¿Qué factores de seguridad debe considerar al elegir su proveedor de alojamiento de WodPress?

Publicado: 2021-12-03

Debido a la creciente popularidad de WordPress en todos los ámbitos, cada vez hay más incidentes de seguridad que afectan a diferentes empresas de alojamiento de sitios web de WordPress.

GoDaddy es el ejemplo más reciente, ya que recientemente tuvieron una brecha de seguridad en su entorno de alojamiento de WordPress. La semana pasada, anunció que hubo acceso no autorizado de terceros a su entorno de alojamiento de WordPress administrado, lo que afectó los datos de hasta 1,2 millones de clientes activos e inactivos .

Brecha de seguridad de WordPress en GoDaddy

El director de seguridad de la información (CISO), Demetrius Comes, anunció el 22 de noviembre, en una presentación ante la Comisión de Bolsa y Valores (SEC), que el 17 de noviembre habían descubierto un acceso no autorizado a los servidores de WordPress administrados de GoDaddy. Determinaron que el incidente había comenzado el 6 de septiembre de 2021 y había expuesto los datos de 1,2 millones de clientes activos e inactivos de Managed WordPress. Habían identificado actividad sospechosa en el entorno de alojamiento administrado de WordPress e inmediatamente iniciaron una investigación con la ayuda de una firma forense de TI y se comunicaron con las autoridades legales. Una contraseña comprometida otorgó a los atacantes acceso a sus sistemas.

El anuncio indicó que:

  • La dirección de correo electrónico y el número de cliente de hasta 1,2 millones de clientes activos e inactivos de Managed WordPress quedaron expuestos. La exposición de direcciones de correo electrónico presenta riesgo de ataques de phishing.
  • Se expuso la contraseña de administrador de WordPress original que se estableció en el momento del aprovisionamiento. Si esas credenciales todavía estaban en uso, restablecen esas contraseñas.
  • Para los clientes activos, se expusieron los nombres de usuario y las contraseñas de sFTP y de la base de datos. Restablecieron ambas contraseñas.
  • Para un subconjunto de clientes activos, se expuso la clave privada SSL. Están en proceso de emitir e instalar nuevos certificados para esos clientes.

Finalmente, Comes añadió: “Lamentamos sinceramente este incidente y la preocupación que genera para nuestros clientes. Nosotros, el liderazgo y los empleados de GoDaddy, asumimos nuestra responsabilidad de proteger los datos de nuestros clientes muy en serio y nunca queremos decepcionarlos. Aprenderemos de este incidente y ya estamos tomando medidas para fortalecer nuestro sistema de aprovisionamiento con capas adicionales de protección”.

Como puedes imaginar, hay un montón de mensajes en Internet criticando a GoDaddy, no solo por tardar 5 días en reportar la brecha, sino también por haber tardado más de 2 meses en detectar dicho ataque, ya que supuestamente tuvo lugar el 6 de septiembre. También encontrarás información adicional sobre qué acciones debes realizar tanto técnica como legalmente si eres un cliente afectado. ¡No quiero ni pensar en el lío que esto supone para GoDaddy y todos los clientes que pueden haberse visto afectados!

La importancia de la seguridad al seleccionar una empresa de hosting

Cuando hablamos de los requisitos clave para elegir su alojamiento de WordPress, nos fijamos en un conjunto completo de factores: compatibilidad con diferentes versiones de PHP, qué características y herramientas ofrece para administrar fácilmente la instalación de WordPress, velocidad de carga rápida de nuestras páginas, soporte eficiente servicio, y, por supuesto, un costo razonable.

Pero no nos engañemos: muchas veces acabamos relegando el aspecto de la seguridad al fondo de nuestras prioridades. ¿Por qué? Primero, porque la seguridad de nuestro proveedor de hosting es algo que damos por sentado. Pero esto es absurdo, porque si hay algo que sabemos con certeza es que ningún sistema informático es 100% seguro. En segundo lugar, la seguridad es difícil de evaluar rápida y fácilmente. Solo cuando ocurre una brecha de seguridad, nos damos cuenta de las posibles vulnerabilidades.

La seguridad de su sitio web es un poco como su salud. Si estás bien, no le das mucha importancia. Pero el día que no estás bien, el mundo se te viene encima. A menudo, enfermarse es inevitable, pero la prevención y la detección temprana pueden ahorrarle muchos dolores de cabeza. Es lo mismo con la seguridad. Si su sitio web es pirateado, no solo su negocio puede quebrar, sino que también puede terminar en un problema legal por no haber tomado las medidas de seguridad adecuadas.

Si queremos intentar prevenir una brecha de seguridad, ¿qué debemos esperar de nuestro proveedor de hosting?

Seguridad del software

Algo que nos aburre a todos es tener que actualizar el software que usamos en nuestros equipos. ¡Pero es muy importante que lo hagamos, ya que la mayoría de las actualizaciones son precisamente para protegerlo de vulnerabilidades conocidas!

Por esa razón, cuando aloja un sitio web de WordPress con una empresa de alojamiento, asegúrese de que cumpla con los requisitos de compatibilidad y las últimas actualizaciones de software recomendadas por WordPress. Echa un vistazo a la web oficial de WordPress para conocerlos. Al momento de escribir esta publicación, los requisitos recomendados eran:

  • PHP 7.4 o más reciente.
  • MySQL 5.6 o posterior, o MariaDB 10.1 o posterior.
  • HTTPS

Mi recomendación: ni te plantees ninguna empresa de hosting que no cumpla estos requisitos.

Disponibilidad y soporte de SSL

El Protocolo de Transferencia de Hipertexto (Hyper T ext T ransfer P rotocol o HTTP ) es un protocolo utilizado en los sistemas de red, diseñado con el propósito de definir y estandarizar la sintaxis y la semántica de las transacciones que tienen lugar entre las diferentes computadoras que forman una red. . En otras palabras, describe la forma en que un servidor web se comunica con navegadores web como Google Chrome o Mozilla Firefox.

HTTPS se refiere al uso de HTTP sobre una capa de sockets seguros (SSL) o una conexión con Transport Layer Security (TLS), y es responsable de encriptar todos los mensajes HTTP para que su transmisión sea segura. Cuando un usuario envía información a un servidor web, SSL esencialmente proporciona un conjunto completo de capas de protección:

  • Cifrado : si un atacante logra interceptar esa información, de nada le servirá ya que no sabrá cómo descifrarla (pero tú sí).
  • integridad de los datos : los atacantes no podrán “modificar” el contenido del mensaje enviado.
  • autenticación : se evitan los ataques de phishing o man-in-the-middle, en los que un usuario proporciona información a terceros cuando cree que está hablando con otra persona.

De esta forma, por ejemplo, te aseguras que los datos de las compras realizadas en tu web no puedan ser leídos y/o modificados por delincuentes.

Si su sitio web usa SSL, la mayoría de los navegadores mostrarán la URL web que comienza con https:// y un ícono de candado en algún lugar cerca o en la barra de direcciones, brindando a los visitantes una pista visual sobre la seguridad del sitio web actual.

Imagen de la URL de Nelio mostrada en el navegador
Imagen de la URL de Nelio mostrada en el navegador.

Cuando busque un proveedor de servicios de alojamiento, asegúrese de que sea compatible con SSL y compruebe lo fácil que es configurarlo.

Copia de seguridad y restaurar

Si alguna vez sufre un ataque de malware en su WordPress, es muy posible que termine necesitando restaurar una copia de seguridad anterior que no tenga código infectado. Por este motivo, asegúrese de que su proveedor de alojamiento realice copias de seguridad periódicas y automáticas de su sitio web de WordPress .

Asegúrate de saber:

  • Frecuencia de las copias de seguridad,
  • A cuántas copias de seguridad de su sitio tiene acceso,
  • Ya sea que pueda restaurarlos fácilmente por su cuenta o que deba solicitar una restauración y pagar el servicio,
  • Si puede realizar restauraciones parciales de archivos, carpetas, cuentas de correo electrónico o bases de datos,
  • Si puede acceder al historial de restauración.

Protección contra ataques DDoS

Un ataque de denegación de servicio distribuido (DDoS) es un tipo de ataque que intenta derribar el servidor web activando "una tonelada" de solicitudes hasta que el servidor se sobrecarga y falla.

Ilustración de ataque DDoS
Ilustración de ataque DDoS (fuente: Anti DDoS)

Para evitarlos, algunos proveedores de alojamiento como SiteGround y Bluehost trabajan con redes de entrega de contenido (CDN) como Cloudflare. Las CDN operan redes de servidores globales que facilitan el servicio de datos más rápido y absorben ataques que consumen muchos recursos, como DDoS. Esto ayuda a las empresas de alojamiento a reducir la carga en sus propios servidores sin tener que invertir mucho en infraestructura adicional. Es muy recomendable que compruebe si su empresa de hosting trabaja con CDN.

También asegúrate de que tengan protocolos preparados para este tipo de ataques, como por ejemplo:

  • Hardware de firewall que filtra el tráfico de inundación,
  • Software de firewall basado en iptables con funciones complejas y monitoreo de tráfico,
  • Limitan el número de conexiones que se pueden establecer de forma remota,
  • Comprueban la gran cantidad de intentos de conexión fallidos de los hosts y realizan el filtrado.

Escaneo de malware

El malware, como hemos visto en el caso de GoDaddy, es un software malicioso que puede afectar a los servidores. Pueden causar una infección menor, como el robo de ciertos datos, o borrar una base de datos completa.

Es importante saber cómo tu proveedor de hosting controla y comprueba este tipo de ataques. ¿Con qué frecuencia realizan escaneos? ¿Tienen un sistema de aislamiento de cuentas para que, en caso de infección, sea contenida?

Disponibilidad y tiempo de actividad

Los tres pilares de la seguridad de la información se conocen como la tríada CIA (Confidencialidad, Integridad y Disponibilidad). La disponibilidad y el tiempo de actividad de su sitio web (porcentaje de tiempo que un sitio web está activo y disponible) son fundamentales en cualquier sitio web.

Las empresas de alojamiento tienen muchas formas de garantizar esta disponibilidad. Por ejemplo, algunos emplean tecnología RAID, redundancias de hardware, redundancias de red e incluso ubicaciones de duplicación alternativas. Asegúrese de que su proveedor de alojamiento le garantice una disponibilidad mínima en el acuerdo de nivel de servicio (SLA) de sus términos y condiciones. Por ejemplo, en el caso de Siteground, garantizan:

5.2. Garantizamos un tiempo de actividad de la red del 99,9 % sobre una base anual. Si caemos por debajo del tiempo de actividad de la red garantizado, lo compensaremos de la siguiente manera ;

  • 99,9 % – 99,00 % de tiempo de actividad: 1 mes de alojamiento gratuito
  • Un mes adicional de alojamiento gratuito por cada 1 % de tiempo de actividad perdido por debajo del 99,00 % .

El SLA es un indicador más de la inversión en infraestructura que realiza tu proveedor de hosting y el compromiso que adquiere para garantizar el servicio.

Conclusión

La seguridad, como ya he mencionado, es como la salud. Aunque nunca puedes garantizar un control absoluto sobre él, cuantos menos riesgos asumas, mejor. Proteger su sitio y cuidar su seguridad puede evitar consecuencias indeseables importantes. Y esa protección comienza con la selección de un buen proveedor de alojamiento para su sitio web de WordPress.

Imagen destacada de Liam Tucker en Unsplash.