WordPress es la base de aproximadamente una cuarta parte de los sitios en la web . Como tal, es un objetivo jugoso para los piratas informáticos y otros delincuentes. Si pueden encontrar una vulnerabilidad en WordPress, tienen la clave para millones de sitios. Una vulnerabilidad en un complemento popular de WordPress es casi igual de tentadora, e incluso un complemento que no es muy popular podría dar acceso a un atacante a miles de sitios.
Esta es una contribución de un invitado de Graeme Caldwell.
Esto no es un problema con WordPress en particular. WordPress es simplemente la bestia más grande: otros sistemas de administración de contenido tienen los mismos problemas. Mantener WordPress seguro es el trabajo de los desarrolladores e investigadores de seguridad, pero no pueden hacer mucho. Los propietarios de sitios de WordPress también deben hacer su parte.
Parte de mantener seguro su sitio de WordPress es comprender cuáles son los riesgos y cómo puede proteger su sitio contra las fuentes comunes de vulnerabilidad.
Recientemente, la firma de seguridad de WordPress, Wordfence, publicó una lista de las formas más comunes en que los sitios de WordPress se vieron comprometidos . Echemos un vistazo a esa lista y lo que los propietarios de sitios de WordPress pueden hacer para asegurarse de no ser víctimas:
Ataques de WordPress más comunes
Vulnerabilidades de complementos
Con mucho, el mayor culpable son las vulnerabilidades en los complementos. Hay decenas de miles de complementos , creados por miles de desarrolladores, por lo que tiene sentido que los complementos sean el mayor riesgo.
Una forma de proteger su sitio de las vulnerabilidades de los complementos es instalar la menor cantidad posible de complementos. El ecosistema de complementos es la razón principal por la que las personas eligen WordPress en primer lugar, por lo que no sugiero que evite los complementos por completo. Pero, si no está utilizando un complemento, elimínelo. Considere si necesita la funcionalidad que proporciona un complemento. Mantener bajo el número de complementos reduce el área de superficie para las amenazas.
A continuación, asegúrese de mantener actualizados los complementos que utiliza. Las vulnerabilidades se encuentran y se corrigen todo el tiempo. Las actualizaciones entregan las correcciones. Los complementos desactualizados son una invitación a un compromiso.
Si un complemento no se ha actualizado durante algún tiempo, es posible que su desarrollador lo haya abandonado. Si sospecha que un complemento no está desarrollado activamente, busque una alternativa .
Fuerza bruta
Los ataques de fuerza bruta son simplemente conjeturas. El atacante, generalmente un bot, probará tantas combinaciones de nombre de usuario y contraseña como sea posible hasta que encuentre la correcta. La solución aquí es fácil: no use contraseñas ni nombres de usuario que se puedan adivinar. Las contraseñas largas y complejas son imposibles de adivinar. Las contraseñas como «pa55word» y «ilovejustin» se adivinarán en fracciones de segundo.
Además de usar contraseñas seguras, también debe considerar instalar la autenticación de dos factores en su sitio de WordPress y usar una herramienta de limitación de velocidad que bloquee las direcciones IP después de demasiados intentos fallidos de inicio de sesión.
Vulnerabilidades principales y temáticas
Estoy agrupando estos dos juntos porque la mitigación es la misma para cada uno. ¡Mantén tu sitio actualizado!
WordPress Core suele ser mucho más seguro que el ecosistema de complementos, y la gran mayoría de los ataques exitosos se basan en vulnerabilidades que se han solucionado en la versión más reciente.
De nuevo, ¡mantén tu sitio de WordPress actualizado!
vulnerabilidades de alojamiento
A veces, las empresas de alojamiento web cometen errores o el software en el que confían (el sistema operativo Linux, por ejemplo) contiene vulnerabilidades. La mejor manera de evitar un alojamiento web incompetente es elegir un servidor web con una buena reputación en seguridad y la experiencia para proteger a sus clientes.
No se necesita mucho trabajo para hacer que WordPress sea seguro. Los desarrolladores de WordPress han creado una base sólida y, con la inversión de un poco de tiempo y atención, los usuarios de WordPress pueden proteger sus sitios y blogs de los delincuentes.
Nota del editor. Si desea dar un paso más y realmente hacer que su blog sea seguro, consulte nuestra publicación detallada en el blog de CodeinWP: 25 trucos simples para proteger su sitio web de WordPress en 2022.
Sobre el autor: Graeme Caldwell trabaja como comercializador entrante para Nexcess.net , un proveedor líder de alojamiento de Magento y WordPress. Siga a Nexcess en Twitter en @nexcess , haga clic en Me gusta en Facebook en nexcess y consulte su blog de tecnología/alojamiento, blog.nexcess.net .
