¿Su sitio de WordPress está en riesgo de ser atacado? Debido a la pandemia, la migración de consumidores a las tiendas en línea se ha disparado. Y también los riesgos de los ciberataques.
Por Nick Brogden Editado por Dan Bova
Este artículo fue traducido de nuestra edición en inglés.
Las opiniones expresadas por los colaboradores de Entrepreneur son personales
En octubre pasado, el equipo de seguridad de WordPress utilizó una función interna para enviar una actualización de seguridad a un complemento popular. Muchos desconocían la capacidad de impulsar una actualización a la fuerza, incluso entre los desarrolladores experimentados.
El error encontrado en el complemento Loginizer, utilizado por más de un millón de sitios, se clasificó como uno de los peores problemas de seguridad que afectan a un complemento de WordPress en la memoria reciente, razón por la cual el equipo de seguridad de WordPress consideró que la acción era necesaria.
No todos apreciaron el enfoque proactivo de WordPress, los usuarios se quejaron en el foro de Loginzer y en el sitio de WordPress.org. Algunos se sorprendieron al saber que incluso era posible actualizar un complemento con actualizaciones automáticas deshabilitadas. Los usuarios también se quejaron en 2015, después de que WordPress usó por primera vez la función de actualización forzada.
Relacionado: Dé un cambio de imagen a su sitio de WordPress con 80 actualizaciones de marketing premium
WordPress decidió implementar una solución de seguridad para frustrar un error de inyección de SQL peligroso que se encuentra en el complemento. La vulnerabilidad podría haber permitido a los piratas informáticos hacerse cargo de los sitios de WordPress utilizando versiones obsoletas de Loginizer, que irónicamente proporciona mejoras de seguridad para la página de inicio de sesión de WordPress.
Actualización de WordPress
Aproximadamente dos semanas después, WordPress lanzó la versión de seguridad y mantenimiento de WordPress 5.5.2 para el núcleo de WordPress. Esta actualización contiene diez correcciones de seguridad y WordPress recomienda a todos los usuarios que actualicen sus sitios de inmediato.
A partir de 2016, WordPress impulsó aproximadamente el 34% de los 1.200 millones de sitios web en Internet. Un sistema de gestión de contenido (CMS), WordPress es el preferido por los desarrolladores web con niveles de habilidad básicos y avanzados, principalmente debido a su facilidad de uso. Con tantas instalaciones, es un objetivo constante para los ciberdelincuentes, y los propietarios de sitios de todo el mundo han sido víctimas de una serie continua de ataques de fuerza bruta y otros tipos de ataques. Estas actualizaciones de seguridad periódicas de WordPress son fundamentales para mantener estos sitios seguros y disponibles.
Ecosistema de WordPress
WordPress no solo atrae a piratas informáticos nefastos, sino que también atrae a emprendedores. Empresas como Astra, iThemes, Sucuri y Bullet han construido sus negocios para resolver problemas de seguridad para los propietarios de sitios web de WordPress.
Junto con la facilidad de uso de este popular CMS, viene una personalización simple. Independientemente del tipo de sitio que desee crear, existe un complemento para proporcionar personalización lista para usar. En el último recuento, WordPress.org enumeró más de 58,000 soluciones, pero estos complementos y temas suelen ser el punto de entrada para los ataques.
WordPress, los complementos y los temas suelen ser vulnerables a:
Ataques de fuerza bruta: ingrese diferentes combinaciones de nombre de usuario y contraseña hasta obtener la entrada.
Cross-Site Scripting: los piratas informáticos atraen a las víctimas a un sitio que contiene códigos JavaScript maliciosos.
Inclusiones de archivos: explotación de vulnerabilidades en el código PHP de WordPress.
Malware: código inyectado en el sitio para facilitar, por ejemplo, redireccionamientos no autorizados o permitir el acceso de alto nivel a su cuenta de alojamiento.
Inyecciones SQL: los atacantes buscan bases de datos no seguras y acceden a ellas mediante inyecciones MySQL, lo que les da control sobre todos los datos y les permite crear cuentas de administrador o insertar contenido en la base de datos, como enlaces a otros sitios que contienen malware.
Relacionado: esta guía experta para crear un sitio de WordPress de calidad profesional
¿Por qué está en riesgo su sitio web de WordPress?
La mayoría de los sitios web de WordPress (todos los sitios web) son vulnerables porque los desarrolladores y propietarios de sitios web no ejercen las mejores prácticas en lo que respecta a la seguridad. Las contraseñas deficientes son un punto principal de vulnerabilidad y se abordan rápidamente, sin embargo, miles de sitios cada día son violados debido a contraseñas débiles y fáciles de adivinar.
Contraseñas simples
Para impedir los ataques de fuerza bruta, cree contraseñas complicadas utilizando 12 o más caracteres, mezclando símbolos, letras y números, y asegurándose de que la contraseña sea única para su sitio de WordPress. Las aplicaciones de bóveda de contraseñas como LastPass y 1Password facilitan esta tarea.
Sin autenticacion
La autenticación multifactor proporciona una capa adicional de seguridad que, cuando se agrega a otras mejores prácticas, ayudará a evitar que los piratas informáticos accedan a su sitio web. Existen varias aplicaciones, como Google Authenticator para su dispositivo móvil, para autenticar los intentos de acceso autorizados.
Complementos y temas no utilizados
Otros puntos de entrada para los sitios web de WordPress son complementos y temas obsoletos. Aunque los sitios funcionan más rápido con menos complementos, muchos propietarios de sitios web instalan complementos, los prueban y luego eligen no utilizar la función que ofrecen. Los complementos abandonados se quedan atrás y las actualizaciones se ignoran. Con el tiempo, los sitios web pueden acumular docenas de complementos y temas no utilizados.
Tenga cuidado al instalar nuevos complementos y temas. Descargue siempre de sitios web confiables como ThemeForest , CodeCanyon y WordPress.org. Use menos complementos eligiendo aquellos con múltiples funciones en lugar de varios complementos de una sola función.
Elimine temas iniciando sesión en su cuenta de alojamiento o utilizando un software FTP. Además, verifique la base de datos para ver si hay huérfanos de tabla creados por complementos que ya no usa.
Sin complemento de seguridad
Cada sitio debe tener un complemento de seguridad, y hay muchos buenos. Ésta es su primera línea de defensa en caso de que los piratas informáticos intenten acceder a su sitio. A menudo encontrará Sucuri, iThemes Security, All In One WP Security & Firewall, BulletProof Security, Jetpack, SecuPress, Cerber Security y Wordfence en las listas de los diez primeros junto con otras opciones menos conocidas.
Sin seguridad de alojamiento
Muchas empresas de hosting tienen funciones de seguridad incluidas o disponibles como servicio adicional. Configure el software (y su complemento de seguridad de WordPress) para escaneos regulares (todos los días no es muy frecuente) y para alertarlo de cualquier anomalía.
Un plan de respaldo
Si bien todos los propietarios de sitios web deben seguir las mejores prácticas de seguridad, aún existe la posibilidad de que un sitio sea pirateado. Los planes de respaldo son a prueba de fallas cuando todo lo que puede salir mal lo hace. Habilite copias de seguridad periódicas según la frecuencia con la que realice cambios en el sitio. Si es una tarea diaria, cree copias de seguridad diarias. Guárdelos fuera del sitio y conserve el valor de una semana en caso de que no descubra un ataque de inmediato y necesite retroceder varios días para encontrar una copia de seguridad limpia.
Los desarrolladores detrás de WordPress trabajan incansablemente para mantener los sitios web seguros, pero los propietarios deben asumir la responsabilidad de garantizar que su software esté actualizado y las contraseñas sean seguras. De la misma manera que WordPress ha facilitado el desarrollo de sitios, también ha facilitado la seguridad. Instale actualizaciones, use contraseñas complicadas, agregue autenticación y programe copias de seguridad para mantener su sitio funcionando y ganando dinero.