¿Cómo se piratean los sitios web?

Como propietario de un sitio web de WordPress, ya sabe que la seguridad juega un papel importante para mantener sus operaciones a salvo de piratas informáticos y ataques maliciosos. Pero, ¿cómo se piratean exactamente los sitios web? ¿Cuál es el proceso mediante el cual los piratas informáticos intentan, y con frecuencia logran, derribar sitios de WordPress con sus ataques?

A pesar de que la web ha crecido a pasos agigantados en las últimas décadas, no ha cambiado mucho la forma en que los malhechores piratean los sitios web. Y lo más importante que debe hacer para mantener su sitio y a los visitantes seguros es comprender completamente qué son estos fideicomisos inmutables para que pueda mantenerse un paso por delante de ellos.

En esta guía completa, le mostraremos exactamente cómo se piratean los sitios web, cuáles son las señales de que su sitio ha sido pirateado y mucho más. Vamos a ver.

La escala masiva de sitios web pirateados

Más de 1200 millones (con una B) de sitios web comprenden ahora la versión actual de la World Wide Web. Y si asume un tiempo promedio de carga de un sitio web de 3 segundos, le llevaría más de 160 años visitar todos los sitios existentes, sin tomarse un segundo para descansar.

Esa es una red increíblemente masiva que es completamente imposible para que cualquier entidad individual la vigile de manera segura. Aunque servicios como Navegación segura de Google intentan advertir a sus usuarios sobre sitios que podrían no ser seguros. Actualmente, entrega más de 3 millones de estas advertencias a los usuarios todos los días.

Y eso es aproximadamente el tamaño de las poblaciones de Los Ángeles y Nueva York juntas.

En pocas palabras, los sitios web siempre serán grandes objetivos para las personas con malas intenciones. Y el impacto general de cualquier piratería será devastador para su negocio.

Pero hay buenas noticias.

Si bien existe una gran amenaza que es dañina y persistente, nuestro conocimiento de nosotros, combinado con el uso de las herramientas adecuadas, contribuirá en gran medida a garantizar que nuestros sitios permanezcan a salvo de ataques.

¿Cómo se piratean los sitios web? Las 3 formas primarias

A lo largo de las últimas tres décadas de Internet, vemos que los hacks casi siempre caen en tres categorías diferentes:

1. Control de acceso
2. vulnerabilidades de software
3. Integraciones de terceros

La realidad es que no importa si está ejecutando un sitio para Fortune 500 o su zapatería local, la forma en que los piratas informáticos abordan su oficio se verá casi idéntica.

Pero lo que sí varía es cómo cada negocio individualmente se deja explotar en primer lugar.

• Las grandes organizaciones a menudo usan la excusa de decir: "Pensamos que alguien más estaba manejando la seguridad". Este tipo de confusión y falta de comunicación es común en organizaciones grandes y complejas.
• Las pequeñas empresas a menudo creen que son demasiado pequeñas para que los piratas informáticos quieran atacarlas. A menudo tienen la falsa suposición de que los piratas informáticos no los tocarán. Esto hace que sea fácil perder de vista la cantidad de información privada que realmente se puede obtener incluso del sitio web más pequeño.

En ambos casos, los piratas informáticos tienen los incentivos y las herramientas para llevar a cabo sus objetivos en áreas donde no hay mucha vigilancia sobre la seguridad.

Los entornos de sitios web tienen mucha actividad

Antes de profundizar en las especificaciones de cada tipo de pirateo, primero establezcamos una base increíblemente importante sobre cómo funciona realmente la web.

Cada sitio web se basa en una serie de sistemas que están interconectados y funcionan juntos. Hay componentes como DNS (servidores de nombres de dominio), el servidor web y la infraestructura que alberga sus diversos servidores y los conecta a Internet.

Incluso si eso suena relativamente simple, el ecosistema subyacente es bastante complejo.

Muchos de los componentes individuales son proporcionados por proveedores de servicios especializados. Incluso si está recibiendo una serie de servicios diferentes de un solo proveedor de servicios, todavía hay innumerables partes únicas de la ecuación que funcionan por sí solas.

Piense en su sitio web como un vehículo de consumo moderno. Por fuera, parece sólido y aerodinámico, pero por debajo tiene innumerables piezas móviles que hacen que todo funcione.

A los efectos de esta guía, no es importante que comprenda todos los detalles sobre cómo funciona su sitio. Pero es importante saber que cada uno de estos componentes individuales afectará la seguridad general de su sitio de WordPress.

Y cada uno tiene el potencial de contribuir a cómo su sitio es pirateado.

1. Control de acceso

Esto habla específicamente del proceso de autorización y autenticación. En pocas palabras, el control de acceso es la forma en que inicia sesión en su sitio web de WordPress.

Y esto va más allá de la forma en que inicia sesión en el panel de administración de su sitio web. Como ya hemos establecido, hay muchos inicios de sesión interconectados diferentes que funcionan juntos detrás de escena de su sitio.

Al pensar en el control de acceso, hay seis áreas específicas que debe considerar.

Cómo:

• ¿Iniciar sesión en su panel de host?
• ¿Iniciar sesión en el servidor (SSH, SFTP, FTP)?
• ¿Iniciar sesión en su sitio web?
• ¿Iniciar sesión en su computadora personal?
• ¿Iniciar sesión en las plataformas de redes sociales?
• ¿Almacenar sus credenciales de nombre de usuario y contraseña para cada una de estas variables?

Es demasiado fácil pasar por alto el control de acceso. Sin embargo, cada punto de acceso individual puede ofrecer a los piratas informáticos acceso a todo su ecosistema.

Un pirata informático también utilizará una serie de tácticas diferentes para obtener acceso a un único punto de inicio de sesión inseguro. Piense en ello como un ladrón de casas revisando cada entrada potencial, luego robando (o engañándolo) copias de los códigos de acceso o llaves de su casa.

• Los ataques de fuerza bruta son los más fáciles de llevar a cabo y pueden ser la forma más efectiva de ingresar. Con un ataque de fuerza bruta, el pirata informático intenta adivinar las posibles combinaciones de nombre de usuario y contraseña en un esfuerzo por iniciar sesión como un usuario confiable del sitio.
• Los ataques de ingeniería social están ganando popularidad. Un pirata informático crea páginas de phishing que están diseñadas para engañar a un usuario para que ingrese voluntariamente su combinación de ID y contraseña.
• Los ataques Cross-Site Scripting (XSS) y Cross-Site Request Forgery (CSRF) implican interceptar las credenciales de inicio de sesión de un usuario a través del navegador del usuario.
• También se utilizan ataques Man in the Middle (MITM) . Con esto, el nombre de usuario y la contraseña de un usuario se interceptan fácilmente cuando un usuario trabaja en redes que no son completamente seguras.
• Los keyloggers y el malware adicional que monitorea a los usuarios rastrearán las entradas y luego las informarán al hacker que infectó al usuario.

Pero no importa qué tipo de ataque se perpetre, el objetivo del pirata informático es siempre el mismo: obtener acceso directo a su sitio a través de inicios de sesión creíbles.

Independientemente del estilo de ataque, el objetivo es el mismo: obtener acceso directo a través de inicios de sesión.

El complemento iThemes Security agrega más protección para la seguridad de su usuario. La seguridad de su sitio depende de que sus usuarios tengan inicios de sesión seguros con contraseñas seguras. Es por eso que iThemes Security ofrece múltiples capas de seguridad para los usuarios, incluida la autenticación de dos factores, dispositivos confiables con protección contra el secuestro de sesiones, inicios de sesión sin contraseña para verificar la identidad de los usuarios y protección con contraseña violada. Incluso puede ejecutar verificaciones de seguridad del usuario para auditar y modificar rápidamente los elementos más críticos de la seguridad de su usuario.

La siguiente capa de seguridad que agrega iThemes Security es la protección de la parte más atacada de su sitio web, la pantalla de inicio de sesión de WordPress. iThemes Security ofrece dos tipos de protección de fuerza bruta para detectar intentos de inicio de sesión no válidos en su sitio web. Una vez que un usuario o bot haya realizado demasiados intentos consecutivos de inicio de sesión no válidos, se bloqueará y no podrá realizar más intentos durante un período de tiempo determinado.

2. Vulnerabilidades del software

En realidad, la gran mayoría de los propietarios de sitios web de WordPress no pueden abordar las vulnerabilidades de seguridad en el software actual sin un parche recomendado por el desarrollador del software. El problema es que muchos desarrolladores no tienen en cuenta las amenazas que el código que escriben introduce en su sitio.

Un pequeño error que no afecta notablemente la UX (experiencia del usuario) prevista puede explotarse para hacer que el software haga cosas para las que no estaba destinado. Y los piratas informáticos más experimentados ven esos errores como posibles vulnerabilidades.

Una de las formas más comunes en que hacen esto es mediante el uso de un encabezado POST con formato incorrecto o un localizador uniforme de recursos (URL) con formato incorrecto para iniciar una serie de ataques diferentes.

Éstos incluyen:

• Ejecución remota de código (RCE) que permite la toma remota total del sitio y el sistema de destino
• Inclusión de archivos remotos/locales (R/LFI) que utiliza la entrada proporcionada por el usuario en los campos para cargar archivos maliciosos en un sistema
• Inyección SQL (SQLi) que manipula campos de entrada de texto con código malicioso que envía secuencias de ataque al servidor

De manera similar al control de activos, las vulnerabilidades en el software se extienden más allá del alcance del sitio web. Estas vulnerabilidades se pueden encontrar y explotar dentro de cada tecnología interconectada en la que se basa un sitio web.

Y la mayoría de los sitios actuales usan una combinación de extensiones de terceros, como complementos y temas de WordPress, que son puntos potenciales de intrusión de piratería.

Debido a que los complementos vulnerables, los temas y las versiones principales de WordPress son el mayor riesgo de seguridad de su sitio web, iThemes Security se pone a trabajar escaneando su sitio web. Con iThemes Security Site Scan, sabrá cada vez que un complemento, tema o versión principal de WordPress en su sitio es vulnerable y necesita actualizarse. Y aún mejor... ejecutará automáticamente las actualizaciones por ti. Site Scan funciona con la base de datos de vulnerabilidades más completa disponible, por lo que siempre tendrá la protección más reciente. Site Scan también se integra con Google Safe Browsing para verificar el estado de la lista de bloqueo de su sitio y en busca de malware conocido o archivos sospechosos.

Así es como funciona Site Scan de iThemes Security para proteger su sitio:

• Escanea su sitio web dos veces al día en busca de vulnerabilidades : los complementos, temas y versiones principales de WordPress de su sitio web se comparan con la base de datos de vulnerabilidades de WPScan para obtener las últimas divulgaciones de vulnerabilidades.
• Se actualiza automáticamente si hay una solución de seguridad disponible: junto con la administración de versiones, iThemes Security actualizará automáticamente un complemento, tema o versión principal de WordPress si tiene una vulnerabilidad.
• Le envía un correo electrónico si Site Scan detecta una vulnerabilidad : puede recibir un informe por correo electrónico si su sitio está ejecutando versiones vulnerables de un complemento, tema o núcleo de WordPress. Personalice las direcciones de correo electrónico que reciben los resultados del análisis.

3. Integraciones y servicios de terceros

Por último, están los exploits que ocurren a través de servicios e integraciones de terceros.

La mayoría de las veces, estos tomarán la forma de anuncios a través de una red publicitaria que conduce a ataques de publicidad maliciosa.

Estos hacks involucrarán servicios que usa con su sitio y alojamiento, incluidas variables como su CDN (red de distribución de contenido).

Las integraciones y los servicios de terceros brindan suficiente interconexión entre las diferentes partes de su experiencia de administración del sitio. De hecho, eso es algo que a la gente le encanta de las opciones del sistema de administración de contenido extensible, como WordPress, Drupal y Joomla.

Pero la interconexión también proporciona puntos para que los piratas informáticos exploten.

Uno de los mayores problemas es cómo los piratas informáticos explotan estos servicios e integraciones de maneras que están más allá de la capacidad del propietario del sitio web para controlarlos. Como creador o administrador de un sitio, ha depositado mucha confianza en los proveedores externos cuando elige utilizar una de sus integraciones.

Y, por supuesto, muchos son diligentes en asegurar sus integraciones.

Pero como con otras cosas, existe un riesgo inherente. Y es uno en el que los hackers siempre tienen sus ojos puestos.

Una de las formas en que iThemes Security funciona para proteger el acceso de terceros es con contraseñas de aplicaciones seguras para XML-RPC y REST API. Esta actualización permite usar la autenticación de nombre de usuario/contraseña para las solicitudes de API REST para que pueda bloquear la API REST (según nuestra recomendación) y al mismo tiempo permitir que se conecten herramientas externas que usan la API REST.

Protegiendo su sitio web de ser pirateado

La seguridad del sitio web de WordPress es importante. Una gran parte de la seguridad del sitio web de WordPress es la educación y la conciencia. Y el simple hecho de leer esta guía lo colocó en una mejor posición para proteger su sitio.

En el futuro, hay pasos específicos que debe seguir. Y nuestro objetivo es ayudarlo a lograrlos. Desafortunadamente, solo después de que algo salió mal, muchos propietarios de sitios web finalmente se toman en serio la seguridad.

En cambio, ¿por qué no adelantarse al dolor y seguir estos pasos para evitarlo?

1. Utilizar los principios de la Defensa en Profundidad. Esto implica construir capas de seguridad como una cebolla. Cada práctica hace que sea más difícil para los piratas informáticos obtener una oportunidad en su ecosistema.
2. Aproveche las mejores prácticas para los menos privilegiados. Asegúrese de limitar lo que el inicio de sesión de cada usuario del sitio les permite hacer.
3. Cree autenticación de dos factores y autenticación de múltiples factores siempre que pueda. Esto asegurará aún más esos puntos de acceso de usuario en particular.
4. Utilice un cortafuegos para sitios web. Esto hará maravillas al limitar la forma en que los piratas informáticos intentan explotar las vulnerabilidades en el software.
5. Programe copias de seguridad periódicamente. Descargue e instale el complemento de respaldo de BackupBuddy WordPress como su solución para esto. De esa manera, si alguna vez piratean su sitio, podrá recuperarlo con unos pocos clics.
6. Obtenga la perspectiva de los principales motores de búsqueda. Bing Webmaster Tools y Google Search Console brindan informes útiles sobre cómo ven la seguridad de su sitio.

La mejor manera de cubrir estas bases de seguridad como propietario de un sitio de WordPress es utilizando el complemento iThemes Security Pro.

Entonces comprenda que no existe una forma infalible de permanecer 100 % seguro en todo momento. Las herramientas que emplea dentro del entorno de su sitio web reducirán significativamente su riesgo general. Pero la seguridad no es una sola acción o evento. Es una serie de acciones.

Y todo comienza con una gran herramienta como iThemes Security Pro que lo guiará a través de cómo proteger mejor su sitio.

Ahora que sabe qué hacer y qué está buscando, sin duda se encontrará con uno de los escenarios de seguridad que hemos cubierto en esta guía. Pero ahora, sabrá mejor qué hacer para remediar el problema.

El mejor complemento de seguridad de WordPress para asegurar y proteger WordPress

Actualmente, WordPress funciona en más del 40% de todos los sitios web, por lo que se ha convertido en un objetivo fácil para los piratas informáticos con intenciones maliciosas. El complemento iThemes Security Pro elimina las conjeturas de la seguridad de WordPress para que sea más fácil asegurar y proteger su sitio web de WordPress. Es como tener un experto en seguridad a tiempo completo en el personal que supervisa y protege constantemente su sitio de WordPress por usted.

Obtenga iThemes Security Pro

kristen wright

Kristen ha estado escribiendo tutoriales para ayudar a los usuarios de WordPress desde 2011. Como directora de marketing aquí en iThemes, se dedica a ayudarlo a encontrar las mejores formas de crear, administrar y mantener sitios web de WordPress efectivos. Kristen también disfruta escribir un diario (¡vea su proyecto paralelo, The Transformation Year !), hacer caminatas y acampar, hacer ejercicios aeróbicos, cocinar y aventuras diarias con su familia, con la esperanza de vivir una vida más presente.