¿Qué tan seguro es WordPress?

31

El tema de si WordPress es seguro o no, ha estado en el centro de las discusiones de desarrolladores web  durante varios años.

Dado que el 31% de todos los sitios web en Internet usan WordPress, es seguro afirmar que es un objetivo frecuente de ataques de seguridad. Con cientos de miles de sitios web de WordPress pirateados anualmente, la pregunta sigue siendo: ¿Es seguro usar WordPress?

La eterna discusión de la seguridad en WordPress

Los hacks en sitios web de WordPress ocurren con frecuencia por un par de razones que son fácilmente prevenibles: usar «admin» como credencial de inicio de sesión o tener una contraseña débil. Tener en cuenta este tipo de incidentes hace esta incógnita sea difícil de responder.

Cuando se habla de la seguridad de WordPress, lo primero que hay que tener en cuenta es que cualquier vulnerabilidad de seguridad que pueda tener se extiende más allá de su núcleo. Por lo tanto, debemos dejar en claro que WordPress se compone de tres partes diferentes:

  • El núcleo
  • Plugins
  • Temas

Al observar las últimas estadísticas de WPScan.org , podemos ver las vulnerabilidades de WordPress por cada componente:

Estadísticas generales de vulnerabilidad

Consulte nuestra lista de los 5 mejores escáneres de vulnerabilidades de WordPress para conocer las excelentes alternativas a WPScan.

Los 5 Problemas de Seguridad más comunes en WordPress

Antes de aprender qué hace que WordPress sea seguro o no, y para explorar formas en que puede ayudar a que su sitio web sea lo más seguro posible, repasemos una lista rápida de los problemas de seguridad más comunes que experimentan los propietarios de sitios web con WordPress:

1. Ataque de fuerza bruta

Un ataque de fuerza bruta es un método de prueba y error utilizado principalmente para obtener información como contraseñas y PIN (números de identificación personal). Los ciberdelincuentes hacen esto escribiendo múltiples contraseñas o nombres de usuario hasta que obtengan la combinación correcta. Puede ser un ataque de diccionario, donde los atacantes intentan escribir cada palabra en el diccionario, o un ataque probando las contraseñas más utilizadas. Este ataque explota el error frecuente de usar una contraseña insegura para su sitio web, prácticamente dando a los atacantes acceso a sus datos.

2. Inyección SQL

Dado que los sitios web de WordPress usan la base de datos MySQL, este tipo de ataque ocurre con frecuencia. Una inyección SQL tiene lugar cuando se explotan las vulnerabilidades de seguridad y los atacantes pueden obtener acceso a sus datos, cambiarlos o incluso destruirlos.

3. Malware

El software malicioso se utiliza para obtener acceso a sus datos insertando un código en un tema caducado o un complemento. El atacante puede extraer sus datos o incluso insertar contenido malicioso en su sitio web.

4. Scripting entre sitios

También conocido como ataque XSS, esta amenaza a menudo se encuentra en los complementos de WordPress. El atacante inserta un código JavaScript inseguro que luego recopila datos de la víctima. Incluso puede redirigir a la víctima a otros sitios web maliciosos.

5. Ataque DDoS

Un ataque distribuido de denegación de servicio (DDoS) ocurre al desbordar maliciosamente un sitio web con tráfico, lo que hace que no pueda servir su contenido a visitantes legítimos del sitio web. Se ejecuta desde varias máquinas comprometidas por el atacante que usa malware, lo que hace que sea muy difícil de localizar y resolver.

¿Quién es el responsable de la seguridad en WordPress?

Te preguntarás, ¿quiénes son las personas detrás de las cortinas, las que trabajan día y noche para mantener seguros a WordPress, y los millones de sitios web que lo usan? Dado que WordPress se compone de los tres componentes que mencionamos, hay varios equipos de personas a cargo de mantenerlo seguro:

El núcleo

WordPress Core es mantenido por un grupo experto de desarrolladores e investigadores que se someten a un largo proceso de contratación antes de ser aceptados como parte del equipo de seguridad de WordPress.

También es importante saber que, incluso si el Equipo de seguridad de WordPress es un grupo de 50 personas altamente calificadas, también son cruciales los desarrolladores individuales, los investigadores de seguridad y los colaboradores que desempeñan un gran papel en el mantenimiento de la seguridad general de WordPress.

Trabajan diligentemente para mantener WordPress seguro, implementando las mejores medidas de seguridad, desarrollando nuevas tecnologías para minimizar las posibles amenazas de seguridad, identificando errores y liberando parches.

Temas y complementos

El equipo de seguridad de WordPress no es responsable de los temas y complementos. Hay un equipo de voluntarios que trabajan en la verificación de nuevos complementos y temas, pero no garantizan la seguridad total, ya que muchos de ellos se lanzan con tanta frecuencia. Las vulnerabilidades pueden pasar desapercibidas.

Hay temas y complementos gratuitos y de pago, y aquí es donde la diferencia es notable.

El núcleo de WordPress es significativo, algo que usa cada usuario que tiene un sitio web, pero lo que hace que su sitio web sea realmente suyo es la selección de complementos y temas que usa. Los complementos y temas individuales son creados por diferentes desarrolladores.

Aquí, el presupuesto puede ser perjudicial. Hay temas y complementos gratuitos y de pago, y aquí es donde la diferencia es notable. El servicio pago a menudo tendrá un equipo detrás de él que lo mantiene, publica actualizaciones y realiza mejoras regularmente. A veces, los temas y complementos gratuitos están hechos para probar la habilidad de uno, o «solo por diversión». Por esa razón, siempre es bueno invertir en un complemento o tema de pago.

¿Qué puede hacer usted, el propietario del sitio web?

Incluso con equipos enteros trabajando en el núcleo de WordPress y complementos y temas individuales, una gran parte de la responsabilidad de mantener su sitio web seguro recae en usted.

Crear un sitio web y dejarlo durante años sin mantenimiento ni actualizaciones puede convertirlo en un blanco fácil para los piratas informáticos.

Los servicios pagos son una excelente manera de garantizar su seguridad, pero no es posible eliminar completamente las amenazas de seguridad.

WordPress es tan seguro como la cantidad de esfuerzo y educación que conlleva:

Mantenga el núcleo actualizado

Al mirar esta estadística de WPScan , podemos ver que las versiones más vulnerables de WordPress datan de las versiones 3.X:

WordPress versión 3 vulnerabilidades

Mantener la aplicación actualizada es de vital importancia para su seguridad: la mayoría de los sitios web que utilizan WordPress que fueron pirateados tenían aplicaciones desactualizadas. Asegúrese de habilitar las actualizaciones de seguridad automáticas para incorporar nuevas correcciones de seguridad tan pronto como se publiquen.

Mantenga los temas y complementos actualizados

Los temas y complementos son los que hacen que la plataforma de WordPress sea amada por tanta gente. Es comprensible querer tener la mayor cantidad posible, personalizar y hacer que los sitios web sean únicos y especiales, pero cada nuevo complemento o tema puede ser una puerta de entrada para los atacantes maliciosos. Cada vez que instala un nuevo complemento, está cortejando la posibilidad de un código de malware incrustado en él. Como mencionamos, las funciones pagas son más seguras; Con más atención en ellos, los desarrolladores trabajan manteniendo la seguridad e identificando errores. Con los gratuitos, la posibilidad de que se reduzca significativamente.

La mayoría de las veces, lo que sucede es que se lanza un parche de seguridad para un complemento o tema, pero los propietarios de sitios web simplemente no los actualizan. Por esta razón, es importante establecer complementos y temas para que también se actualicen automáticamente. Y también es importante eliminar los complementos que no se actualizan regularmente y los que no usa: cuantas más adiciones tenga su núcleo, mayor será la superficie de ataque donde los piratas informáticos pueden atacar su sitio web.

Limite los intentos de inicio de sesión y use una contraseña segura

Mencionamos que los ataques de fuerza bruta son la amenaza de seguridad de WP más común. Por esta razón, siempre es bueno limitar los intentos de inicio de sesión para que se le notifique cuando alguien intenta acceder repetidamente a su sitio web. Además, tener una contraseña segura hecha de una combinación inusual de letras, dígitos y caracteres especiales es de gran ayuda.

Captcha solutions

Las soluciones de Captcha como Re-Captcha de Google son otra gran solución. Póngalos en su página de inicio de sesión para que todos los usuarios tengan que pasar la verificación antes de poder registrarse o iniciar sesión.

Nota: Google ha anunciado que eliminará el Re-Captcha estándar «No soy un robot» e introducirá una nueva versión que detectará si un usuario sospecha, y solo entonces el usuario tendrá que pasar por las verificaciones habituales .

Seguridad del servidor

Si bien tener su aplicación actualizada y mantenida, existe la posibilidad de que los piratas informáticos puedan dañar su sitio web sin siquiera acercarse a WordPress.

Siempre puede elegir una empresa de alojamiento web que se especialice en alojar sitios web de WordPress, o puede seguir la ruta de asegurar su propio servidor.

Aún así, incluso si tiene la mayor seguridad posible en su sitio web de WordPress pero está utilizando un servidor débil, las posibilidades de ser pirateado siguen siendo altas.

Comprender la seguridad de su servidor es importante. Asegúrese siempre de haber instalado actualizaciones de seguridad para su sistema operativo, PHP, servidor web y para cualquier otra aplicación.

Aquí hay más pasos que puede seguir para fortalecer la seguridad de su servidor:

Cortafuegos del sistema

Agregue otra capa de protección instalando un firewall en su computadora. Un firewall monitorea el tráfico entrante y saliente a través de la red. También cubre cualquier tipo de protocolo y le brinda protección DDoS en la capa de red.

Implementación de WAF

Una de las formas más fáciles de proteger su sitio web es habilitar un firewall de aplicación web. Un WAF está ahí para monitorear, filtrar y eventualmente bloquear el tráfico hacia y desde una aplicación web. Incluso puede bloquear el tráfico malicioso antes de que llegue a su sitio web. La implementación de WAF cubre HTTP (S), SOAP, XML y SPDY. También ofrece inspecciones de tráfico encriptado, una medida de seguridad que carece de firewalls de red.

La implementación de WAF puede ser muy útil para prevenir ataques XSS e inyecciones SQL.

IDS

Un IDS, o sistema de detección de intrusos, es un software que monitorea el host o la red en busca de actividad maliciosa sospechosa. El administrador recibe una notificación de esas actividades utilizando un sistema SIEM que utiliza técnicas de alarma para diferenciar los verdaderos ataques maliciosos, donde los piratas informáticos podrían estar tratando de explotar los agujeros de seguridad en su sitio web, de las falsas alarmas.

Puede encontrar más información sobre cómo configurar un IDS aquí .

TCP Wrappers

Los TCP Wrappers son de alguna manera similares a los firewalls: pueden bloquear el tráfico sospechoso pero funcionan de manera diferente a los firewalls debido a algunas características adicionales.

Los TCP Wrappers son sistemas de lista de control de acceso (ACL) basados ​​en host que proporcionan un control de acceso mediante el uso de reglas de acceso en el host.allowarchivo. Con TCP Wrappers puede otorgar acceso a funciones específicas como FTP, pero denegar el acceso a otras. También pueden examinar conexiones cifradas.

Los TCP Wrappers deben usarse junto con los firewalls ya que no son un sustituto; asegúrese de tenerlo configurado detrás de su sistema de firewall.

Protección DDoS

Como mencionamos, los sitios web de WordPress son un blanco frecuente de ataques DDoS. WordPress no tiene una función incorporada para protegerte contra estos ataques, y puede parecer difícil encontrar los complementos adecuados para ayudarte.

Dado que este tipo de ataques están dirigidos a su servidor, la mejor y más fácil forma de protegerse contra los ataques DDoS es tener un proveedor de alojamiento administrado para sus servidores con protección incorporada. Esa protección filtrará el tráfico incluso antes de que llegue a sus servidores, y lo bloqueará si se considera malicioso. La protección de los ataques DDoS también se proporciona al implementar un firewall del sistema y WAF.

Además de tener un servidor administrado, WAF implementado y un firewall del sistema, también puede deshabilitar la funcionalidad XML-RPC de WP.

Está habilitado de forma predeterminada y está ahí para permitir la transferencia de una amplia gama de datos. Entre las muchas funciones que ofrece, proporciona Pingbacks y Trackbacks. La función Pingback se usa para referencias cruzadas entre diferentes blogs, pero su vulnerabilidad radica en el hecho de que puede ser explotada por los atacantes, para usar sitios web de WordPress para crear una botnet que luego se usa para ataques DDoS.

2013 vio un ataque en aproximadamente 2,500 sitios web de WP al explotar Pingback , según lo informado por Gur Schatz en Incapsula. Los sitios web no se vieron comprometidos ni asumidos, simplemente se usaron para crear una botnet voluntaria.

PC local y seguridad de red

Incluso si su sitio web de WordPress está bien protegido a nivel de servidor y tiene su aplicación actualizada, mantener su PC local y su red segura disminuye el riesgo de que los atacantes remotos pirateen su sitio web.

Tener cualquier troyano, malware o virus en su red local aumenta notablemente las posibilidades de tener instalados keyloggers y comprometer sus credenciales para los sitios web de WP.

Mantenga todo su software actualizado, actualice a los sistemas operativos más nuevos cuando se publiquen y ejecute un software antivirus regularmente.

Resumen

No hay una respuesta definitiva a la pregunta «¿Es seguro WordPress?»

Hay un gran equipo detrás de WordPress, que trabaja las 24 horas, los 7 días de la semana, para que sea un entorno seguro para los usuarios, pero los propietarios de sitios web tienen la responsabilidad de administrar sus propios sitios web y mantenerlos actualizados. Invertir en buenos complementos y temas puede marcar una gran diferencia al desactivar la superficie de ataque.

En base a todo esto, la seguridad de WordPress depende de cuánto invierta en hacerla segura. La educación y el mantenimiento pueden marcar la diferencia, cambiando una respuesta indefinida a la pregunta de seguridad de WordPress a un absoluto ‘¡Sí!’ para ti.


La seguridad del sitio web se extiende más allá del nivel de seguridad de la aplicación: los actores maliciosos pueden encontrar diferentes formas y puertas de acceso a su sitio web. Manténgase protegido integrando la API SecurityTrails a sus aplicaciones y podrá analizar todos los datos que comparte públicamente con sus registros de WHOIS para evitar futuros ataques. Obtenga su API gratuita aquí .

Deja una respuesta

Do NOT follow this link or you will be banned from the site!