2025\/08\/17\/cloud-rendering\/\">servidor <\/a>acepta conexiones HTTP sin cifrar. Adem\u00e1s, la sesi\u00f3n TLS se cierra de forma abrupta con el error <code>missing close_notify<\/code>. Estos problemas pueden ser aprovechados en ataques de tipo man-in-the-middle.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1003\" height=\"449\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1069.png\" alt=\"Certificado SSL\/TLS\" class=\"wp-image-86267\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1069.png 1003w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1069-300x134.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1069-768x344.png 768w\" sizes=\"auto, (max-width: 1003px) 100vw, 1003px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"868\" height=\"589\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1070.png\" alt=\"Certificado SSL\/TLS\" class=\"wp-image-86268\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1070.png 868w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1070-300x204.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1070-768x521.png 768w\" sizes=\"auto, (max-width: 868px) 100vw, 868px\" \/><\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Fase 3: Pentesting en WordPress con OWASP Top 10<\/h2>\n\n\n\n<p>La parte central del taller fue <a href=\"https:\/\/www.evaluar.com\/\">evaluar <\/a>el sitio frente a las diez de un Pentesting en WordPress con OWASP Top 10. Presentamos a continuaci\u00f3n los hallazgos de cada una, con el contexto necesario para entender por qu\u00e9 importan en la pr\u00e1ctica.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">A01 \u2013 Broken Access Control<\/h3>\n\n\n\n<p>Accedimos manualmente al endpoint <code>\/wp-json\/wp\/v2\/users<\/code>. El servidor devolvi\u00f3 un JSON con el usuario administrador (<code>admin<\/code>) sin pedir ninguna credencial. La respuesta inclu\u00eda nombre de usuario, slug, URLs de avatar y datos de WooCommerce, todo visible para cualquiera.<\/p>\n\n\n\n<p>Este endpoint es parte de la API REST de WordPress y est\u00e1 activo por defecto desde la versi\u00f3n 4.7. Sin <a href=\"https:\/\/dle.rae.es\/restricci%C3%B3n\">restricciones<\/a>, cualquier persona puede obtener el nombre exacto del administrador. Combinado con un formulario de login sin protecci\u00f3n, esto crea una ruta directa hacia un ataque de fuerza bruta.<\/p>\n\n\n\n<p><strong>Mitigaci\u00f3n:<\/strong> bloquear el acceso a <code>\/wp-json\/wp\/v2\/users<\/code> para usuarios sin sesi\u00f3n. Se puede hacer con Wordfence o con reglas en <code>.htaccess<\/code>. Tambi\u00e9n conviene renombrar la cuenta <code>admin<\/code> y usar contrase\u00f1as generadas por un gestor.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"529\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1071-1024x529.png\" alt=\"A01 \u2013 Broken Access Control\" class=\"wp-image-86269\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1071-1024x529.png 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1071-300x155.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1071-768x396.png 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1071-1536x793.png 1536w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1071.png 1914w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">A02 \u2013 Cryptographic Failures<\/h3>\n\n\n\n<p>Las pruebas con <code>curl -v<\/code> encontraron dos problemas. Primero, el servidor acepta conexiones HTTP sin redirigir a HTTPS. Segundo, la sesi\u00f3n TLS termina con <code>missing close_notify<\/code>, lo que indica un cierre incorrecto de la conexi\u00f3n.<\/p>\n\n\n\n<p>El acceso HTTP sin cifrar es el problema m\u00e1s grave. Un usuario en una red p\u00fablica puede tener su tr\u00e1fico interceptado. Si el login o el checkout de WooCommerce funcionan por HTTP, las contrase\u00f1as y datos de pago viajan en texto plano.<\/p>\n\n\n\n<p><strong>Mitigaci\u00f3n:<\/strong> forzar HTTPS con una redirecci\u00f3n 301 y activar la cabecera HSTS. Tambi\u00e9n hay que corregir el cierre de sesiones TLS en la configuraci\u00f3n de OpenResty.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"411\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1072-1024x411.png\" alt=\"A02 \u2013 Cryptographic Failures\" class=\"wp-image-86270\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1072-1024x411.png 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1072-300x120.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1072-768x308.png 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1072-1536x617.png 1536w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1072.png 1888w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">A03 \u2013 Injection<\/h3>\n\n\n\n<p>Ejecutamos un Active Scan con OWASP ZAP. La herramienta prob\u00f3 m\u00faltiples cargas de inyecci\u00f3n SQL, XPath y de comandos sobre formularios y par\u00e1metros de URL. No se encontr\u00f3 ninguna vulnerabilidad de inyecci\u00f3n. Esto indica que las consultas de WordPress y <a href=\"https:\/\/www.hostinger.com\/co\/hosting-woocommerce?utm_source=google&amp;utm_medium=cpc&amp;utm_id=19787522159&amp;utm_campaign=Generic-Hosting-WooCommerce|NT:Se|LO:CO&amp;utm_term=woocommerce&amp;utm_content=689047967269&amp;gad_source=1&amp;gad_campaignid=19787522159&amp;gbraid=0AAAAADMy-ha0F6jrrUM_1K3-nKORI8Odr&amp;gclid=CjwKCAjw5NvPBhAoEiwA_2egfnrcdSXRitQbi7z7jn0mMXIik-F70NI6FLENh55anV7mOZssOzNvKBoCqoEQAvD_BwE\">WooCommerce <\/a>est\u00e1n bien protegidas con la clase <code>wpdb<\/code>.<\/p>\n\n\n\n<p>Es un resultado positivo. Sin embargo, la ausencia de problemas hoy no garantiza seguridad en el futuro. Plugins nuevos o personalizados pueden introducir c\u00f3digo vulnerable. Los escaneos peri\u00f3dicos son la \u00fanica forma de mantener este control.<\/p>\n\n\n\n<p><strong>Mitigaci\u00f3n:<\/strong> usar siempre consultas parametrizadas en c\u00f3digo propio. Nunca concatenar variables directamente en sentencias SQL. Mantener todos los plugins actualizados.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"216\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1073-1024x216.png\" alt=\"\" class=\"wp-image-86271\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1073-1024x216.png 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1073-300x63.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1073-768x162.png 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1073.png 1156w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">A04 \u2013 Insecure Design<\/h3>\n\n\n\n<p>El formulario de login (<code>\/wp-login.php<\/code>) no tiene CAPTCHA, no limita los intentos fallidos y no ofrece autenticaci\u00f3n en dos pasos (MFA). Hicimos varios intentos de acceso con el usuario <code>admin<\/code> obtenido en A01 y el sistema no bloque\u00f3 ni alert\u00f3 en ning\u00fan momento.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">El riesgo combinado m\u00e1s cr\u00edtico del an\u00e1lisis<\/h4>\n\n\n\n<p>Este <a href=\"https:\/\/dle.rae.es\/hallazgo\">hallazgo<\/a>, unido a la enumeraci\u00f3n de usuarios de A01, forma la cadena de ataque m\u00e1s peligrosa del informe. Un atacante conoce el nombre de usuario exacto y puede probar contrase\u00f1as sin l\u00edmite. Herramientas como Hydra o <a href=\"https:\/\/niixer.com\/index.php\/2026\/04\/30\/pentesting-web-como-auditar-la-seguridad-de-una-aplicacion-real-con-owasp-top-10\/\">WPScan <\/a>pueden hacer miles de intentos por minuto de forma autom\u00e1tica.<\/p>\n\n\n\n<p><strong>Mitigaci\u00f3n:<\/strong> instalar un plugin que a\u00f1ada CAPTCHA al login y bloquee intentos fallidos (por ejemplo, Login LockDown). Habilitar MFA con Google Authenticator. Valorar restringir el acceso al panel de administraci\u00f3n por IP.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">A05 \u2013 Security Misconfiguration<\/h3>\n\n\n\n<p>OWASP ZAP detect\u00f3 que el servidor no env\u00eda varias cabeceras de seguridad HTTP b\u00e1sicas:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Content-Security-Policy (CSP):<\/strong> sin configurar. El navegador ejecutar\u00e1 scripts de cualquier origen, lo que facilita ataques XSS e inyecci\u00f3n de contenido.<\/li>\n\n\n\n<li><strong>X-Frame-Options:<\/strong> ausente. El sitio puede cargarse dentro de un iframe invisible, lo que abre la puerta al clickjacking.<\/li>\n\n\n\n<li><strong>X-Content-Type-Options:<\/strong> no enviada. Navegadores viejos pueden interpretar el contenido de formas no esperadas.<\/li>\n\n\n\n<li><strong>Referrer-Policy:<\/strong> sin configurar. Las URLs internas pueden filtrarse hacia sitios externos.<\/li>\n<\/ul>\n\n\n\n<p>Estas cabeceras no afectan el rendimiento del sitio. A\u00f1adirlas solo requiere configurar el servidor o instalar un plugin. Su ausencia es una se\u00f1al clara de que la seguridad no se tuvo en cuenta al momento del despliegue.<\/p>\n\n\n\n<p><strong>Mitigaci\u00f3n:<\/strong> configurar las cabeceras en OpenResty o con un plugin espec\u00edfico. Validar el resultado en securityheaders.com.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"527\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1077-1024x527.png\" alt=\"A05 \u2013 Security Misconfiguration\" class=\"wp-image-86275\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1077-1024x527.png 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1077-300x154.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1077-768x395.png 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1077-1536x791.png 1536w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1077.png 1907w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">A06 \u2013 Vulnerable Components<\/h3>\n\n\n\n<p>Identificamos WordPress, WooCommerce y el servidor OpenResty en las respuestas HTTP. Intentamos un an\u00e1lisis m\u00e1s profundo con <strong>WPScan<\/strong>, pero la herramienta fall\u00f3 por un error de dependencias de libcurl en el entorno local. No pudimos obtener informaci\u00f3n sobre versiones espec\u00edficas de plugins o temas.<\/p>\n\n\n\n<p>Aun sin esa informaci\u00f3n, la existencia de muchos componentes de terceros es un riesgo en s\u00ed mismo. La mayor\u00eda de los ataques exitosos contra WordPress no van al n\u00facleo del CMS. Van a los plugins desactualizados. Cada plugin instalado es una posible puerta de entrada.<\/p>\n\n\n\n<p><strong>Mitigaci\u00f3n:<\/strong> mantener <a href=\"https:\/\/niixer.com\/?s=WordPress+\">WordPress <\/a>y todos sus plugins y temas siempre actualizados. Borrar los plugins que no se usen. Ocultar la versi\u00f3n del servidor en las cabeceras HTTP. Hacer escaneos regulares con WPScan en un entorno correctamente configurado.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"533\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1078-1024x533.png\" alt=\"A06 \u2013 Vulnerable Components\" class=\"wp-image-86276\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1078-1024x533.png 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1078-300x156.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1078-768x400.png 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1078-1536x800.png 1536w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1078.png 1914w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">A07 \u2013 Identification and Authentication Failures<\/h3>\n\n\n\n<p>Probamos varios payloads XSS en el formulario de contacto y en par\u00e1metros de URL. Tambi\u00e9n enviamos solicitudes desde consola con <code>curl<\/code> para ver si el servidor devolv\u00eda las entradas maliciosas en sus respuestas. Ning\u00fan payload se ejecut\u00f3. La validaci\u00f3n de entradas funciona bien en los puntos evaluados.<\/p>\n\n\n\n<p>La falta de XSS reflejado indica que el sitio usa escape de salida correcto. Funciones como <code>esc_html()<\/code> y <code>wp_kses()<\/code> del n\u00facleo de WordPress hacen bien su trabajo. Aun as\u00ed, plugins o temas con c\u00f3digo propio pueden introducir este tipo de fallo sin que se detecte en un an\u00e1lisis general.<\/p>\n\n\n\n<p><strong>Mitigaci\u00f3n:<\/strong> mantener la validaci\u00f3n de entradas activa. Revisar el c\u00f3digo de cualquier desarrollo personalizado. Complementar con un WAF que bloquee patrones XSS conocidos.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">A08 \u2013 Software and Data Integrity Failures<\/h3>\n\n\n\n<p>Revisamos los scripts que carga la aplicaci\u00f3n con las herramientas del navegador y con Pentesting en WordPress con OWASP ZAP. Ninguno de los scripts externos usa <strong>Subresource Integrity (SRI)<\/strong>. SRI es un mecanismo que permite al <a href=\"https:\/\/brave.com\/es\/\">navegador <\/a>verificar que un archivo descargado desde un CDN no fue modificado.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">El riesgo de los ataques a la cadena de suministro<\/h4>\n\n\n\n<p>Sin SRI, si un CDN externo es comprometido, el sitio cargar\u00e1 y ejecutar\u00e1 c\u00f3digo malicioso sin ninguna defensa. Este tipo de <a href=\"https:\/\/niixer.com\/index.php\/2025\/02\/17\/ciberataques-en-el-metaverso\/\">ataque <\/a>se llama supply chain attack. Un caso real fue el de Polyfill.io en 2024, que afect\u00f3 a cientos de miles de sitios. La falta de CSP (mencionada en A05) hace que este riesgo sea a\u00fan mayor.<\/p>\n\n\n\n<p><strong>Mitigaci\u00f3n:<\/strong> a\u00f1adir el atributo <code>integrity<\/code> a todos los scripts externos. Configurar una CSP estricta. Revisar peri\u00f3dicamente las dependencias de terceros.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"534\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1080-1024x534.png\" alt=\"A08 \u2013 Software and Data Integrity Failure\" class=\"wp-image-86279\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1080-1024x534.png 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1080-300x156.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1080-768x400.png 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1080-1536x801.png 1536w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1080.png 1914w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"529\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1081-1024x529.png\" alt=\"A08 \u2013 Software and Data Integrity Failure\" class=\"wp-image-86280\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1081-1024x529.png 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1081-300x155.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1081-768x396.png 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1081-1536x793.png 1536w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1081.png 1916w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">A09 \u2013 Security Logging and Monitoring Failures<\/h3>\n\n\n\n<p>Hicimos varios intentos fallidos de login y de env\u00edo de formularios con datos inv\u00e1lidos. El sistema no mostr\u00f3 ninguna se\u00f1al de alerta, bloqueo ni registro visible. Un atacante podr\u00eda lanzar una campa\u00f1a sostenida y no dejar rastro.<\/p>\n\n\n\n<p>Esta categor\u00eda suele subestimarse porque no permite acceso directo al sistema. Sin embargo, la falta de registros es lo que convierte un incidente menor en una brecha grave. Sin logs, es imposible saber cu\u00e1ndo empez\u00f3 el ataque, qu\u00e9 datos fueron tocados o si el problema ya fue resuelto. Para un sitio de comercio electr\u00f3nico, esto es un riesgo especialmente alto.<\/p>\n\n\n\n<p><strong>Mitigaci\u00f3n:<\/strong> activar registros para eventos cr\u00edticos como logins, errores 404 en rutas sensibles y cambios de configuraci\u00f3n. Centralizar los logs en un servicio externo (Papertrail, Logtail). Configurar alertas autom\u00e1ticas ante actividad sospechosa.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"532\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1082-1024x532.png\" alt=\"A09 \u2013 Security Logging and Monitoring Failures\" class=\"wp-image-86281\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1082-1024x532.png 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1082-300x156.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1082-768x399.png 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1082-1536x797.png 1536w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1082.png 1907w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">A10 \u2013 Server-Side Request Forgery (SSRF)<\/h3>\n\n\n\n<p>Revisamos manualmente todas las funcionalidades visibles: formulario de contacto, tienda WooCommerce, navegaci\u00f3n general y par\u00e1metros de URL detectados con OWASP ZAP. No encontramos ning\u00fan punto que permita al usuario forzar peticiones del servidor hacia recursos externos.<\/p>\n\n\n\n<p>Es un resultado positivo. Aun as\u00ed, funcionalidades menos visibles como webhooks de WooCommerce o plugins de importaci\u00f3n de contenido podr\u00edan tener este tipo de fallo. La recomendaci\u00f3n es validar todas las URLs que el usuario pueda introducir y limitar las conexiones salientes del servidor.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"534\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1083-1024x534.png\" alt=\"A10 \u2013 Server-Side Request Forgery (SSRF)\" class=\"wp-image-86282\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1083-1024x534.png 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1083-300x156.png 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1083-768x400.png 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1083-1536x801.png 1536w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/image-1083.png 1918w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Resumen de hallazgos y prioridades de remediaci\u00f3n<\/h2>\n\n\n\n<p>De las diez categor\u00edas evaluadas, seis mostraron hallazgos relevantes. Las otras cuatro no presentaron vulnerabilidades evidentes. A continuaci\u00f3n, el orden de acci\u00f3n recomendado:<\/p>\n\n\n\n<p><strong>Prioridad cr\u00edtica \u2014 A01 + A04:<\/strong> la enumeraci\u00f3n de usuarios y el login sin protecci\u00f3n forman la cadena de ataque m\u00e1s urgente. Corregir uno sin el otro reduce, pero no elimina, el riesgo. Hay que abordar ambos al mismo tiempo.<\/p>\n\n\n\n<p><strong>Prioridad alta \u2014 A02 + A09:<\/strong> la falta de redirecci\u00f3n HTTPS afecta la privacidad de los datos en tr\u00e1nsito. La ausencia de logs limita la capacidad de responder ante un incidente. Ambos problemas tienen soluci\u00f3n directa y r\u00e1pida.<\/p>\n\n\n\n<p><strong>Prioridad media \u2014 A05 + A08:<\/strong> las cabeceras de seguridad ausentes y la falta de SRI son configuraciones que se corrigen en poco tiempo. Aportan una capa de defensa importante con bajo esfuerzo.<\/p>\n\n\n\n<p><strong>Sin hallazgo directo \u2014 A03, A06, A07, A10:<\/strong> no se encontraron vulnerabilidades en los puntos evaluados. Aun as\u00ed, se recomienda mantener controles activos y hacer evaluaciones peri\u00f3dicas.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Video Explciativo<\/strong><\/h2>\n\n\n\n<figure class=\"wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio\"><div class=\"wp-block-embed__wrapper\">\n<iframe loading=\"lazy\" title=\"Exposici\u00f3n Hacking Etico\" width=\"800\" height=\"450\" src=\"https:\/\/www.youtube.com\/embed\/eOihEVKBwqE?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe>\n<\/div><\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Conclusi\u00f3n: lo que todo administrador de WordPress deber\u00eda revisar hoy<\/h2>\n\n\n\n<p>Este ejercicio confirma algo que se repite en casi todos los sitios WordPress: los problemas no est\u00e1n en el c\u00f3digo del CMS, sino en su <strong>configuraci\u00f3n<\/strong>. Endpoints sin protecci\u00f3n, formularios sin CAPTCHA, cabeceras de seguridad ausentes y falta de monitoreo son errores de configuraci\u00f3n, no de programaci\u00f3n.<\/p>\n\n\n\n<p>Por lo tanto hacer Pentesting en WordPress con OWASP Top 10 ofrece un marco claro para evaluarlo todo de forma ordenada. No se necesitan herramientas costosas. Con Nmap, OWASP ZAP, nslookup y curl se pueden encontrar hallazgos cr\u00edticos en pocas horas.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Cinco acciones inmediatas para cualquier administrador<\/h3>\n\n\n\n<p>Si quieres aplicar las lecciones de este an\u00e1lisis hoy mismo, este es el orden recomendado:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Bloquear el endpoint <code>\/wp-json\/wp\/v2\/users<\/code> y renombrar el usuario <code>admin<\/code>.<\/li>\n\n\n\n<li>Instalar un plugin que limite intentos de login e implemente MFA.<\/li>\n\n\n\n<li>Forzar HTTPS con redirecci\u00f3n 301 y activar HSTS.<\/li>\n\n\n\n<li>Configurar las cabeceras de seguridad HTTP.<\/li>\n\n\n\n<li>Activar alg\u00fan sistema de logging centralizado.<\/li>\n<\/ol>\n\n\n\n<p>Estas cinco acciones no requieren m\u00e1s de una tarde de trabajo. Con ellas se eliminan los hallazgos m\u00e1s cr\u00edticos de este an\u00e1lisis.<\/p>\n\n\n\n<p>Si usas hosting compartido como InfinityFree, recuerda que el proveedor cubre la seguridad de la infraestructura base. La configuraci\u00f3n de la aplicaci\u00f3n siempre es responsabilidad del propietario del sitio. La seguridad no se alcanza una sola vez: es un proceso continuo de revisi\u00f3n, actualizaci\u00f3n y monitoreo.<\/p>\n\n\n\n<p>Aplicar esta metodolog\u00eda al menos una vez al a\u00f1o, o tras cambios importantes en el sitio, permite detectar los problemas antes de que lo haga un atacante. En seguridad, siempre gana quien act\u00faa primero.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Documento <\/h2>\n\n\n<div class=\"_3d-flip-book  fb3d-fullscreen-mode full-size\" data-id=\"86288\" data-mode=\"fullscreen\" data-title=\"false\" data-template=\"short-white-book-view\" data-lightbox=\"dark-shadow\" data-urlparam=\"fb3d-page\" data-page-n=\"0\" data-pdf=\"\" data-tax=\"null\" data-thumbnail=\"\" data-cols=\"3\" data-book-template=\"default\" data-trigger=\"\"><\/div><script type=\"text\/javascript\">window.FB3D_CLIENT_DATA = window.FB3D_CLIENT_DATA || [];FB3D_CLIENT_DATA.push('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');window.FB3D_CLIENT_LOCALE && FB3D_CLIENT_LOCALE.render && FB3D_CLIENT_LOCALE.render();<\/script>\n\n\n\n<h2 class=\"wp-block-heading\">Referencias<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>ICANN. (s. f.). <em>WHOIS lookup<\/em>. <a href=\"https:\/\/lookup.icann.org\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/lookup.icann.org\/<\/a><\/li>\n\n\n\n<li>OWASP Foundation. (2021). <em>OWASP Top 10: The ten most critical web application security risks<\/em>. <a href=\"https:\/\/owasp.org\/www-project-top-ten\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/owasp.org\/www-project-top-ten\/<\/a><\/li>\n\n\n\n<li>OWASP Foundation. (2023). <em>OWASP Web Security Testing Guide<\/em>. <a href=\"https:\/\/owasp.org\/www-project-web-security-testing-guide\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/owasp.org\/www-project-web-security-testing-guide\/<\/a><\/li>\n\n\n\n<li>OWASP Foundation. (2023). <em>OWASP Zed Attack Proxy (ZAP)<\/em>. <a href=\"https:\/\/owasp.org\/www-project-zap\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/owasp.org\/www-project-zap\/<\/a><\/li>\n\n\n\n<li>Qualys, Inc. (s. f.). <em>SSL Server Test<\/em>. SSL Labs. <a href=\"https:\/\/www.ssllabs.com\/ssltest\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/www.ssllabs.com\/ssltest\/<\/a><\/li>\n\n\n\n<li>WordPress Foundation. (2023). <em>WordPress security white paper<\/em>. <a href=\"https:\/\/wordpress.org\/about\/security\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/wordpress.org\/about\/security\/<\/a><\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p><em>Autores: Brayan Camilo Miranda, Nicol\u00e1s Buitrago Bogot\u00e1, Luis Fernando Mart\u00ednez.<\/em><br><em>Asignatura: Hacking \u00c9tico \u2014 C\u00f3digo 43391427.<\/em><br><em>Docente: Carlos Pinz\u00f3n.<\/em><br><em>Universidad Central \u2014 Facultad de Ingenier\u00eda, Programa de Ingenier\u00eda de Sistemas. Bogot\u00e1, Colombia. 2026.<\/em><\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un recorrido pr\u00e1ctico por las fases de reconocimiento, an\u00e1lisis de infraestructura DNS y evaluaci\u00f3n de vulnerabilidades. Aplicamos Pentesting en WordPress con OWASP Top 10 sobre un sitio web real, en un entorno controlado y autorizado. Introducci\u00f3n: por qu\u00e9 hacer pentesting en WordPress con OWASP WordPress es el gestor de contenidosSeguir Leyendo<\/p>\n","protected":false},"author":2025,"featured_media":85994,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[4557],"tags":[4559,4561,364,31,4564],"class_list":["post-85990","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hacking-etico","tag-hacking-etico","tag-owasp-top-10","tag-paginas-web-2","tag-tecnologia","tag-wordpress"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.5 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Pentesting en WordPress con OWASP: gu\u00eda pr\u00e1ctica<\/title>\n<meta name=\"description\" content=\"Pentesting en WordPress con OWASP: hallazgos reales de reconocimiento, DNS, certificados SSL y vulnerabilidades en hosting compartido\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/niixer.com\/index.php\/2026\/04\/29\/pentesting-con-owasp-en-un-sitio-wordpress-hallazgos-reales-de-un-ejercicio-de-hacking-etico\/\" \/>\n<meta property=\"og:locale\" content=\"es_ES\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Pentesting en WordPress con OWASP: gu\u00eda pr\u00e1ctica\" \/>\n<meta property=\"og:description\" content=\"Pentesting en WordPress con OWASP: hallazgos reales de reconocimiento, DNS, certificados SSL y vulnerabilidades en hosting compartido\" \/>\n<meta property=\"og:url\" content=\"https:\/\/niixer.com\/index.php\/2026\/04\/29\/pentesting-con-owasp-en-un-sitio-wordpress-hallazgos-reales-de-un-ejercicio-de-hacking-etico\/\" \/>\n<meta property=\"og:site_name\" content=\"Portal de noticias de tecnolog\u00eda, Realidad Virtual, Aumentada y Mixta, Videojuegos\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/niixer\/\" \/>\n<meta property=\"article:published_time\" content=\"2026-04-30T00:44:32+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-05-05T14:24:49+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Escaneo-de-seguridad.webp\" \/>\n\t<meta property=\"og:image:width\" content=\"1280\" \/>\n\t<meta property=\"og:image:height\" content=\"720\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/webp\" \/>\n<meta name=\"author\" content=\"bmirandah\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"bmirandah\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tiempo de lectura\" \/>\n\t<meta name=\"twitter:data2\" content=\"17 minutos\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Pentesting en WordPress con OWASP: gu\u00eda pr\u00e1ctica","description":"Pentesting en WordPress con OWASP: hallazgos reales de reconocimiento, DNS, certificados SSL y vulnerabilidades en hosting compartido","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/niixer.com\/index.php\/2026\/04\/29\/pentesting-con-owasp-en-un-sitio-wordpress-hallazgos-reales-de-un-ejercicio-de-hacking-etico\/","og_locale":"es_ES","og_type":"article","og_title":"Pentesting en WordPress con OWASP: gu\u00eda pr\u00e1ctica","og_description":"Pentesting en WordPress con OWASP: hallazgos reales de reconocimiento, DNS, certificados SSL y vulnerabilidades en hosting compartido","og_url":"https:\/\/niixer.com\/index.php\/2026\/04\/29\/pentesting-con-owasp-en-un-sitio-wordpress-hallazgos-reales-de-un-ejercicio-de-hacking-etico\/","og_site_name":"Portal de noticias de tecnolog\u00eda, Realidad Virtual, Aumentada y Mixta, Videojuegos","article_publisher":"https:\/\/www.facebook.com\/niixer\/","article_published_time":"2026-04-30T00:44:32+00:00","article_modified_time":"2026-05-05T14:24:49+00:00","og_image":[{"width":1280,"height":720,"url":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Escaneo-de-seguridad.webp","type":"image\/webp"}],"author":"bmirandah","twitter_card":"summary_large_image","twitter_misc":{"Escrito por":"bmirandah","Tiempo de lectura":"17 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/niixer.com\/index.php\/2026\/04\/29\/pentesting-con-owasp-en-un-sitio-wordpress-hallazgos-reales-de-un-ejercicio-de-hacking-etico\/#article","isPartOf":{"@id":"https:\/\/niixer.com\/index.php\/2026\/04\/29\/pentesting-con-owasp-en-un-sitio-wordpress-hallazgos-reales-de-un-ejercicio-de-hacking-etico\/"},"author":{"name":"bmirandah","@id":"https:\/\/niixer.com\/#\/schema\/person\/d9e304743cd55f555269ae4e3d63d722"},"headline":"Pentesting con OWASP en un Sitio WordPress: Hallazgos Reales de un Ejercicio de Hacking \u00c9tico","datePublished":"2026-04-30T00:44:32+00:00","dateModified":"2026-05-05T14:24:49+00:00","mainEntityOfPage":{"@id":"https:\/\/niixer.com\/index.php\/2026\/04\/29\/pentesting-con-owasp-en-un-sitio-wordpress-hallazgos-reales-de-un-ejercicio-de-hacking-etico\/"},"wordCount":3067,"publisher":{"@id":"https:\/\/niixer.com\/#organization"},"image":{"@id":"https:\/\/niixer.com\/index.php\/2026\/04\/29\/pentesting-con-owasp-en-un-sitio-wordpress-hallazgos-reales-de-un-ejercicio-de-hacking-etico\/#primaryimage"},"thumbnailUrl":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Escaneo-de-seguridad.webp","keywords":["Hacking \u00c9tico","OWASP Top 10","Paginas web","tecnolog\u00eda","WordPress"],"articleSection":["Hacking \u00c9tico"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/niixer.com\/index.php\/2026\/04\/29\/pentesting-con-owasp-en-un-sitio-wordpress-hallazgos-reales-de-un-ejercicio-de-hacking-etico\/","url":"https:\/\/niixer.com\/index.php\/2026\/04\/29\/pentesting-con-owasp-en-un-sitio-wordpress-hallazgos-reales-de-un-ejercicio-de-hacking-etico\/","name":"Pentesting en WordPress con OWASP: gu\u00eda pr\u00e1ctica","isPartOf":{"@id":"https:\/\/niixer.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/niixer.com\/index.php\/2026\/04\/29\/pentesting-con-owasp-en-un-sitio-wordpress-hallazgos-reales-de-un-ejercicio-de-hacking-etico\/#primaryimage"},"image":{"@id":"https:\/\/niixer.com\/index.php\/2026\/04\/29\/pentesting-con-owasp-en-un-sitio-wordpress-hallazgos-reales-de-un-ejercicio-de-hacking-etico\/#primaryimage"},"thumbnailUrl":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Escaneo-de-seguridad.webp","datePublished":"2026-04-30T00:44:32+00:00","dateModified":"2026-05-05T14:24:49+00:00","description":"Pentesting en WordPress con OWASP: hallazgos reales de reconocimiento, DNS, certificados SSL y vulnerabilidades en hosting compartido","breadcrumb":{"@id":"https:\/\/niixer.com\/index.php\/2026\/04\/29\/pentesting-con-owasp-en-un-sitio-wordpress-hallazgos-reales-de-un-ejercicio-de-hacking-etico\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/niixer.com\/index.php\/2026\/04\/29\/pentesting-con-owasp-en-un-sitio-wordpress-hallazgos-reales-de-un-ejercicio-de-hacking-etico\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/niixer.com\/index.php\/2026\/04\/29\/pentesting-con-owasp-en-un-sitio-wordpress-hallazgos-reales-de-un-ejercicio-de-hacking-etico\/#primaryimage","url":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Escaneo-de-seguridad.webp","contentUrl":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Escaneo-de-seguridad.webp","width":1280,"height":720},{"@type":"BreadcrumbList","@id":"https:\/\/niixer.com\/index.php\/2026\/04\/29\/pentesting-con-owasp-en-un-sitio-wordpress-hallazgos-reales-de-un-ejercicio-de-hacking-etico\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Portada","item":"https:\/\/niixer.com\/"},{"@type":"ListItem","position":2,"name":"Pentesting con OWASP en un Sitio WordPress: Hallazgos Reales de un Ejercicio de Hacking \u00c9tico"}]},{"@type":"WebSite","@id":"https:\/\/niixer.com\/#website","url":"https:\/\/niixer.com\/","name":"Portal de noticias de tecnolog\u00eda, ciencia, Android, iOS, Realidad Virtual, Aumentada y Mixta, Videojuegos, computadores, todo lo mas reciente en tecnolog\u00eda","description":"Portal de noticias de tecnolog\u00eda","publisher":{"@id":"https:\/\/niixer.com\/#organization"},"alternateName":"Niixer","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/niixer.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Organization","@id":"https:\/\/niixer.com\/#organization","name":"Niixer","alternateName":"Niixer.com","url":"https:\/\/niixer.com\/","logo":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/niixer.com\/#\/schema\/logo\/image\/","url":"https:\/\/niixer.com\/wp-content\/uploads\/2022\/08\/logo-niixer-sin-fondo-1.png","contentUrl":"https:\/\/niixer.com\/wp-content\/uploads\/2022\/08\/logo-niixer-sin-fondo-1.png","width":140,"height":140,"caption":"Niixer"},"image":{"@id":"https:\/\/niixer.com\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/niixer\/","https:\/\/www.instagram.com\/niixer.tecnologia\/"]},{"@type":"Person","@id":"https:\/\/niixer.com\/#\/schema\/person\/d9e304743cd55f555269ae4e3d63d722","name":"bmirandah","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/secure.gravatar.com\/avatar\/ee84bdb06cef7604251e07bd361c9b62ea65e25e6dc061ca760ba2d97cb6e6ff?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/ee84bdb06cef7604251e07bd361c9b62ea65e25e6dc061ca760ba2d97cb6e6ff?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/ee84bdb06cef7604251e07bd361c9b62ea65e25e6dc061ca760ba2d97cb6e6ff?s=96&d=mm&r=g","caption":"bmirandah"},"url":"https:\/\/niixer.com\/index.php\/author\/bmirandah\/"}]}},"jetpack_featured_media_url":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Escaneo-de-seguridad.webp","_links":{"self":[{"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/posts\/85990","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/users\/2025"}],"replies":[{"embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/comments?post=85990"}],"version-history":[{"count":11,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/posts\/85990\/revisions"}],"predecessor-version":[{"id":86431,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/posts\/85990\/revisions\/86431"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/media\/85994"}],"wp:attachment":[{"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/media?parent=85990"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/categories?post=85990"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/tags?post=85990"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}