5 problemas comunes de seguridad de WordPress
Publicado: 2021-01-27Si posee un sitio web con WordPress o está considerando usar WordPress como su CMS, es posible que le preocupen los posibles problemas de seguridad de WordPress. En esta publicación, describiremos algunas de las vulnerabilidades de seguridad de WordPress más comunes, junto con los pasos que puede seguir para asegurar y proteger su sitio de WordPress.
¿Es seguro WordPress?
La respuesta a la pregunta "¿es seguro WordPress?" Depende . WordPress en sí es muy seguro siempre que se sigan las mejores prácticas de seguridad de WordPress .
Según el uso más reciente de datos de sistemas de gestión de contenido de W3Techs, WordPress ofrece un 34% de descuento en todos los sitios web. Por lo tanto, las vulnerabilidades de seguridad de WordPress son inevitables porque no todos los usuarios son cuidadosos, minuciosos o conscientes de la seguridad de sus sitios web. Si un pirata informático puede encontrar una forma de entrar en uno de los cientos de millones de sitios web de WordPress en la web, puede buscar otros sitios web que también ejecuten configuraciones inseguras de versiones antiguas o inseguras de WordPress y piratearlas también.
WordPress se ejecuta en código fuente abierto y tiene un equipo dedicado específicamente a encontrar, identificar y solucionar problemas de seguridad de WordPress que surgen en el código central. A medida que se revelan las vulnerabilidades de seguridad, las correcciones se eliminan de inmediato para parchear cualquier nuevo problema de seguridad descubierto en WordPress. Es por eso que mantener WordPress actualizado a la última versión es increíblemente importante para la seguridad general de su sitio web.
Es importante tener en cuenta que las vulnerabilidades de seguridad de WordPress se extienden más allá del núcleo de WordPress hacia los temas o complementos que instala en su sitio. Según un informe reciente de wpvulndb.com, de las 2.837 vulnerabilidades de seguridad de WordPress conocidas en su base de datos:
- 75% son de complementos de WordPress
- 14% son del núcleo de WordPress
- 11% son de temas de WordPress
5 problemas comunes de seguridad de WordPress
Los problemas de seguridad de WordPress más comunes ocurren antes o justo después de que su sitio se haya visto comprometido. El objetivo de un pirateo es obtener acceso no autorizado a su sitio de WordPress a nivel de administrador, ya sea desde la interfaz (su panel de WordPress) o desde el lado del servidor (insertando scripts o archivos maliciosos).
Estos son los 5 problemas de seguridad de WordPress más comunes que debe conocer:
1. Ataques de fuerza bruta
Los ataques de fuerza bruta de WordPress se refieren al método de prueba y error de ingresar múltiples combinaciones de nombre de usuario y contraseña una y otra vez hasta que se descubre una combinación exitosa. El método de ataque de fuerza bruta aprovecha la forma más sencilla de acceder a su sitio web: su página de inicio de sesión de WordPress.
WordPress, de forma predeterminada, no limita los intentos de inicio de sesión, por lo que los bots pueden atacar su página de inicio de sesión de WordPress utilizando el método de ataque de fuerza bruta. Incluso si un ataque de fuerza bruta no tiene éxito, aún puede causar estragos en su servidor, ya que los intentos de inicio de sesión pueden sobrecargar su sistema y ralentizar su sitio. Mientras está bajo un ataque de fuerza bruta, algunos hosts pueden suspender su cuenta, especialmente si está en un plan de alojamiento compartido, debido a sobrecargas del sistema.
2. Exploits de inclusión de archivos
Después de los ataques de fuerza bruta, las vulnerabilidades en el código PHP de su sitio web de WordPress son el siguiente problema de seguridad más común que los atacantes pueden aprovechar. (PHP es el código que ejecuta su sitio web de WordPress, junto con sus complementos y temas).
Las vulnerabilidades de inclusión de archivos ocurren cuando se usa código vulnerable para cargar archivos remotos que permiten a los atacantes obtener acceso a su sitio web. Las vulnerabilidades de inclusión de archivos son una de las formas más comunes en que un atacante puede obtener acceso al archivo wp-config.php de su sitio web de WordPress, uno de los archivos más importantes en su instalación de WordPress.
3. Inyecciones SQL
Su sitio web de WordPress utiliza una base de datos MySQL para operar. Las inyecciones de SQL ocurren cuando un atacante obtiene acceso a su base de datos de WordPress y a todos los datos de su sitio web.
Con una inyección de SQL, un atacante puede crear una nueva cuenta de usuario de nivel de administrador que luego puede usarse para iniciar sesión y obtener acceso completo a su sitio web de WordPress. Las inyecciones de SQL también se pueden utilizar para insertar nuevos datos en su base de datos, incluidos enlaces a sitios web maliciosos o spam.
4. Secuencias de comandos entre sitios (XSS)
El 84% de todas las vulnerabilidades de seguridad en todo Internet se denominan ataques Cross-Site Scripting o XSS. Las vulnerabilidades de Cross-Site Scripting son la vulnerabilidad más común que se encuentra en los complementos de WordPress.
El mecanismo básico de Cross-Site Scripting funciona así: un atacante encuentra una manera de hacer que una víctima cargue páginas web con scripts javascript inseguros. Estos scripts se cargan sin el conocimiento del visitante y luego se utilizan para robar datos de sus navegadores. Un ejemplo de un ataque de Cross-Site Scripting sería un formulario secuestrado que parece residir en su sitio web. Si un usuario ingresa datos en ese formulario, esos datos serían robados.
5. Software malicioso
El malware, abreviatura de software malicioso, es un código que se utiliza para obtener acceso no autorizado a un sitio web para recopilar datos confidenciales. Un sitio de WordPress pirateado generalmente significa que se ha inyectado malware en los archivos de su sitio web, por lo que si sospecha que hay malware en su sitio, eche un vistazo a los archivos modificados recientemente.
Aunque existen miles de tipos de infecciones de malware en la web, WordPress no es vulnerable a todos ellos. Las cuatro infecciones de malware de WordPress más comunes son:
- Puertas traseras
- Descargas drive-by
- Trucos farmacéuticos
- Redireccionamientos maliciosos
Cada uno de estos tipos de malware se puede identificar y limpiar fácilmente, ya sea eliminando manualmente el archivo malicioso, instalando una versión nueva de WordPress o restaurando su sitio de WordPress desde una copia de seguridad anterior no infectada.
¿Qué hace que su sitio de WordPress sea vulnerable a los problemas de seguridad de WordPress?
Varios factores pueden hacer que su sitio de WordPress sea más vulnerable a ataques exitosos.
1. Contraseñas débiles
El uso de una contraseña débil es una de las mayores vulnerabilidades de seguridad que puede evitar fácilmente. Su contraseña de administrador de WordPress debe ser segura, incluir varios tipos de caracteres, símbolos o números. Además, su contraseña debe ser específica para su sitio de WordPress y no debe usarse en ningún otro lugar.
¿Tiene curiosidad si su contraseña ha sido comprometida? El complemento iThemes Security comprueba si su contraseña ha aparecido en una violación de datos. Una violación de datos suele ser una lista de nombres de usuario, contraseñas y, a menudo, otros datos personales que se expusieron después de que un sitio se vio comprometido. Con la configuración Rechazar contraseñas comprometidas, puede rechazar las contraseñas comprometidas y obligar a los usuarios a usar contraseñas que no aparecen en ninguna infracción de contraseña rastreada por la API Have I Been Pwned.
2. No actualizar WordPress, complementos o temas
En pocas palabras: corre el riesgo de sufrir un ataque si está ejecutando versiones obsoletas de WordPress, complementos y temas en su sitio web. Las actualizaciones de versión a menudo incluyen parches para problemas de seguridad en el código, por lo que es importante ejecutar siempre la última versión de todo el software instalado en su sitio web de WordPress.
Las actualizaciones aparecerán en su panel de WordPress tan pronto como estén disponibles. Practique ejecutar una copia de seguridad y luego ejecutar todas las actualizaciones disponibles cada vez que inicie sesión en su sitio de WordPress. Si bien la tarea de ejecutar actualizaciones puede parecer incómoda o tediosa, es una importante práctica recomendada de seguridad de WordPress.
Si administra más de un sitio web de WordPress, puede usar una herramienta para ahorrar tiempo como iThemes Sync Pro para administrar mejor las actualizaciones. En lugar de iniciar sesión en cada sitio individual, le brinda un panel para administrar las actualizaciones de varios sitios de WordPress desde un solo lugar.
3. Uso de complementos y temas de fuentes no confiables
El código mal escrito, inseguro o desactualizado es una de las formas más comunes en que los atacantes pueden explotar su sitio web de WordPress. Dado que los complementos y temas son fuentes potenciales de vulnerabilidades de seguridad, como práctica recomendada de seguridad, solo descargue e instale complementos y temas de WordPress de fuentes confiables, como el repositorio de WordPress.org, o de compañías premium que han estado en el negocio por un tiempo. . Además, evite las versiones pirateadas o “gratuitas” torrentadas de temas y complementos premium, ya que los archivos pueden haber sido alterados para contener malware. El costo de estos complementos y temas "gratuitos" puede afectar la seguridad de su sitio.
4. Uso de hosting compartido o de mala calidad
Dado que el servidor donde reside su sitio web de WordPress es un objetivo para los atacantes, el uso de alojamiento compartido o de mala calidad puede hacer que su sitio sea más vulnerable a verse comprometido. Si bien todos los hosts toman precauciones para proteger sus servidores, no todos están tan atentos o implementan las últimas medidas de seguridad para proteger los sitios web a nivel de servidor.
El alojamiento compartido también puede ser una preocupación porque varios sitios web se almacenan en un solo servidor. Si un sitio web es pirateado, los atacantes también pueden obtener acceso a otros sitios web y sus datos. Si bien usar un VPS, o servidor privado virtual, es más costoso, asegura que su sitio web se almacene en su propio servidor.
8 acciones que puede tomar hoy para proteger su sitio de WordPress
1. Utilice una contraseña segura para cada cuenta en línea.
Si actualmente está usando una contraseña que contiene menos de 6 caracteres, cámbiela ahora. Si actualmente está usando una contraseña en más de un inicio de sesión, cámbiela ahora. Si ha tenido la misma contraseña durante más de seis meses, cámbiela ahora. Si está reutilizando una contraseña para varias cuentas en línea, cámbiela ahora.
2. Instale un complemento de seguridad de WordPress.
El uso de un complemento de seguridad de WordPress es una excelente manera de cuidar las medidas de seguridad adicionales en su sitio web de WordPress. iThemes Security ofrece una verificación de seguridad de WordPress con un solo clic que activa las configuraciones de seguridad de WordPress más importantes y recomendadas. Un buen complemento de seguridad de WordPress puede manejar los aspectos más técnicos de la seguridad de su sitio, por lo que no tiene que ser un experto en seguridad para usar uno.
3. Habilite la autenticación de dos factores de WordPress.
La autenticación de dos factores agrega una capa adicional de protección a su inicio de sesión de WordPress. Además de su contraseña, se requiere un código adicional sensible al tiempo de otro dispositivo, como su teléfono inteligente, para iniciar sesión. La autenticación de dos factores es una de las mejores formas de bloquear su inicio de sesión de WordPress y minimiza casi por completo el potencial de ataques de fuerza bruta exitosos.
4. Mantenga actualizado su sitio de WordPress.
Nuevamente: mantener actualizado su sitio de WordPress es una de las mejores formas de evitar posibles problemas de seguridad de WordPress. Inicie sesión en su sitio de WordPress ahora y ejecute las actualizaciones disponibles para el núcleo de WordPress, sus temas o complementos. Si está utilizando complementos o temas premium de WordPress, asegúrese de tener una licencia actual para asegurarse de recibir actualizaciones y no ejecutar versiones desactualizadas.
5. Configure los permisos adecuados en su servidor.
Asegúrese de que los permisos adecuados estén configurados en todos los directorios de su servidor. Los permisos adecuados dictan quién tiene permiso para leer archivos, crear y editar archivos.
6. Ejecute análisis programados de malware.
Controle las posibles infecciones de malware con escaneos de malware programados. La mayoría de los servicios, como el escaneo de malware que se ofrece en el complemento iThemes Security Pro, le brindan un informe sobre el estado de malware de su sitio web junto con varios otros estados de listas negras.
7. Tenga un plan de respaldo de WordPress confiable.
Tener un plan de respaldo de WordPress es un componente importante de su estrategia de seguridad de WordPress. Configure copias de seguridad programadas para que se ejecuten y asegúrese de enviar sus copias de seguridad de forma segura fuera del sitio a una ubicación de copia de seguridad remota y segura de WordPress. Además, asegúrese de que su estrategia de copia de seguridad tenga un componente de restauración en caso de que necesite restaurar su sitio desde una copia de seguridad limpia.
8. Active la protección de fuerza bruta de WordPress.
Protegerse de los ataques de fuerza bruta es otra forma de reducir las posibles vulnerabilidades o sobrecargas del servidor. Utilice un servicio que incluya protección de fuerza bruta local y de red para prohibir que los usuarios que han intentado ingresar a otros sitios también ingresen al suyo.
Obtenga iThemes Security Pro ahora + ¡Ahorre un 25% de descuento!
Si bien existen problemas de seguridad para WordPress, la mayoría se pueden evitar con las mejores prácticas de seguridad de WordPress y una conciencia de los posibles riesgos de seguridad. Armado con el conocimiento y las estrategias para proteger su sitio de WordPress, puede minimizar en gran medida su vulnerabilidad a los ataques y mantener su sitio de WordPress seguro y protegido.
Un complemento de seguridad de WordPress confiable como iThemes Security Pro puede ayudar a asegurar y proteger su sitio web de WordPress. Con más de 30 formas de bloquear su sitio, iThemes Security funciona para bloquear WordPress, corregir agujeros comunes, detener ataques automatizados y fortalecer las credenciales de usuario.
Plan iThemes Security Pro.
Obtén iThemes Security Pro
Kristen ha estado escribiendo tutoriales para ayudar a los usuarios de WordPress desde 2011. Por lo general, puede encontrarla trabajando en nuevos artículos para el blog iThemes o desarrollando recursos para #WPprosper. Fuera del trabajo, a Kristen le gusta llevar un diario (¡ha escrito dos libros!), Hacer caminatas y acampar, cocinar y las aventuras diarias con su familia, con la esperanza de vivir una vida más presente.
