4 Ataques más comunes de WordPress, y lo que puedes hacer para defender tu sitio
WordPress es la base de alrededor de un cuarto de los sitios en la web. Como tal, es un jugoso objetivo para los hackers y otros criminales. Si pueden encontrar una vulnerabilidad en WordPress, tienen la clave de millones de sitios. Una vulnerabilidad en un popular plugin de WordPress es casi tan tentadora, e incluso un plugin que no es muy popular podría dar a un atacante acceso a miles de sitios.
Esta es una contribución de Graeme Caldwell.
Esto no es un problema con WordPress en particular. WordPress es sólo la mayor bestia, otros sistemas de gestión de contenidos tienen los mismos problemas. Mantener seguro a WordPress es el trabajo de los desarrolladores e investigadores de seguridad, pero no pueden hacer mucho. Los propietarios de los sitios de WordPress también tienen que poner su granito de arena.
Parte de mantener seguro su sitio de WordPress es comprender cuáles son los riesgos y cómo puede proteger su sitio contra las fuentes comunes de vulnerabilidad.
Recientemente, la firma de seguridad WordPress Wordfence publicó una lista de las formas más comunes en que los sitios de WordPress fueron comprometidos. Echemos un vistazo a esa lista y a lo que los propietarios de los sitios de WordPress pueden hacer para asegurarse de no ser víctimas:
Contents
4 Ataques más comunes de WordPress
Vulnerabilidades de los plugins
El mayor culpable, con diferencia, es la vulnerabilidad de los plugins. Hay decenas de miles de plugins, creados por miles de desarrolladores, por lo que tiene sentido que los plugins sean el mayor riesgo.
Una forma de proteger su sitio de las vulnerabilidades de los plugins es instalar el menor número posible de plugins. El ecosistema de plugins es la principal razón por la que la gente elige WordPress en primer lugar, así que no sugiero que evites los plugins por completo. Pero, si no estás usando un plugin, quítalo. Considera si necesitas la funcionalidad que un plugin proporciona. Mantener el número de plugins bajo reduce la superficie de las amenazas.
A continuación, asegúrese de mantener actualizados los plugins que utiliza. Las vulnerabilidades son encontradas y arregladas todo el tiempo. Las actualizaciones entregan las correcciones. Los plugins desactualizados son una invitación a un compromiso.
Si un plugin no ha sido actualizado durante algún tiempo, puede haber sido abandonado por su desarrollador. Si sospecha que un plugin no está activamente desarrollado, encuentre una alternativa.
Fuerza bruta
Los ataques de fuerza bruta son simplemente suposiciones. El atacante, normalmente un bot, intentará tantas combinaciones de nombre de usuario y contraseña como sea posible hasta que encuentre la correcta. La solución es fácil: no uses contraseñas y nombres de usuario que puedan ser adivinados. Las contraseñas largas y complejas son imposibles de adivinar. Contraseñas como «pa55word» y «ilovejustin» se adivinará en fracciones de segundo.
Además de utilizar contraseñas seguras, también debería considerar la posibilidad de instalar una autenticación de dos factores en su sitio de WordPress, y utilizar una herramienta de limitación de tasas que bloquee las IPs después de demasiados intentos fallidos de acceso.
Autenticación de dos factores
Autor(es): Duo Security
74% Calificaciones 8.000+ Instala WP 4.1+ Requiere Más información
duo-wordpress.2.5.4.zip
Versión actual: 2.5.4
Última actualización: 17 de mayo de 2019
74% Calificaciones 8.000+ Instala WP 4.1+ Requiere Plugin de WordPress.org PageDuo Autenticación de dos factoresWP Límite de intentos de acceso
Autor(es): Arshid
94% Calificaciones 40.000+ Instala Requiere Más información
wp-limit-login-attempts.zip
Versión actual: 2.6.3
Última actualización: 11 de diciembre de 2019
94% Calificaciones 40.000+ Instala Requiere WordPress.org Plugin PageWP Límite de intentos de acceso
Vulnerabilidades del núcleo y del tema
Estoy uniendo estos dos porque la mitigación es la misma para cada uno. ¡Mantenga su sitio actualizado!
El núcleo de WordPress es típicamente mucho más seguro que el ecosistema de plugins, y la gran mayoría de los ataques exitosos se basan en vulnerabilidades que han sido corregidas en la versión más reciente.
De nuevo, ¡mantén tu sitio de WordPress actualizado!
Vulnerabilidades de alojamiento
A veces, las empresas de alojamiento web cometen errores o el software en el que confían – el sistema operativo Linux, por ejemplo – contiene vulnerabilidades. La mejor manera de evitar un alojamiento web incompetente es elegir un anfitrión web con una buena reputación en materia de seguridad y con la experiencia necesaria para proteger a sus clientes.
No se necesita mucho trabajo para hacer seguro a WordPress. Los desarrolladores de WordPress han creado una base sólida, y con la inversión de un poco de tiempo y atención, los usuarios de WordPress pueden proteger sus sitios y blogs de los criminales.
Nota del editor. Si quiere dar un paso más y hacer que su blog sea realmente seguro, consulte nuestra entrada en profundidad en el blog de CodeinWP:20 trucos sencillos para asegurar tu sitio web de WordPress en 2016.
Sobre el autor: Graeme Caldwell trabaja como comercializador de entrada para Nexcess.net, un proveedor líder de alojamiento de Magento y WordPress. Siga a Nexcess en Twitter en @nexcess, como ellos en Facebook en nexcess y eche un vistazo a su blog técnico/de alojamiento, blog.nexcess.net.
