WordPress es uno de los principales sistemas de gestión de contenidos (CMS) desde hace más de una década. Muchos de los blogs más grandes de Internet, así como multitud de pequeños sitios individuales, funcionan con WordPress para publicar contenidos de texto, imágenes y vídeo.
Un sitio web WordPress tiene una interfaz front-end y otra back-end. El front-end proporciona una salida que los visitantes externos verán cuando carguen la página web. El back-end es accesible para los administradores del sitio y el personal responsable de redactar, diseñar y publicar contenidos.
Como cualquier otro sistema basado en Internet, WordPress es objetivo de intentos de pirateo y otras formas de ciberdelincuencia. Esto tiene sentido, ya que más del 32% de Internet funciona ahora con WordPress. En este artículo, analizaremos algunos de los ataques más comunes contra el software de WordPress y, a continuación, ofreceremos algunas sugerencias de seguridad.
Métodos para ataques comunes a WordPress
En primer lugar, veamos los ataques más comunes que pueden sufrir los propietarios de WordPress.
1. Inyección SQL
La plataforma CMS WordPress se basa en una capa de base de datos que almacena información de metadatos y otra información administrativa. Por ejemplo, una base de datos típica de WordPress basada en SQL contiene información de usuario, información de contenido y datos de configuración del sitio.
Cuando un pirata informático realiza un ataque de inyección SQL, utiliza un parámetro de solicitud, ya sea a través de un campo de entrada o una URL, para ejecutar un comando de base de datos personalizado. Una consulta «SELECT» permite al pirata informático ver información adicional de la base de datos, mientras que una consulta «UPDATE» le permite modificar realmente los datos.
En 2011, una empresa de seguridad de redes llamada Barracuda Networks fue víctima de un ataque de inyección SQL. Los piratas informáticos ejecutaron una serie de comandos en todo el sitio web de Barracuda y finalmente encontraron una página vulnerable que podía utilizarse como portal a la base de datos principal de la empresa.
2. Secuencias de comandos en sitios cruzados
Un ataque de cross-site scripting, también conocido como XSS, es similar a la inyección SQL y acepta que se dirige a los elementos JavaScript de una página web en lugar de a la base de datos que hay detrás de la aplicación. Un ataque exitoso podría comprometer la información privada de un visitante remoto.
Con un ataque XSS, el pirata informático añade código JavaScript a un sitio web a través de un campo de comentarios u otra entrada de texto y, a continuación, ese script malicioso se ejecuta cuando otros usuarios visitan la página. El JavaScript fraudulento suele dirigir a los usuarios a un sitio web fraudulento que intentará robar su contraseña u otros datos identificativos.
Incluso sitios web populares como eBay pueden ser blanco de ataques XSS. En el pasado, los piratas informáticos han conseguido añadir código malicioso a las páginas de productos y convencer a los clientes para que se registraran en una página web falsa.
3. Inyección de comandos
Las plataformas como WordPress funcionan en tres capas principales: el servidor web, el servidor de aplicaciones y el servidor de bases de datos. Pero cada uno de estos servidores se ejecuta en hardware con un sistema operativo específico, como Microsoft Windows o Linux de código abierto, y eso es un área potencialmente vulnerable separada.
Con un ataque de inyección de comandos, un hacker insertará información maliciosa en un campo de texto o URL, de forma similar a una inyección SQL. La diferencia es que el código contiene un comando sólo reconocido por los sistemas operativos, como el comando «ls». Cuando se ejecuta, se muestra una lista de todos los archivos y carpetas del servidor anfitrión.
Algunas cámaras de Internet parecen ser especialmente vulnerables a los ataques de inyección de comandos. Su firmware puede exponer falsamente la configuración del sistema a usuarios remotos cuando se emite un comando fraudulento.
4. Inclusión de archivos
Los lenguajes de programación habituales en Internet, como PHP y Java, permiten a los programadores hacer referencia a archivos y scripts externos desde el propio código. El comando include es el nombre genérico de este tipo de actividad.
En determinadas situaciones, un pirata informático puede manipular la URL de un sitio web para comprometer la sección include del código y obtener acceso a otras partes del servidor de aplicaciones. Se ha descubierto que algunos plug-ins para la plataforma WordPress son vulnerables a ataques de inclusión de archivos. Cuando se producen estos hackeos, el infiltrado puede obtener acceso a todos los datos del servidor de aplicaciones principal.
Consejos para protegerse
Ahora que ya sabe lo que debe tener en cuenta, aquí tiene algunas formas sencillas de mejorar la seguridad de su WordPress. Obviamente, hay muchas más formas de asegurar su sitio que las que se enumeran a continuación, pero estos son métodos relativamente sencillos para empezar que proporcionan unos beneficios impresionantes a los hackers que se ven frustrados.
1. Conseguir un buen anfitrión
La plataforma WordPress puede ejecutarse desde un servidor local o gestionarse a través de un entorno de alojamiento en la nube. Para mantener un sistema seguro, se prefiere la opción alojada. Los mejores hosts de WordPress del mercado ofrecen cifrado SSL y otras formas de protección de la seguridad.
Al configurar un entorno WordPress alojado, es crucial habilitar un cortafuegos interno que proteja las conexiones entre el servidor de aplicaciones y otras capas de la red. Un cortafuegos comprueba la validez de todas las solicitudes entre capas para garantizar que sólo se permite procesar las solicitudes legítimas.
2. Mantener actualizados los temas y plug-ins
La comunidad de WordPress está repleta de desarrolladores externos que trabajan constantemente en nuevos temas y plug-ins para aprovechar la potencia de la plataforma CMS. Estos complementos pueden ser gratuitos o de pago. Los plug-ins y temas deben descargarse siempre directamente del sitio web WordPress.org.
Los plug-ins y temas externos pueden ser peligrosos porque contienen código que se ejecuta en su servidor de aplicaciones. Confía sólo en los complementos que procedan de una fuente y un desarrollador fiables. Además, debe actualizar regularmente los plug-ins y temas, ya que los desarrolladores publicarán mejoras de seguridad.
En la consola de administración de WordPress, la pestaña «Actualizaciones» se encuentra en la parte superior de la lista del menú «Panel de control».
3. Instale un antivirus y una VPN
Si utiliza WordPress en un entorno local o dispone de acceso total al servidor a través de su proveedor de alojamiento, asegúrese de que su sistema operativo tiene activado un antivirus potente. Herramientas gratuitas para escanear su sitio WordPress, como Virus Total, comprobarán todas las fuentes en busca de vulnerabilidades.
Cuando se conecte a su entorno WordPress desde una ubicación remota, debe utilizar siempre un cliente de red privada virtual (VPN), que garantiza que toda la comunicación de datos entre su equipo local y el servidor está totalmente cifrada.
4. Bloqueo contra ataques de fuerza bruta
Uno de los ataques más populares y comunes contra WordPress adopta la forma de los llamados ataques de fuerza bruta. Esto no es más que un programa automático lanzado por un hacker en la «puerta principal». Se sienta allí y prueba miles de combinaciones de contraseñas diferentes y a menudo tropieza con las correctas para que merezca la pena.
La buena noticia es que existe una forma sencilla de impedir la fuerza bruta. La mala noticia es que demasiados propietarios de sitios web no aplican la corrección. Echa un vistazo al cortafuegos y seguridad WP todo en uno. Es gratuito y permite establecer un límite estricto para los intentos de inicio de sesión. Por ejemplo, después de tres intentos, el complemento bloquea el sitio por esa dirección IP durante un periodo de tiempo preestablecido contra nuevos inicios de sesión. También recibirá una notificación por correo electrónico de que se ha activado la función de bloqueo.
5. Autenticación de dos factores
Este cómodo método para proteger su sitio web depende del hecho de que es poco probable que un pirata informático pueda hacerse con el control de dos de sus dispositivos al mismo tiempo. Por ejemplo, un ordenador Y un teléfono móvil. La autenticación de dos factores (2FA) convierte el inicio de sesión en su sitio web en un proceso de dos pasos. Como de costumbre, te conectas de la forma habitual, pero luego se te pide que introduzcas un código adicional que se envía a tu teléfono.
Inteligente, ¿verdad? Este paso adicional aumenta exponencialmente la seguridad de su sitio al separar el inicio de sesión en varios pasos. Echa un vistazo a esta lista de plug-ins gratuitos que te ayudarán a configurar 2FA. Los piratas informáticos que pensaban manipular su sitio probablemente ya hayan cambiado de opinión.
Conclusión
Aunque no existe un sitio web 100% seguro, hay muchas medidas que puede tomar para proteger su sitio web. Utilizar un buen cortafuegos, mantener actualizados los temas y plug-ins y realizar periódicamente un análisis antivirus puede ser de gran importancia.
Puede ser útil pensar en la seguridad de los sitios web como un eterno proceso iterativo. Puede que nunca llegue un momento en el que se dé un paso atrás y se piense que todo está «terminado», porque el juego entre piratas informáticos y defensores de los sitios web nunca se detendrá, e incluso los actores en línea oficialmente autorizados entrarán en el negocio de la vigilancia en línea. Sólo manteniéndose al corriente de las últimas amenazas y combatiéndolas podrá mantener la ciberseguridad y la privacidad en línea.
Es lamentable que el mundo tenga que ser así, pero acéptalo y sigue adelante. Si nunca lo ha hecho antes, ahora sería un buen momento para encontrar algunos sitios respetados de noticias sobre ciberseguridad. Suscríbase a su boletín o, al menos, visítelo con regularidad. Para empezar, busque en Google (o en el motor de búsqueda que prefiera) «noticias sobre ciberseguridad».
¿Tiene alguna pregunta o más consejos que añadir? Déjenos un comentario.
