![\"\"](\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/1-2-1024x576.webp\")
<\/figure>\n\n\n\n\u00bfQu\u00e9 es el Hacking \u00c9tico o Pentesting?<\/h2>\n\n\n\n
El hacking \u00e9tico es la pr\u00e1ctica de atacar intencionalmente un sistema inform\u00e1tico con permiso expl\u00edcito de su propietario, con el objetivo de encontrar fallas de seguridad antes de que lo haga alguien con intenciones maliciosas. A diferencia del hacking criminal, aqu\u00ed el profesional act\u00faa dentro de un marco legal y documentado, siguiendo reglas de compromiso que delimitan qu\u00e9 puede hacer, hasta d\u00f3nde puede llegar y c\u00f3mo debe reportar sus hallazgos.<\/p>\n\n\n\n
El t\u00e9rmino pentesting <\/a>(del ingl\u00e9s penetration testing<\/em> o prueba de penetraci\u00f3n) hace referencia al proceso t\u00e9cnico a trav\u00e9s del cual el hacker \u00e9tico simula los mismos ataques que ejecutar\u00eda un ciberdelincuente real. Este proceso incluye fases de reconocimiento, an\u00e1lisis de vulnerabilidades, explotaci\u00f3n controlada y generaci\u00f3n de un informe con recomendaciones. El resultado no es un sistema roto, sino un mapa detallado de sus debilidades con propuestas concretas para corregirlas.<\/p>\n\n\n\n En el contexto del comercio electr\u00f3nico, el pentesting cobra especial relevancia porque las tiendas en l\u00ednea manejan datos sensibles de clientes: nombres, direcciones, m\u00e9todos de pago y credenciales de acceso. Un solo fallo no detectado puede derivar en filtraciones masivas de datos, p\u00e9rdidas econ\u00f3micas o da\u00f1os irreparables a la reputaci\u00f3n de la marca.<\/p>\n\n\n\n El OWASP Top 10 <\/a>es una lista de las diez vulnerabilidades m\u00e1s cr\u00edticas y frecuentes en aplicaciones web, publicada y mantenida por el Open Web Application Security Project<\/em> (OWASP), una organizaci\u00f3n sin fines de lucro reconocida a nivel mundial en el \u00e1mbito de la ciberseguridad. Esta lista no es simplemente un ranking acad\u00e9mico: es el est\u00e1ndar de facto que utilizan equipos de seguridad, auditores, desarrolladores y empresas de todo el mundo para evaluar y fortalecer sus sistemas.<\/p>\n\n\n\n Cada categor\u00eda del OWASP Top 10 representa un tipo de falla que puede ser explotada por atacantes. Entre las m\u00e1s conocidas se encuentran el control de acceso roto, las inyecciones de c\u00f3digo SQL, los fallos criptogr\u00e1ficos y el Cross-Site Scripting (XSS). Su actualizaci\u00f3n peri\u00f3dica refleja la evoluci\u00f3n del panorama de amenazas, incorporando riesgos emergentes como los fallos en la integridad de software y datos, el monitoreo insuficiente y el Server-Side Request Forgery (SSRF).<\/p>\n\n\n\n Aplicar el OWASP Top 10 como gu\u00eda de un pentesting garantiza que la revisi\u00f3n sea sistem\u00e1tica, ordenada y alineada con los est\u00e1ndares internacionales. No se trata de atacar a ciegas, sino de recorrer met\u00f3dicamente cada categor\u00eda de riesgo, documentar evidencias y determinar si el sistema analizado est\u00e1 expuesto, en qu\u00e9 medida y qu\u00e9 acciones concretas se deben tomar para mitigar cada hallazgo.<\/p>\n\n\n\n WooCommerce es hoy el plugin de comercio electr\u00f3nico m\u00e1s utilizado del mundo, con millones de instalaciones activas sobre WordPress. Esta popularidad lo convierte en uno de los blancos preferidos de los atacantes, quienes conocen a fondo su arquitectura, sus directorios est\u00e1ndar y sus puntos d\u00e9biles habituales. Cualquier sitio que procese datos de clientes, gestione pedidos y maneje pasarelas de pago es, por definici\u00f3n, un objetivo de alto valor.<\/p>\n\n\n\n Una tienda mal configurada puede exponer informaci\u00f3n de facturaci\u00f3n, permitir el acceso no autorizado al panel de administraci\u00f3n o facilitar la inyecci\u00f3n de c\u00f3digo malicioso a trav\u00e9s de formularios de compra. Por eso, antes de poner una tienda en producci\u00f3n, es fundamental someterla a un proceso de hacking \u00e9tico estructurado.<\/p>\n\n\n\n El entorno evaluado corresponde a una tienda de moda urbana llamada Boulk Shop Urban, construida sobre WordPress con el plugin WooCommerce. El primer paso del ejercicio fue documentar la configuraci\u00f3n funcional completa del sitio, lo que permiti\u00f3 comprender su arquitectura antes de proceder con el an\u00e1lisis t\u00e9cnico.<\/p>\n\n\n\n Durante esta etapa se configuraron los m\u00e9todos de pago disponibles: transferencia bancaria directa (con cuentas Bancolombia y Nequi), pago contra entrega y m\u00faltiples pasarelas electr\u00f3nicas como WooPayments, PayPal, Stripe, Mercado Pago y Klarna. Tambi\u00e9n se definieron zonas de env\u00edo para Colombia con tarifa plana, reglas tributarias basadas en IVA y el inventario de productos con control de stock por unidad.<\/p>\n\n\n\n Una vez completada la configuraci\u00f3n, se valid\u00f3 el flujo completo de compra desde la perspectiva del cliente: carga del producto al carrito, diligenciamiento del formulario de facturaci\u00f3n, selecci\u00f3n del m\u00e9todo de pago, confirmaci\u00f3n del pedido y verificaci\u00f3n administrativa desde el backend. Este paso fue clave para comprender qu\u00e9 datos maneja el sistema y cu\u00e1les podr\u00edan estar expuestos ante un ataque.<\/p>\n\n\n\n Antes de lanzar cualquier an\u00e1lisis de vulnerabilidades, un pentester ejecuta una fase de reconocimiento. Esta etapa permite mapear el entorno objetivo sin interactuar agresivamente con \u00e9l. En este ejercicio se emplearon cuatro herramientas cl\u00e1sicas de diagn\u00f3stico de red.<\/p>\n\n\n\n Una parte esencial del hacking \u00e9tico es saber qu\u00e9 puertas tiene abiertas el servidor. Para ello se utilizaron Test-NetConnection<\/strong> y nmap<\/strong>, evaluando los puertos 80 (HTTP), 443 (HTTPS), 21 (FTP), 22 (SSH) y 25 (SMTP).<\/p>\n\n\n\n Las pruebas confirmaron conectividad TCP exitosa en los puertos 80 y 443, lo que significa que el servicio web est\u00e1 activo y responde tanto por HTTP como por HTTPS. Esta informaci\u00f3n, en manos de un atacante, ser\u00eda el punto de partida para lanzar ataques m\u00e1s sofisticados como la enumeraci\u00f3n de rutas, la b\u00fasqueda de archivos sensibles expuestos o la explotaci\u00f3n de formularios.<\/p>\n\n\n\n La identificaci\u00f3n de servicios expuestos no implica necesariamente que exista una vulnerabilidad explotable, pero s\u00ed define la superficie de ataque que debe analizarse en profundidad durante las fases siguientes.<\/p>\n\n\n\n La revisi\u00f3n de registros DNS arroj\u00f3 informaci\u00f3n estructural valiosa sobre el dominio. Los registros MX<\/strong> (correo), NS<\/strong> (servidores de nombres) y TXT<\/strong> (verificaci\u00f3n y configuraciones de seguridad como SPF o DKIM) fueron consultados para comprender qu\u00e9 servicios est\u00e1n asociados al dominio m\u00e1s all\u00e1 del sitio web principal.<\/p>\n\n\n\n El an\u00e1lisis WHOIS<\/strong> permiti\u00f3 identificar informaci\u00f3n de registro del dominio, incluyendo datos del titular, fechas de creaci\u00f3n y vencimiento, y los servidores de nombres asociados. Esta informaci\u00f3n es \u00fatil para correlacionar la identidad del sitio con posibles vectores de ataque de ingenier\u00eda social o phishing.<\/p>\n\n\n\n La revisi\u00f3n del certificado SSL\/TLS<\/strong> revel\u00f3 que el sitio cuenta con un certificado v\u00e1lido emitido por ZeroSSL ECC Domain Secure Site CA<\/strong>, con vigencia activa. Adem\u00e1s, se identificaron subdominios asociados al dominio principal mediante t\u00e9cnicas de enumeraci\u00f3n controlada. La presencia de HTTPS activo es una buena pr\u00e1ctica, pero no garantiza por s\u00ed sola la seguridad integral del sitio.<\/p>\n\n\n\n El OWASP Top 10<\/strong> es el marco de referencia m\u00e1s reconocido a nivel mundial para la evaluaci\u00f3n de seguridad en aplicaciones web. Publicado por el Open Web Application Security Project, clasifica las diez categor\u00edas de vulnerabilidades m\u00e1s cr\u00edticas que afectan a los sistemas en producci\u00f3n. Aplicarlo sobre WooCommerce permite realizar una auditor\u00eda sistem\u00e1tica, reproducible y alineada con est\u00e1ndares internacionales.<\/p>\n\n\n\n El enfoque utilizado en este ejercicio fue principalmente de observaci\u00f3n, enumeraci\u00f3n controlada y revisi\u00f3n est\u00e1tica de c\u00f3digo PHP<\/strong>, sin explotar activamente ninguna vulnerabilidad ni alterar el entorno. Cada categor\u00eda fue documentada con evidencias t\u00e9cnicas obtenidas del an\u00e1lisis. La primera categor\u00eda evaluada, A01 \u2013 Broken Access Control<\/strong>, analiz\u00f3 el comportamiento de las rutas administrativas del sitio. Las rutas La categor\u00eda A02 \u2013 Cryptographic Failures<\/strong> evalu\u00f3 el comportamiento del sitio frente a solicitudes HTTP sin cifrado. El servidor respondi\u00f3 con La revisi\u00f3n de A03 \u2013 Injection<\/strong> se enfoc\u00f3 en el an\u00e1lisis est\u00e1tico del c\u00f3digo PHP presente en los archivos de WordPress y sus plugins. Se buscaron patrones de c\u00f3digo relacionados con consultas SQL directas ( El an\u00e1lisis de A07 \u2013 Cross-Site Scripting (XSS)<\/strong> identific\u00f3 instrucciones como La clave en ambas categor\u00edas no es que el c\u00f3digo sea perfecto, sino que los controles de seguridad existan y est\u00e9n correctamente implementados en todos los puntos de entrada y salida del sistema.<\/p>\n\n\n\n La categor\u00eda A04 \u2013 Insecure Design<\/strong> busc\u00f3 la presencia de funciones de control de acceso como En A05 \u2013 Security Misconfiguration<\/strong>, se revisaron los encabezados HTTP devueltos por el servidor. La respuesta revel\u00f3 el servidor identificado como OpenResty<\/strong> y expuso informaci\u00f3n t\u00e9cnica como tipo de contenido, longitud de la respuesta y control de cach\u00e9. Adicionalmente, la ruta Para A06 \u2013 Vulnerable and Outdated Components<\/strong>, se listaron los plugins instalados en el directorio La evaluaci\u00f3n de A08 \u2013 Software and Data Integrity Failures<\/strong> incluy\u00f3 la generaci\u00f3n de hashes SHA256 para los archivos del entorno WordPress, creando una referencia de integridad que permite detectar modificaciones no autorizadas en comparaciones futuras. Tambi\u00e9n se identificaron funciones sensibles como En A09 \u2013 Logging and Monitoring Failures<\/strong>, la revisi\u00f3n localiz\u00f3 referencias a las constantes Finalmente, la revisi\u00f3n de A10 \u2013 Server-Side Request Forgery (SSRF)<\/strong> identific\u00f3 funciones como Este ejercicio de hacking \u00e9tico demostr\u00f3 que una tienda aparentemente funcional y bien configurada desde el punto de vista comercial puede presentar m\u00faltiples superficies de riesgo desde una perspectiva de seguridad. Los hallazgos no implican que el sitio sea inseguro de forma inmediata, sino que existen \u00e1reas cr\u00edticas que requieren atenci\u00f3n continua.<\/p>\n\n\n\n Los puntos m\u00e1s relevantes identificados durante el an\u00e1lisis fueron:<\/p>\n\n\n\n El hacking \u00e9tico no es un lujo reservado para grandes empresas. Es una pr\u00e1ctica esencial para cualquier negocio que opere en l\u00ednea, independientemente de su tama\u00f1o. Aplicar la metodolog\u00eda OWASP Top 10 de forma peri\u00f3dica permite identificar vulnerabilidades antes de que sean explotadas, proteger la informaci\u00f3n de los clientes y mantener la confianza en el comercio electr\u00f3nico.<\/p>\n\n\n\n La seguridad web no es un estado final: es un proceso continuo de revisi\u00f3n, actualizaci\u00f3n y mejora. En un ecosistema digital donde las amenazas evolucionan constantemente, el conocimiento t\u00e9cnico y el enfoque \u00e9tico son las mejores herramientas disponibles.<\/p>\n\n\n\n![\"\"](\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Gemini_Generated_Image_cq14sucq14sucq14-1024x559.webp\")
<\/figure>\n\n\n\n\u00bfQu\u00e9 es el OWASP Top 10?<\/h2>\n\n\n\n
![\"\"](\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Gemini_Generated_Image_512x7k512x7k512x-1024x559.webp\")
<\/figure>\n\n\n\n\u00bfPor Qu\u00e9 WooCommerce es un Objetivo Prioritario?<\/h2>\n\n\n\n
![\"\"](\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/Gemini_Generated_Image_q65in0q65in0q65i-1024x559.webp\")
<\/figure>\n\n\n\nLa Tienda bajo An\u00e1lisis: Configuraci\u00f3n del Entorno WooCommerce<\/h3>\n\n\n\n
![\"\"](\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/2-1-1024x576.webp\")
<\/figure>\n\n\n\nReconocimiento Controlado: Los Primeros Pasos del Hacker \u00c9tico<\/h2>\n\n\n\n
\n
![\"\"](\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/3-2-1024x576.webp\")
<\/figure>\n\n\n\n\n
![\"\"](\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/4-1-1024x576.webp\")
<\/figure>\n\n\n\n\n
185.27.134.115<\/code>. La coincidencia entre ambos comandos \u2014uno tradicional y otro propio de PowerShell\u2014 a\u00f1ade mayor confiabilidad a los datos de resoluci\u00f3n DNS obtenidos.<\/li>\n<\/ul>\n\n\n\n![\"\"](\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/5-1-1024x576.webp\")
<\/figure>\n\n\n\nValidaci\u00f3n de Puertos: \u00bfQu\u00e9 Servicios Est\u00e1n Expuestos?<\/h3>\n\n\n\n
![\"\"](\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/6-1024x576.webp\")
<\/figure>\n\n\n\nAn\u00e1lisis DNS, WHOIS y Certificados SSL\/TLS<\/a><\/h2>\n\n\n\n
![\"\"](\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/7-1024x576.webp\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/8-1024x576.webp\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/9-1024x576.webp\")
<\/figure>\n\n\n\n
La Metodolog\u00eda OWASP Top 10: El Est\u00e1ndar del Hacking \u00c9tico<\/h2>\n\n\n\n
<\/p>\n\n\n\nA01 y A02: Control de Acceso y Cifrado<\/strong><\/h3>\n\n\n\n
\/wp-admin<\/code> y \/wp-login.php<\/code> devolvieron una respuesta HTTP 200 OK, lo que indica que el servidor responde a solicitudes hacia estos recursos. Esto no implica acceso sin autenticaci\u00f3n, pero s\u00ed evidencia que las rutas administrativas son accesibles p\u00fablicamente y no est\u00e1n protegidas por restricci\u00f3n de IP ni por doble factor de autenticaci\u00f3n.<\/p>\n\n\n\n![\"\"](\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/10-1024x576.webp\")
<\/figure>\n\n\n\nEmpty reply from server<\/code> ante una solicitud directa al puerto 80 mediante curl<\/code>, lo que sugiere que el entorno no sirve contenido por HTTP convencional. Sin embargo, la p\u00e1gina de inicio de sesi\u00f3n respondi\u00f3 correctamente mediante HTTPS, confirmando que la comunicaci\u00f3n se realiza de forma cifrada.<\/p>\n\n\n\n![\"\"](\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/11-1024x576.webp\")
<\/figure>\n\n\n\n
A03 y A07: Inyecci\u00f3n SQL<\/a> y Cross-Site Scripting<\/strong><\/h3>\n\n\n\nwpdb->query<\/code>), uso de variables de entrada sin sanitizar ($_GET<\/code>, $_POST<\/code>, $_REQUEST<\/code>), formularios y endpoints REST. Los resultados mostraron m\u00faltiples coincidencias distribuidas en distintos plugins, lo que evidencia puntos de entrada que deben ser revisados y sanitizados adecuadamente.<\/p>\n\n\n\n![\"\"](\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/12-1024x576.webp\")
<\/figure>\n\n\n\necho<\/code>, print<\/code> y salidas dentro de atributos HTML en m\u00faltiples archivos. Tambi\u00e9n se verific\u00f3 la presencia de funciones de escape como esc_html<\/code>, esc_attr<\/code>, esc_url<\/code>, wp_kses<\/code> y wp_kses_post<\/code>, lo que indica que el c\u00f3digo implementa buenas pr\u00e1cticas de sanitizaci\u00f3n de salida en varios puntos del sistema.<\/p>\n\n\n\n![\"\"](\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/13-1024x576.webp\")
<\/figure>\n\n\n\nA04, A05 y A06: Dise\u00f1o Inseguro, Configuraci\u00f3n y Componentes Obsoletos<\/strong><\/h3>\n\n\n\n
current_user_can<\/code>, permission_callback<\/code>, wp_verify_nonce<\/code> y check_admin_referer<\/code>. La revisi\u00f3n mostr\u00f3 que estos mecanismos est\u00e1n implementados en distintos archivos, lo que sugiere que el dise\u00f1o del sistema contempla controles de autorizaci\u00f3n en sus funcionalidades cr\u00edticas.<\/p>\n\n\n\n\/wp-json<\/code> devolvi\u00f3 una respuesta 200 OK<\/code>, confirmando que la API REST de WordPress est\u00e1 accesible p\u00fablicamente<\/strong>, lo que puede representar un vector de ataque si no est\u00e1 correctamente configurada.<\/p>\n\n\n\n![\"\"](\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/14-1024x576.webp\")
<\/figure>\n\n\n\nwp-content\/plugins<\/code>. Los resultados incluyeron complementos como Akismet<\/strong>, Everest Forms<\/strong>, SiteOrigin Panels<\/strong> y so-widgets-bundle<\/strong>. Cada uno de estos componentes debe mantenerse actualizado, ya que las versiones obsoletas son un vector de entrada conocido para los atacantes.<\/p>\n\n\n\n![\"\"](\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/15-1024x576.webp\")
<\/figure>\n\n\n\n
A08, A09 y A10: Integridad, Monitoreo y SSRF<\/strong><\/h3>\n\n\n\neval<\/code>, base64_decode<\/code>, unserialize<\/code> y gzinflate<\/code> en distintos archivos, elementos que deben revisarse para descartar c\u00f3digo malicioso inyectado.<\/p>\n\n\n\n![\"\"](\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/16-1024x576.webp\")
<\/figure>\n\n\n\nWP_DEBUG_LOG<\/code> y WP_DEBUG_DISPLAY<\/code> en plugins como Akismet y Everest Forms. Una configuraci\u00f3n de depuraci\u00f3n activa en producci\u00f3n puede exponer informaci\u00f3n t\u00e9cnica sensible del sistema a usuarios no autorizados, facilitando el trabajo del atacante.<\/p>\n\n\n\n![\"\"](\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/171-1024x147.jpg\")
<\/figure>\n\n\n\nwp_remote_get<\/code>, wp_remote_post<\/code>, curl_init<\/code>, file_get_contents<\/code> y referencias a localhost<\/code> o 127.0.0.1<\/code> en m\u00faltiples plugins. Estas funciones establecen conexiones hacia recursos externos o internos y deben estar protegidas para evitar que un atacante las manipule y acceda a servicios internos del servidor.<\/p>\n\n\n\n![\"\"](\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/18-1024x576.webp\")
<\/figure>\n\n\n\n
Conclusiones: Lo que Toda Tienda WooCommerce<\/a> Debe Saber<\/h2>\n\n\n\n\n
![\"\"](\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/19-1024x576.webp\")
<\/figure>\n\n\n\nFlipBook<\/strong><\/h2>\n\n\n\nTALLER WOOCOMMERCE OWASP PENTESTING <\/a>