El panorama de amenazas a la seguridad de WordPress en 2024: tendencias y estadísticas clave
Publicado: 2024-04-18WPScan publicó recientemente su revisión de las vulnerabilidades y amenazas de 2023 a los sitios de WordPress. Con esta información en mano, tanto los propietarios de sitios como los profesionales de WordPress pueden navegar por el año 2024 de forma un poco más segura.
Dirigido por expertos en seguridad dedicados, WPScan mantiene la principal base de datos de amenazas al ecosistema de WordPress. Utilizado por los mejores profesionales de la industria, WPScan se considera el recurso más completo disponible. Hasta la fecha, WPScan y sus colaboradores han identificado, verificado y clasificado más de 49.000 vulnerabilidades.
La base de datos es utilizada por organizaciones empresariales como Mercedes-Benz Group, WP Engine, Accenture y Kinsta. También impulsa herramientas de seguridad de WordPress reconocidas como Jetpack Scan, que está disponible a través de Jetpack Protect o con un plan Jetpack Security.
¿Por qué existe este informe? ¿De dónde provienen los datos?
El equipo de WPScan se dedica a identificar, verificar e indexar amenazas al ecosistema de WordPress, de modo que las herramientas de seguridad de WordPress (como Jetpack Security) puedan protegerlas eficazmente y proteger a la comunidad.
Identificar y comprender las amenazas son los primeros pasos en la protección de la ciberseguridad.
Los datos de este informe se compilaron a partir de vulnerabilidades reveladas por WPScan y verificadas por sus investigadores de seguridad, así como de una muestra de más de 350.000 sitios web y servicios de Automattic que utilizan Jetpack Scan o Jetpack Protect.
¿Qué aprendimos?
¿No tienes tiempo para leer el informe completo? No te preocupes. Lo cubrimos con un resumen de los puntos clave.
XSS recibe mucha atención, pero las inyecciones SQL son una amenaza más frecuente
Las secuencias de comandos entre sitios reciben mucha atención. A menudo lo informan los cazadores de recompensas de errores y los investigadores de seguridad (53% de todas las vulnerabilidades reveladas).
Pero el tipo de amenaza más común, como lo demuestran los intentos reales bloqueados por el firewall Jetpack, son en realidad las inyecciones SQL. La amenaza de una inyección SQL tiende a ser particularmente grave porque se necesita poca o ninguna autenticación para explotar este tipo de vulnerabilidad.
Dos amenazas son las más comunes cuando se trata de seguridad de WordPress
El informe confirmó lo que ya sabemos: las credenciales de usuario débiles y los complementos anulados son la puerta de entrada a la mayoría de los ataques.
Esto significa que los administradores del sitio pueden evitar la mayoría de los problemas de seguridad manteniendo el software actualizado y exigiendo una autenticación sólida.
Más del 20% de las vulnerabilidades no requerían autenticación
El equipo de WPScan revisa las vulnerabilidades para determinar el nivel de autenticación requerido para explotar el código afectado. Mientras que alrededor de un tercio de todas las vulnerabilidades requerirían acceso a una cuenta de administrador (lo que reduce el riesgo de explotación), el 22% de las vulnerabilidades reveladas no requerirían ninguna autenticación o solo una cuenta a nivel de suscriptor.
Los ataques de malware siguen siendo frecuentes
Jetpack Scan (que utiliza la base de datos WPScan) identificó la asombrosa cifra de 70.000 sitios con al menos un archivo malicioso. La mayoría de las causas se remontan a (¡lo has adivinado!), credenciales débiles o filtradas o software anulado.
Se determinó que el 75% (600.000 archivos maliciosos) eran malware genérico.
Las herramientas existentes están funcionando.
El firewall Jetpack bloqueó más de siete millones de solicitudes que involucraban una vulnerabilidad de alta gravedad, evitando innumerables ataques XSS en sitios en peligro.
El informe afirma,
El firewall Jetpack, aunque es una incorporación reciente a la suite Jetpack Security , está demostrando su valor al bloquear ataques potenciales en las primeras etapas del ciclo, evitando que los atacantes se afiancen en sitios protegidos.
El firewall Jetpack también bloqueó más de medio millón de ataques de inyección SQL y Path Traversal.
¿Qué deberían hacer a continuación los profesionales de la ciberseguridad y WordPress?
No puedes prevenir ataques si no sabes qué buscar. WPScan proporciona la biblioteca más sólida y actualizada de amenazas verificadas. Los desarrolladores y profesionales de la ciberseguridad pueden incorporarlo a sus programas internos a través de una API para reforzar sus defensas.
Los equipos de seguridad web también pueden utilizar el escáner CLI de WPScan como parte de las pruebas de penetración. Proporciona una visión externa de la información que los piratas informáticos pueden ver sobre su sitio sin autenticación.
Los desarrolladores y las organizaciones empresariales deben comunicarse con WPScan de inmediato para ver si es la mejor herramienta para su operación.
¿Qué deberían hacer a continuación los propietarios de sitios de WordPress?
La evaluación de WPScan del ecosistema de seguridad de WordPress demuestra que las amenazas persisten. La buena noticia es que los más frecuentes pueden frustrarse con bastante facilidad. Los propietarios de sitios de WordPress pueden utilizar la base de datos WPScan a través de Jetpack Protect y obtener acceso a un conjunto completo de herramientas de prevención y recuperación con Jetpack Security.
Aplicar una autenticación fuerte
Las contraseñas débiles no sólo son la debilidad más común en ciberseguridad, sino también una de las más fáciles de solucionar. Puede exigir contraseñas seguras a los usuarios y educar a su equipo sobre las mejores prácticas en materia de contraseñas, como usar una combinación de números, letras y caracteres especiales, tener credenciales únicas para cada sitio y actualizar las contraseñas periódicamente.
Es posible que también desee solicitar la autenticación de dos factores, especialmente en cuentas de nivel de administrador.
Asigne los roles de usuario adecuados y siga el principio de privilegio mínimo
Los roles de usuario de WordPress son poderosos porque le permiten otorgar acceso a funciones específicas según el área de responsabilidad de una persona. Limitar la cantidad de roles de alto nivel asignados reduce la cantidad de puntos de acceso y permite una mayor educación y responsabilidad con respecto a las contraseñas y la autenticación segura.
Conocido como el principio de privilegio mínimo, los usuarios solo deben tener acceso al rol más bajo requerido para sus funciones laborales necesarias.
Mantenga el núcleo, los temas y los complementos actualizados
Junto con las contraseñas débiles, el software obsoleto es la raíz más común de los ataques exitosos. Su sitio debe utilizar la versión más actualizada del núcleo de WordPress, su tema y cualquier complemento que esté instalado.
A medida que se descubren vulnerabilidades, los desarrolladores de complementos de buena reputación lanzarán actualizaciones para parchearlas. Ignorar estas actualizaciones deja su sitio expuesto.
Instalar un complemento de seguridad de WordPress
Para obtener la protección más completa, los propietarios de sitios deben ir un paso más allá de contraseñas seguras, software actualizado y una asignación adecuada de roles de usuario. Los profesionales veteranos de WordPress saben que el complemento de seguridad de WordPress adecuado ayudará a prevenir intrusiones y brindará opciones de recuperación en caso de que una logre lograrlo.
Si desea una protección integral con complicaciones mínimas, Jetpack Security es la solución que necesita. Esto es solo algo de lo que se incluye:
- Monitoreo del tiempo de inactividad . Sepa en el segundo que hay un problema con su sitio para que pueda tomar medidas inmediatas.
- Un cortafuegos para sitios web . El informe de WPScan mencionó repetidamente los ataques frustrados por el Firewall de Jetpack. Obtenga acceso a él con Jetpack Security.
- Escaneo de malware en tiempo real y correcciones con un solo clic . Obtenga acceso a la base de datos completa de WPScan y escanee continuamente su sitio en busca de malware y vulnerabilidades. Aún mejor: también obtendrás soluciones con un solo clic para la mayoría de los problemas.
¿No necesita un complemento de seguridad completo, pero desea acceder a la base de datos de WPScan para escanear vulnerabilidades y malware? Esas funciones también están disponibles en un complemento independiente, Jetpack Protect .
- Copias de seguridad en tiempo real . Recuerde, también necesita un método de recuperación en caso de que un atacante logre lograrlo. Jetpack VaultPress Backup guarda todo en su sitio y registra toda la actividad. Restaure a un momento exacto y revise su registro para solucionar problemas y evitar problemas futuros. Puede acceder y restaurar copias de seguridad incluso si su sitio está completamente inactivo, desde su dispositivo móvil.
- Protección contra el spam . Los comentarios y envíos de formularios no deseados e irrelevantes son más que molestos: son peligrosos para usted y sus visitantes. Jetpack Security viene con Akismet Anti-spam para que puedas prevenir el 99% del spam sin obligar a los visitantes a completar un molesto CAPTCHA.
- Protección contra ataques de fuerza bruta . Los ataques de fuerza bruta son una amenaza bastante común para WordPress. También se pueden detener fácilmente con Jetpack Security.
Jetpack y WPScan: trabajando juntos por un WordPress más seguro
El equipo de WPScan trabaja incansablemente para mantener la base de datos más precisa de las vulnerabilidades de WordPress. Los profesionales de WordPress y las organizaciones empresariales pueden integrarse con las herramientas WPScan para obtener la protección más avanzada disponible.
Los propietarios de sitios de WordPress acceden a esta misma información a través de Jetpack Security, junto con otras herramientas de seguridad. Este complemento de seguridad simplemente funciona con mínimas molestias y esfuerzo continuo. Su sitio simplemente está protegido .
Obtenga más información sobre la seguridad de Jetpack.
Obtenga más información sobre WPScan.