WordPress ha sido uno de los principales sistemas de gestión de contenido (CMS) durante más de una década. Muchos de los blogs más grandes de Internet, así como muchos sitios pequeños e individuales, se ejecutan en el marco de WordPress para publicar contenido de texto, imágenes y video en la red mundial.
Un sitio web de WordPress tiene una interfaz tanto de front-end como de back-end. La interfaz proporciona la vista que los visitantes externos verán cuando carguen la página web. Los administradores del sitio y los colaboradores que son responsables de redactar, diseñar y publicar contenido pueden acceder al back-end.
Como cualquier otro sistema basado en Internet, WordPress es objeto de intentos de piratería informática y otras formas de ciberdelito. Lo cual tiene sentido considerando ahora más de 32% de Internet se ejecuta en WordPress. En este artículo, analizaremos algunos de los ataques de WordPress más comunes al software y luego ofreceremos sugerencias sobre cómo defenderse de ellos y mantener su sitio web seguro.
Métodos de ataques comunes de WordPress
Primero echemos un vistazo al ataque común con el que se pueden encontrar los propietarios de sitios de WordPress.
1. Inyección SQL
La plataforma WordPress CMS se basa en una capa de base de datos que almacena información de metadatos, así como otra información administrativa. Por ejemplo, una base de datos típica de WordPress basada en SQL contendrá información del usuario, información de contenido y datos de configuración del sitio.
Cuando un pirata informático lleva a cabo un ataque de inyección SQL, utiliza un parámetro de solicitud, ya sea a través de un campo de entrada o una URL, para ejecutar un comando de base de datos personalizado. Una consulta «SELECCIONAR» permitirá al pirata informático ver información adicional de la base de datos, mientras que una consulta «ACTUALIZAR» le permitirá cambiar los datos.
En 2011, una empresa de seguridad de redes llamada Barracuda Networks fue víctima de un Ataque de inyección SQL. Los piratas informáticos ejecutaron una serie de comandos en todo el sitio web de Barracuda y finalmente encontraron una página vulnerable que podría usarse como un portal a la base de datos principal de la empresa.
2. Secuencias de comandos entre sitios
Un ataque de scripting entre sitios, también conocido como XSS, es similar a la inyección de SQL, acepta que se dirige a los elementos de JavaScript en una página web en lugar de a la base de datos detrás de la aplicación. Un ataque exitoso puede resultar en que la información privada de un visitante externo se vea comprometida.
Con un ataque XSS, el pirata informático agrega código JavaScript a un sitio web a través de un campo de comentario u otra entrada de texto, y luego ese script malicioso se ejecuta cuando otros usuarios visitan la página. El JavaScript fraudulento normalmente redirigirá a los usuarios a un sitio web fraudulento que intentará robar su contraseña u otros datos de identificación.
Incluso los sitios web populares como eBay pueden ser blanco de ataques XSS. En el pasado, los piratas informáticos han agregado con éxito código malicioso en páginas de productos y convenció a los clientes para que inicien sesión en una página web falsificada.
3. Inyección de comandos
Las plataformas como WordPress operan en tres capas principales: el servidor web, el servidor de aplicaciones y el servidor de base de datos. Pero cada uno de estos servidores se ejecuta en hardware con un sistema operativo específico, como Microsoft Windows o Linux de código abierto, y eso representa un área de vulnerabilidad potencial separada.
Con un ataque de inyección de comando, un pirata informático ingresará información maliciosa en un campo de texto o URL, similar a una inyección SQL. La diferencia es que el código contendrá un comando que solo reconocerán los sistemas operativos, como el comando «ls». Si se ejecuta, mostrará una lista de todos los archivos y directorios del servidor host.
Se ha descubierto que algunas cámaras conectadas a Internet son especialmente vulnerables a los ataques de inyección de comandos. Su firmware puede exponer incorrectamente la configuración del sistema a usuarios externos cuando se emite un comando fraudulento.
4. Inclusión de archivos
Los lenguajes de codificación web comunes como PHP y Java permiten a los programadores hacer referencia a archivos y scripts externos desde su código. El comando «incluir» es el nombre genérico para este tipo de actividad.
En determinadas situaciones, un pirata informático puede manipular la URL de un sitio web para comprometer la sección «incluir» del código y obtener acceso a otras partes del servidor de aplicaciones. Se ha descubierto que ciertos complementos para la plataforma WordPress son vulnerables a los ataques de inclusión de archivos. Cuando se producen estos ataques, el infiltrado puede obtener acceso a todos los datos del servidor de aplicaciones principal.
Consejos para la protección
Ahora que sabe lo que debe buscar, aquí hay algunas formas sencillas de reforzar la seguridad de WordPress. Obviamente, hay muchas más formas de proteger su sitio de las que se mencionan a continuación, pero estos son métodos relativamente simples para comenzar que pueden producir rendimientos impresionantes en los piratas informáticos frustrados.
1. Utilice un servidor de seguridad y un servidor de seguridad seguros
La plataforma WordPress puede ejecutarse desde un servidor local o administrarse a través de un entorno de alojamiento en la nube. Con el fin de mantener un sistema seguro, se prefiere la opción alojada. Los mejores hosts de WordPress del mercado ofrecerán cifrado SSL y otras formas de protección de seguridad.
Al configurar un entorno de WordPress alojado, es fundamental habilitar un firewall interno que protegerá las conexiones entre su servidor de aplicaciones y otras capas de red. Un firewall verificará la validez de todas las solicitudes entre capas para garantizar que solo se permita procesar las solicitudes legítimas.
2. Mantenga los temas y complementos actualizados
La comunidad de WordPress está llena de desarrolladores externos que trabajan constantemente en nuevos temas y complementos para aprovechar el poder de la plataforma CMS. Estos complementos pueden ser gratuitos o de pago. Los complementos y temas siempre deben descargarse directamente desde el sitio web de WordPress.org.
Los complementos y temas externos pueden ser riesgosos, ya que incluyen código que se ejecutará en su servidor de aplicaciones. Confíe solo en complementos que provengan de una fuente y un desarrollador de renombre. Además, debe actualizar los complementos y temas de forma regular, ya que los desarrolladores lanzarán mejoras de seguridad.
Dentro de Consola de administración de WordPress, la pestaña «Actualizaciones» se encuentra en la parte superior de la lista del menú «Panel de control».
3. Instale un antivirus y una VPN
Si está ejecutando WordPress en un entorno local o tiene acceso completo al servidor a través de su proveedor de alojamiento, debe asegurarse de tener un escáner de virus robusto ejecutándose en su sistema operativo. Las herramientas gratuitas para escanear su sitio de WordPress como Virus Total verificarán todos los recursos en busca de vulnerabilidades.
Cuando se conecte a su entorno de WordPress desde una ubicación remota, siempre debe utilizar un cliente de red privada virtual (VPN), que garantizará que todas las comunicaciones de datos entre su computadora local y el servidor estén completamente encriptadas.
4. Bloqueo contra ataques de fuerza bruta
Uno de los ataques de WordPress más populares y comunes toma la forma de los llamados ataques de fuerza bruta. Esto no es más que un programa automatizado que un hacker suelta en la «puerta de entrada». Se sienta allí y probó miles de combinaciones de contraseñas diferentes y tropieza con la correcta con la frecuencia suficiente para que valga la pena.
La buena noticia es que existe una manera fácil de frustrar la fuerza bruta. La mala noticia es que muchos propietarios de sitios no aplican la solución. Echa un vistazo a All in One WP Security and Firewall. Es gratis y le permite establecer un límite estricto en los intentos de inicio de sesión. Por ejemplo, después de tres intentos, el complemento bloquea el sitio contra nuevos inicios de sesión por esa dirección IP durante un período de tiempo predeterminado. También recibirá una notificación por correo electrónico de que se ha activado la función de bloqueo.
5. Autenticación de dos factores
Este ingenioso método para proteger su sitio se basa en el hecho de que es probable que el pirata informático no pueda asumir el control de dos de sus dispositivos simultáneamente. Por ejemplo, una computadora Y un teléfono celular. La autenticación de dos factores (2FA) convierte el inicio de sesión en el sitio web de su sitio web en un proceso de dos pasos. Como de costumbre, inicia sesión en la forma habitual, pero luego se le pedirá que ingrese un código adicional enviado a su teléfono.
Inteligente, ¿eh? Este paso adicional aumenta exponencialmente la seguridad de su sitio al separar el inicio de sesión en diferentes pasos. Mira esto lista de complementos gratuitos que le ayudará a configurar 2FA. Esos piratas informáticos que estaban pensando en meterse con su sitio probablemente ya estén cambiando de opinión.
Conclusión
Si bien no existe un sitio web 100% seguro, existen muchos pasos que puede seguir para proteger su sitio web. Usar un buen firewall, mantener sus temas y complementos actualizados y ejecutar periódicamente un análisis de virus puede marcar una gran diferencia.
Podría ser útil pensar en la seguridad del sitio web como un proceso iterativo eterno. Nunca debería llegar un momento en el que retroceda y piense que está «completo» porque el juego entre los piratas informáticos y los defensores del sitio web nunca se detendrá, incluso los jugadores en línea autorizados oficialmente ingresan al vigilancia online negocio . Solo si se mantiene informado sobre las amenazas más recientes y cómo repelerlas, podrá mantener la ciberseguridad y la privacidad en línea.
Es una lástima que el mundo tenga que ser así, pero acéptalo y sigue adelante. Si nunca lo ha hecho antes, ahora sería un buen momento para localizar algunos sitios respetados de noticias sobre ciberseguridad. Suscríbase a su boletín de noticias o al menos realice visitas regulares. Comience ejecutando una búsqueda en Google (o el motor de búsqueda de su elección) de «noticias de ciberseguridad».
¿Tiene alguna pregunta o más consejos para agregar? Deja un comentario y háznoslo saber.