Cómo se hackea una web con WordPress y cómo evitarlo

0

Tu sitio web es como una casa – seguro si tomas las precauciones adecuadas, pero vulnerable a los ladrones si no lo haces. En el mundo de los sitios web, sin embargo, los sitios no son robados, son hackeados. El número de sitios que son pirateados cada año sigue aumentando.

¿Cómo se hackean los sitios de WordPress? Y, ¿Es posible salvaguardar tu sitio?

Los siguientes consejos te proporcionarán  conocimientos suficientes (más que necesarios) para proteger tu sitio de ataques maliciosos y mantener los datos y contenido seguros.

Ataques por fuerza bruta

Es fácil imaginar a alguien tratando de derribar la puerta principal de una casa usando fuerza bruta. Si el ladrón se esfuerza lo suficiente, eventualmente tendrá éxito, dejando la puerta hecha astillas y el interior de la vivienda totalmente vulnerable.

Un ataque de fuerza bruta en el mundo de la tecnología es muy similar: los hackers usan software automatizado para tratar de adivinar el nombre de usuario y contraseña de WordPress una y otra vez hasta que entran con éxito en el sitio. Frecuentemente usarán una lista de las 500 contraseñas más comunes, probando cada una de ellas contra la página de inicio de sesión de WordPress de su sitio. A un bot sólo le puede llevar unos pocos minutos probar unos cuantos cientos de combinaciones. Te sorprendería saber cuánta gente usa’admin’ como nombre de usuario,

Desafortunadamente, los ataques por fuerza bruta son extremadamente comunes en sitios de sistemas de gestión de contenido como WordPress: un promedio de 26 millones de ataques ocurren cada día.

Protección de un sitio web contra ataques de fuerza bruta

Por suerte, existen maneras de proteger un sitio web contra ataques de fuerza bruta. Una de las defensas más simples es usar una contraseña segura para su acceso a WordPress. Esto se aplica a cada cuenta de usuario en el sitio de WordPress. Para proteger tu sitio, revisa todas las cuentas de usuario cada pocos meses. Por razones de seguridad, elimina siempre las cuentas no utilizadas, incluidas las de antiguos empleados después de que dejen de trabajar para su empresa.

Habilitar un monitoreo de seguridad 24/7 es uno de los mejores pasos de seguridad contra ataques en su sitio. El software de monitoreo de seguridad puede detectar y bloquear los intentos de piratería informática en su sitio. Al revisar las diferentes opciones de monitorización, considera una opción que se configure a nivel de servidor en lugar de utilizar un plugin de seguridad.

Acceso a un sitio web a través de un servidor de alojamiento inseguro .

El entorno de alojamiento o hosting de tu sitio web juega un papel importante en la seguridad de tu sitio WordPress y el servidor de alojamiento puede ser un punto de acceso común para las brechas de seguridad.

Una manera sencilla de entender el impacto del servidor de alojamiento es considerar cómo la seguridad de la comunidad en la que vive también influye en la seguridad de tu hogar. Esto es más obvio dentro de un complejo de apartamentos. Si tu complejo tiene una puerta de estacionamiento rota que nunca se cierra correctamente, o si la entrada principal está siempre abierta, entonces tu casa no es segura y  tienes una mayor probabilidad de ser robado.

Lo mismo ocurre con un sitio web. Si estás en una plataforma de alojamiento compartido, lo más probable es que tu sitio se encuentre en un servidor con miles de otros sitios. No importa lo que hagas para proteger tu sitio individual si el servidor no es seguro, tu sitio tiene un mayor riesgo de ser hackeado.

Además, si sólo uno de los sitios en el servidor se ve comprometido, pone en riesgo a todos los sitios. Después de todo, si un ladrón se las arregla para entrar en el apartamento de tu vecino, es posible que esté mirando el resto del complejo como si fuera igual de fácil entrar.

Cómo proteger el entorno de un hosting 

El entorno del alojamiento puede afectar a todo, desde la seguridad hasta el rendimiento. Puede ser tentador poner tu sitio web en un servidor barato, pero podrías pagar por ello a largo plazo con problemas de seguridad.

Los sitios de WordPress tienden a funcionar mal en entornos compartidos, por lo que buscar un entorno de WordPress gestionado es la mejor opción cuando se trata tanto de seguridad como de rendimiento.

Un entorno WordPress gestionado es una configuración ideal. En un entorno gestionado, el servicio de hosting se encarga de todos los detalles técnicos, como los servicios de backup y las actualizaciones del servidor.

Por seguridad, asegúrate de que haya limitaciones y protecciones de escritura en disco a nivel de servidor. Esto significa que el entorno del servidor limita los procesos que pueden escribir en el disco. Con esta configuración, es más difícil para un atacante explotar una vulnerabilidad en un tema o plugin. Cada intento de escribir en el disco también se registra, lo que ayuda al desarrollador a localizar el origen del malware en caso de que se produzca una infracción de seguridad.

Hacking de un sitio a través de un plugin de WordPress 

Otra forma en que los hackers pueden acceder a tu sitio es a través de una vulnerabilidad en un plugin de WordPress instalado en tu sitio web.

En el caso de su casa, puedes contratar a un paisajista para que se ocupe de tu jardín, a un manitas para que arregle un grifo que gotea, o a un contratista para que rehaga tu baño. En lugar de abrir tu casa a extraños, probablemente   los revises para asegurarse de que sean dignos de confianza. Incluso con la investigación de antecedentes,  podrías terminar dejando entrar a alguien en tu casa que no es digno de confianza.

Los plugins en un sitio de WordPress son muy similares a este caso. Cada sitio de WordPress requiere plugins para realizar diferentes funciones, y una gran ventaja de WordPress es que los desarrolladores están constantemente construyendo nuevas funcionalidades y características. El problema es que cada plugin requiere mantenimiento y monitoreo.

Un plugin puede funcionar bien durante años hasta que se descubre una vulnerabilidad de seguridad. Esa vulnerabilidad de seguridad previamente oculta es una puerta abierta a los hackers hasta que el desarrollador crea una actualización para parchearla. Si no implementa esa actualización de plugin, esencialmente le está dando las claves de tu sitio a un hacker.

Mantenimiento de plugins y temas de WordPress 

La mejor manera de prevenir problemas de seguridad con los plugins y temas en tu sitio web de WordPress es que un desarrollador experimentado actualice todos los plugins mensualmente. Los plugins y temas obsoletos son un riesgo importante para la seguridad.

Del mismo modo que examinarías a una compañía o contratista antes de hacer que trabajen en tu casa, es una buena práctica que un desarrollador de WordPress revise un plugin antes de instalarlo.

Vigile tus plugins, en caso de que el desarrollador que los construyó deje de probarlos y actualizarlos. Esto se llama “plugin abandonment” y una vez que un plugin es abandonado, cualquier vulnerabilidad de seguridad puede ser dejada sin parchear.

De manera eventual, WordPress.org eliminará un plugin abandonado del repositorio, pero esto típicamente ocurre sólo después de que se ha producido una violación importante en los sitios con el plugin. Por ejemplo, se descubrió una vulnerabilidad reciente en el plugin Duplicate Page y más de 700.000 sitios web se vieron afectados.

Además de los plugins y temas, querrás mantener actualizado el core de WordPress. Cada pocos meses, se lanza una nueva versión de WordPress y puede haber parches de seguridad en el propio núcleo. Antes de actualizar a la última versión, pide a un equipo de desarrollo que pruebe la última versión en un área de preproduccion o, de no tenerlo, que sepan revertir los cambios en caso de problemas. Esto te da la oportunidad de descubrir cualquier problema potencial, incluyendo problemas de compatibilidad con los plugins actuales antes de que el cambio entre en funcionamiento en el sitio.

La protección de cada sitio, sin importar lo pequeño que sea

Como propietario de un sitio web,  puedes pensar que tu sitio web es como tu casa: si no tiene nada de valor en su casa, no hay mucha necesidad de sistemas de seguridad sofisticados.  Por lo tanto, si   tienes un sitio pequeño sin transacciones financieras en el sitio, nadie lo hackeará, ¿verdad? Desafortunadamente, no es así en el mundo de la web

Pequeños sitios informativos de WordPress pueden ser objetivos fáciles, permitiendo a un hacker infectar un sitio no seguro y poner en riesgo a los visitantes de tu web. Protege tu sitio web y a sus visitantes invirtiendo en la seguridad y el mantenimiento adecuado de WordPress.

Puede que tu sitio web ya esté hackeado y no lo sepas… prueba estos plugins para detectar código malicioso, lo mismo te llevas una desagradable sorpresa!

También te puede interesar: