¿Cómo asegurarse de que su sitio web de WordPress sea seguro?


Hace dos o tres décadas, el robo se limitaba al allanamiento de morada para robar el efectivo o los objetos de valor de alguien. Los que serían los ladrones y los que traían travesuras de hoy, toman la forma de hackers. Cualquiera que encuentre y explote vulnerabilidades en el software con fines de beneficio personal o por razones políticas.

Antes de comenzar, debe saber que este artículo no entra en el meollo de la seguridad de WP, sino que analiza las causas de las vulnerabilidades de WordPress. Si eso no es lo que está buscando, le sugiero que lea – “Fortalecimiento de la seguridad de WordPress: una guía completa para proteger los sitios de WordPress”. Sin embargo, debo afirmar que comprender la naturaleza de las vulnerabilidades de WP en el pasado proporciona una gran comprensión de cómo puede garantizar los protocolos de seguridad de su sitio web.

¿Por qué la gente irrumpe en sitios web y centros de datos? Irrumpir en sitios web que contienen información de clientes, ID de correo electrónico, números de tarjetas de crédito, etc. es más rentable que robar un banco. Si tiene un sitio web razonablemente exitoso, estoy seguro de que ya se han realizado cientos, si no miles, de intentos para obtener acceso a la información de su sitio web.

Más recientemente, AshleyMadison.com fue pirateado y se han robado los detalles de 37 millones de usuarios. Los piratas informáticos han exigido que se cierre el sitio web, de lo contrario, divulgarán los detalles de la información del usuario robada, incluidas las fantasías sexuales. Esto le da una idea del tipo de destrucción que puede causar un pirata informático simplemente obteniendo acceso a la información.

La seguridad web es un tema muy importante y cada vez más relevante dada la cantidad de sitios web que aparecen para recopilar información personal de sus usuarios.

Hasta el 65% de la web se ejecuta con WordPress como sistema de gestión de contenido, por lo que hoy hablaré sobre la seguridad de WordPress y cómo los sitios de WP han sido atacados o pirateados en el pasado.

¿Por qué invertir en buenas prácticas de seguridad?

  • Se lo debe a sus clientes y clientes que le confían información personal confidencial para mantenerla segura.
  • Su sitio es pirateado: pierde dinero.
  • Su sitio es pirateado: las clasificaciones de sus motores de búsqueda hacen un viaje casi de ida al infierno.

Los sitios web de WordPress son pirateados por miles, si no cientos de miles. No todos los sitios web informan del hecho de que han sido pirateados en el pasado. No es un gran respaldo para su marca como puede imaginar.

Me gustaría arrojar algo de luz sobre la necesidad de este artículo sobre seguridad de WordPress.

Según un estudio, compartido por Sandro Gucci (fundador de Enable Security).

  • El 73,2% de las instalaciones de WordPress más populares son vulnerables a vulnerabilidades que pueden detectarse utilizando herramientas automatizadas gratuitas.
  • Solo 7.814 sitios web (18,55%) se actualizaron a WordPress 3.6.1, esta era la última versión de WP cuando se realizó la prueba.
  • 13.034 sitios web (30,95%) seguían ejecutando una versión vulnerable de WordPress, la versión 3.6. WordPress 3.6 tenía 5 vulnerabilidades conocidas en ese momento.

Y si se estuviera preguntando, bueno, esto es solo una caracterización generalizada injusta de pequeños sitios web desconocidos en algún lugar de la web oscura, se equivocaría. Las estadísticas se elaboraron a partir de un estudio de aproximadamente 42.000 sitios web de WordPress en los sitios web Top One Million de Alexa. Esa es una gran cantidad de sitios web vulnerables para supuestamente los sitios web más visitados en la web. Estos sitios web recopilan una gran cantidad de información sobre sus visitantes y suscriptores.

Las estadísticas eran verdaderas como en septiembre de 2013, no creo que se hubiera desviado mucho desde entonces e incluso si lo ha hecho, las estadísticas que se muestran aquí muestran la escala de los problemas de seguridad que afectan a WordPress.

Si desea obtener más pruebas que demuestren que WordPress puede verse comprometido. Te remito a un estudio de Netcraft,

  • En febrero de 2014, había 12.000 blogs de WordPress que servían como plataformas para sitios de phishing.
  • Más del 8% de todas las URL de malware bloqueadas por Netcraft para distribuir malware alojado en la web eran blogs de WordPress.

Debo señalar que ninguno de esos blogs se ejecutó en Automattic wordpress.com. Esto debería ilustrar bastante claramente que incluso WordPress, si no se usa con precaución y algunos conocimientos de seguridad de WP, puede ser vulnerable. Otra razón para esto puede estar relacionada con el hecho de que todos los blogs alojados en wordpress.com se actualizan casi tan pronto como se publican las actualizaciones de WordPress. Cabe señalar que desde entonces se introdujeron actualizaciones automáticas de WordPress en la versión 3.7 de WP para proteger los sitios web contra los ataques de día cero.

E incluso después de eso, ha habido una serie de problemas de seguridad que han afectado a WordPress. Consulte esta lista de vulnerabilidades de WordPress en diferentes versiones de la plataforma.

Ahora no hay nada que pueda hacer para evitar que esto suceda, casi siempre se descubrirán nuevas vulnerabilidades. Obviamente, el equipo central de WP se ha tomado la seguridad muy en serio y ha hecho que WordPress sea mucho más seguro.

Pero al igual que con cualquier otro software popular, explotar las vulnerabilidades se vuelve más rentable cuando más personas comienzan a usarlas.

¿No confías en mí? Si cree que de alguna manera WordPress se liberará repentinamente de todas las vulnerabilidades, ¡consulte este gráfico!

wordpress-vulnerabilites-over-years

Si bien la cantidad de vulnerabilidades ha disminuido con el tiempo desde sus máximos en 2007 y 2014, el incentivo para descubrir nuevas vulnerabilidades y explotar está siempre en aumento dada la creciente rentabilidad debido a la creciente popularidad de WordPress.

WordPress puede ser seguro desde el primer momento, pero después de agregar tantos complementos / temas y código personalizado, el número de vulnerabilidades comienza a crecer rápidamente.

Dicho esto, podemos hacer pequeños cambios en su WordPress, para hacerlo mucho más seguro. Primero, necesitamos tener un conocimiento profundo de la seguridad de WordPress, esto es muy útil para descubrir las causas de las fallas en la seguridad.

Es posible que se sorprenda al saber que, en muy raras ocasiones, la plataforma central de WP tiene la culpa en los casos de violaciones de seguridad. Es mucho más probable que algo que haya agregado a su WP cree una vulnerabilidad que los piratas informáticos podrían aprovechar.

¿Cómo se comprometen los sitios de WordPress?

La dificultad para garantizar una seguridad completa es que no existe tal cosa.

Suponiendo que su WordPress es completamente seguro, todavía tiene su Apache, cliente FTP, MySQL y cualquier software que se ejecute en su servidor del que tenga que preocuparse. Su sitio web es tan seguro como su enlace más débil. Y eso incluye la calidad del software de su anfitrión, los temas y complementos en los que operan sus sitios web.

Ojalá tuviera estadísticas más recientes, también puedo señalarles, pero este estudio presentado como una infografía en el blog de WpWhiteSecurity proporciona una gran cantidad de información sobre cómo se piratean los sitios web de WordPress y qué los hace vulnerables.

El estudio se realizó en base a información de 170.000 sitios web que fueron pirateados en 2012. Un aumento del 18% en la cantidad de piratas respecto al año anterior (2012), lo curioso es que la cantidad de vulnerabilidades no aumentó en el mismo porcentaje. Pero incluso un pequeño aumento en las vulnerabilidades afecta a muchos más sitios web, debido al mayor uso de WordPress y productos basados ​​en WordPress.

  • El 41% de WordPress pirateado fue pirateado a través de una vulnerabilidad de seguridad en su plataforma de alojamiento.
  • El 29% fueron pirateados a través de un problema de seguridad en el tema de WordPress que estaban usando.
  • El 22% fueron pirateados por un problema de seguridad en los complementos de WordPress que estaban usando.
  • El 8% fueron pirateados porque tenían una contraseña débil.
  • De lo anterior, podemos concluir que más del 51% de los sitios de WordPress pirateados fueron pirateados a través de una vulnerabilidad en los temas o complementos de WordPress que estaban usando.

Una abrumadora mayoría de los ataques se produjeron como resultado de la instalación de software en forma de complementos, temas y porque los proveedores de servicios de alojamiento web no pudieron reforzar adecuadamente la seguridad en el extremo del servidor.

No tiene sentido discutir las medidas para proteger su sitio web, antes de abordar cuáles son las buenas opciones que tiene en términos de seguridad cuando se trata de alojamiento, temas y complementos. Y definitivamente discutiré cómo puede encontrar un buen software de terceros y un alojamiento seguro para su sitio web, antes de comenzar a recomendar medidas de seguridad específicas para fortalecer la seguridad de WP.

Conclusión

Los sitios web de WordPress rara vez son vulnerables debido a errores en el código central del sistema de gestión de contenido. Pero un sitio web no funciona únicamente en función del sistema de gestión de contenido, sino que requiere un servidor web para alojar el CMS en la web, temas para que sea elegante y complementos para agregar las funciones necesarias. Ahora, agregar múltiples capas de software de terceros a su instalación de WordPress comienza a hacer que su seguridad sea un poco porosa, si no se hace correctamente.

Su núcleo de WordPress, los complementos y temas y el servidor web deben comunicarse para mantener su sitio de WordPress en funcionamiento. Esta interacción a veces tiene fallas y hace que los sitios web sean vulnerables.

Seguro que el 8% de los sitios web pueden verse comprometidos debido a contraseñas débiles, pero hay una cantidad abrumadora de evidencia que sugiere que agregar complementos / temas mal escritos o un servidor web que se ejecuta en software desactualizado es la causa principal de un gran porcentaje de todos los sitios web de WordPress. pirateado o cerrado.

Ahora que hemos establecido algo de claridad con respecto a las causas de las vulnerabilidades de WordPress, como parte de la próxima publicación de la serie WP Security, discutiré los pasos que debe seguir para reforzar la seguridad de WordPress.

Si alguna vez su sitio de WordPress ha sido comprometido por un hack o ha sido víctima de un ataque DDOS, comparta los detalles. O Aigars o yo intentaremos solucionar el problema, si está dentro de nuestras competencias. Saludos 🙂

Deja un Comentario