Las seis principales amenazas de seguridad de WordPress y sus soluciones

Publicado: 2020-12-16

WordPress es el sistema de gestión de contenido (CMS) más popular de la actualidad. Como el CMS mejor calificado, WordPress impulsa el 34% de Internet. Es una plataforma inteligente con potentes extensiones que ayudan a los propietarios de sitios a personalizar sus sitios web.

En otras palabras, WordPress domina en el ámbito de los CMS. Pero, como cualquier otro CMS, WordPress puede ser vulnerable a las amenazas de seguridad web si no se mantiene adecuadamente.

En este artículo, aprenderá sobre las últimas amenazas de seguridad web a las que se enfrenta el CMS y cómo puede lidiar con ellas como propietario de un sitio web de WordPress.

1. Software no actualizado y arquitectura subyacente

Un problema común para la seguridad de WordPress es el error humano en marcos de código débiles y no actualizados, lo que puede provocar brechas de seguridad y errores.

Aunque la verdad es que la mayoría de los problemas de seguridad de WordPress ocurren cuando se utilizan versiones anteriores de WordPress, complementos no actualizados o temas mal codificados que contienen vulnerabilidades graves. Las versiones, complementos o temas obsoletos de WordPress pueden dejarlo expuesto a ataques.

Afortunadamente, cuando surgen problemas importantes de seguridad de WordPress, el equipo de seguridad de WordPress los resuelve. El equipo también mantiene actualizado el Core y publica parches de seguridad cuando es necesario.

WordPress proporciona guías de seguridad de temas y complementos que ayudan a los desarrolladores a escribir código seguro. Pueden ayudarlo a proteger el código y todo lo que podría verse afectado por un código mal escrito.

Esta es la razón por la que ejecutar la última versión de WordPress y el software que la acompaña es crucial. Las actualizaciones aparecerán en su tablero.

Actualizaciones de WordPress

Crédito de imagen: WordPress.org

Cuando se trata de actualizaciones, gran parte del trabajo preliminar se puede realizar utilizando el proveedor de alojamiento adecuado. Nuestro socio de alojamiento administrado de WordPress, Pagely, realiza actualizaciones automáticas del Core y los complementos. Su sistema mantiene los sitios web actualizados, seguros y funcionando sin problemas.

Pagely no se apresura con actualizaciones importantes. Por lo general, esperan de dos a cinco semanas desde el nuevo lanzamiento. Eso proporciona a los desarrolladores tiempo suficiente para actualizar sus versiones principales si es necesario.

Por lo general, las versiones principales de WP contienen algunos errores aquí y allá que se corrigen en las versiones menores posteriores.

2. Complementos mal escritos

Cada complemento de WordPress debe someterse a un control de seguridad al igual que lo hace el Core. Pero ese no es siempre el caso. Hay temas y complementos “premium” anulados que se distribuyen de forma gratuita o se venden en lugares como Themeforest. Y al igual que en la era de la piratería de CD, estos "cracks" pueden infectar su sistema con código malicioso.

En la base de datos de vulnerabilidades de WPScan, encontrará los complementos que han confirmado vulnerabilidades y problemas de seguridad.

¿Quién crea estos complementos?

Los desarrolladores crean complementos para hacer de toda la comunidad de WP un lugar mejor. Sin embargo, también hay casos en los que las personas distribuyen versiones infectadas de complementos populares. Es mucho más fácil hacer que alguien instale su complemento si es popular.

Si no hay información sobre los desarrolladores que publicaron el complemento, no confíe en ellos. Es posible que el complemento que ofrecen cause daños graves a su sitio.

Secuestrando su sitio web

Secuestrar su sitio es una de las peores cosas que pueden suceder como resultado de un complemento malicioso. Se puede hacer de muchas formas, como, por ejemplo, enlazando varias funciones a la acción "wp_head" que se ejecuta cada vez que se carga una página.

Soporte y actualizaciones sospechosos

Imagínese encontrar problemas y tener que manejarlos sin el apoyo adecuado. Eso es lo que sucederá cuando no utilice complementos de un editor de renombre. Las principales señales de advertencia de los complementos son:

  • Malas críticas : las calificaciones y las reseñas son cruciales en estos días. Piense en sitios web como Airbnb o Booking, donde una mala calificación puede ser perjudicial. Lo mismo ocurre con los complementos de WordPress y sus calificaciones.
  • Código cuestionable : Examine el código y asegúrese de que todo esté como se supone que debe ser. Si no es lo suficientemente técnico, debe comunicarse con un experto para hacer esto. Es como comprar una pieza de automóvil, sin saber si se ajusta al vehículo. Sería mejor si primero le preguntara al mecánico.
  • Menos descargas : una gran cantidad de instalaciones y buenas calificaciones generalmente significan que el complemento es excelente. A menos, por supuesto, que se trate de un complemento de nicho que rara vez se utiliza y que hace algo peculiar y no necesita ser actualizado continuamente.
  • Sin documentación : lo mínimo que alguien puede hacer es proporcionar capturas de pantalla o preguntas frecuentes. Si no está disponible, no descargue el complemento.
  • Incompatibilidad de la versión : preste atención a si el complemento es compatible con su versión de WordPress.
  • Sin soporte : inspeccione las respuestas de los desarrolladores de complementos en el foro de soporte. Si no brindan respuestas concretas, no es una señal positiva.

3. Inyecciones SQL

Una de las cosas más dañinas que le pueden pasar a su sitio de WordPress es una inyección de SQL (lenguaje de consulta estructurado).

Ocurre como resultado de una entrada de usuario mal desinfectada. Al insertar fragmentos de código en la etiqueta de entrada del documento HTML, ataca la base de datos correspondiente. Con la modificación de la etiqueta de entrada, los piratas informáticos ejecutan comandos SQL y modifican la base de datos.

Eso puede suceder debido a los diversos puntos de entrada directos que existen en los sitios de WordPress. Estos incluyen formularios de registro, inicio de sesión y contacto, campos de búsqueda y carritos de compras.

Por ejemplo, tienes un formulario de contacto donde los usuarios deben ingresar su número de teléfono para enviarte el mensaje. Ese campo debe tener un límite de números y un formato definidos. Un desarrollador sin experiencia puede establecer el campo como texto sin formato. Eso abre el camino para que cualquiera pueda insertar una cadena de código malicioso.

El núcleo de WordPress no se ve afectado directamente por las inyecciones de SQL. Sin embargo, en 2017, salió un parche para detener las inyecciones de SQL que podrían afectar los complementos y temas de WordPress. Aún así, no hay forma de deshacerse de esta amenaza por completo.

Puede reducir el riesgo de inyecciones de SQL con las siguientes prácticas.

Actualice regularmente

Esté atento a las actualizaciones de WordPress. Las actualizaciones no se tratan solo del núcleo de WordPress. También debe asegurarse de que el software de su servidor subyacente también esté actualizado.

¡Ejecute siempre su sitio web con la última versión de PHP! El equipo interno de PHP creó con éxito la versión más rápida hasta ahora de PHP. La actualización también mejorará la velocidad de su sitio, tanto para usted como para sus visitantes.

Utilice complementos confiables

Sus formularios de contacto, inicio de sesión y registro son fundamentales. Con todos los complementos disponibles, a menudo es difícil elegir el correcto. Siga los consejos sobre complementos que mencionamos anteriormente. Y siempre verifique los complementos en busca de vulnerabilidades y parches anteriores antes de descargarlos.

Limitar entradas de campo

Limite los tipos de datos que se pueden ingresar en un campo. Por ejemplo, el campo de nombre solo debe permitir entradas alfabéticas. El campo de datos de teléfono o pago no debe incluir letras del alfabeto ni caracteres especiales. Eso reduciría el riesgo de una validación de datos inadecuada y una desinfección de back-end.

Cambiar el prefijo de la base de datos

Modifique el prefijo estándar de la base de datos de WordPress. De forma predeterminada, la base de datos de WordPress debe tener el prefijo "wp_". Este prefijo puede permitir la ejecución de scripts automatizados una vez que se haya implementado una inyección SQL. Cambiar el prefijo no permite que las inyecciones afecten sus datos y, en última instancia, protege su sitio web.

4. Prácticas de inicio de sesión expuestas

De forma predeterminada, WordPress no pone un límite a los intentos de inicio de sesión. Es por eso que los bots pueden realizar ataques de fuerza bruta en sus credenciales de inicio de sesión. Si usa alojamiento compartido, un ataque de fuerza bruta más severo podría provocar la suspensión de su cuenta debido a la falta de recursos del servidor.

Como primer paso para proteger su sitio web de las prácticas de inicio de sesión expuestas, le recomendamos que limite los intentos de inicio de sesión. El complemento de WordPress Limit Login rastrea el número de intentos de inicio de sesión maliciosos y evita que los usuarios los ejecuten nuevamente.

También puede agregar preguntas de seguridad para que actúen como una nueva contraseña para su sitio web. La pregunta de seguridad perfecta es algo que solo usted puede responder. Aún mejor, puede establecer una respuesta que no esté relacionada en absoluto con la pregunta. Por ejemplo, "The White Stripes" en respuesta a "¿Tu bebida favorita?".

Otra forma de proteger la página de inicio de sesión es utilizar la autenticación de 2 factores. Aparte de la contraseña principal, puede utilizar un token caduca. Incluso si los piratas informáticos conocen su contraseña, no podrán iniciar sesión sin ingresar el token completo. Para ello, puede utilizar el complemento Google Authenticator.

Autenticador de Google

Si aún cree que su contraseña es débil, puede proteger a su administrador con el complemento AskApache Password Protect. Este complemento genera un archivo htpasswd y cifra su contraseña.

Para sus contraseñas, use una combinación de caracteres especiales, letras y números. No permita el acceso a alguien a menos que sea necesario. Si ese es el caso, no olvide cambiar su contraseña después de que haya pasado la necesidad de compartir.

Asegúrese de que cada uno de los miembros de su equipo obtenga su función. Si le resulta difícil manejar demasiadas contraseñas, comience a usar un software de administración de contraseñas, como:

  • Ultimo pase
  • Dashlane
  • KeePass

Otra cosa a tener en cuenta es no utilizar nunca la contraseña de administrador de WP para otro programa. Si un pirata informático compromete al menos una de sus otras cuentas, también puede obtener su contraseña de administrador de WP. En ese caso, es como si nunca hubiera tenido esa contraseña.

5. Roles de usuario mal definidos

Si tiene un equipo completo de usuarios a los que desea asignar un rol en particular, las cosas pueden complicarse. ¡Permitir que todos tengan acceso de administrador pone en juego la seguridad de su sitio de WordPress!

Para comenzar a configurar roles, abra el panel de WordPress y vaya a Usuarios> Todos los usuarios. Aquí es donde puede agregar usuarios y asignarles roles.

usuarios de wordpress

Crédito de imagen: FirstSiteGuide

WordPress viene con diferentes funciones y capacidades de usuario de WordPress. Eso le permite asignar los niveles de acceso necesarios en lugar de asignar a todos el rol de administrador de WordPress.

Si todo un equipo está trabajando en un sitio, es mucho mejor tener cuentas de administrador separadas, en lugar de que todo el equipo use la misma cuenta de administrador. Las cuentas de administrador se pueden usar para el mantenimiento, como actualizaciones de complementos e instalaciones de temas o complementos.

Asignar roles de usuario de WordPress

Hay cinco roles de usuario de WordPress integrados: administrador, editor, autor, colaborador y suscriptor. Con estos roles, como propietario de un sitio web de WordPress, puede controlar lo que los usuarios pueden y no pueden hacer en el sitio.

Rol de administrador de WordPress : el administrador tiene acceso a todo en una instalación de WordPress. El rol puede instalar y desinstalar temas y complementos, activarlos y desactivarlos, puede crear, eliminar y modificar el resto de usuarios.

Función del editor de WordPress : los editores pueden acceder a cada contenido. Pueden cambiarlo, pero no pueden hacer nada sobre la configuración, la instalación, las funcionalidades y el diseño del sitio web.

Rol de autor de WordPress : los autores solo pueden acceder a sus publicaciones de blog. Pueden escribir y publicar sus publicaciones de blog, alterar sus publicaciones de blog existentes y modificar sus perfiles de usuario.

Rol de colaborador de WordPress : los colaboradores también pueden escribir sus publicaciones. Pero, al contrario de los autores, los colaboradores de WordPress no pueden publicar sus publicaciones. Deben ser aprobados y publicados por el editor o el administrador.

Función del suscriptor de WordPress : los suscriptores solo pueden leer el contenido del sitio web de WordPress al que están suscritos. A veces, un usuario necesita estar registrado para dejar un comentario.

6. Infraestructura de alojamiento débil

¿Sabías que más del 30% de los 10 millones de sitios web principales utilizan WordPress como su CMS? No es de extrañar que las empresas de alojamiento estén luchando por ganar tantos clientes como sea posible.

Al mismo tiempo, las empresas de hosting no tienen la misma calidad. Las soluciones de bajo precio suenan muy bien, pero lo que obtiene por el precio de $ 0,99 al mes es cuestionable.

Pagar más por un alojamiento administrado de calidad le brinda seguridad adicional, soporte 24/7, análisis de malware y más. En nuestra experiencia, no hay nada mejor en el mercado que Pagely.

hosting-pagely-wordpress

¡La seguridad está profundamente arraigada en la forma en que trabaja el equipo de Pagely! Usan un firewall de aplicaciones web dinámico (WAF) que detiene las inyecciones de código y otras vulnerabilidades. Eso reduce el riesgo de un DDoS o un ataque de fuerza bruta en su sitio web.

Pagely también utiliza la separación de usuarios chroot y el análisis de malware del sistema en tiempo real, lo que protege su sitio de amenazas como troyanos, virus, gusanos, registradores de pulsaciones de teclas, spyware y adware. Además, filtran la mayor parte del tráfico cuestionable antes de que tenga la oportunidad de pasar a sus redes.

Además, Pagely siempre estará disponible las 24 horas del día, los 7 días de la semana para ayudarlo a limpiar y restaurar su sitio web si se ve comprometido, sin cargo.

Por supuesto, un anfitrión de calidad no es barato. Es una inversión a largo plazo en su negocio que le permite dormir por la noche, sabiendo que alguien está cuidando su sitio web 24/7/365.

Terminando

Siempre existirán problemas de seguridad web. Pero la mayoría de ellos se pueden evitar implementando las mejores prácticas de WordPress y prestando atención a los posibles riesgos de seguridad en línea.

Esperamos que comprender las principales amenazas de seguridad de WordPress lo ayude a hacer que su sitio sea impenetrable. Con el conocimiento, las tácticas y los socios adecuados, puede reducir los ataques de seguridad y mantener su sitio de WordPress seguro.