Si te dedicas a trabajar con WordPress, seguramente inviertes mucho tiempo en crear y cuidar el contenido que quieres mostrar. Pero ¿qué tanto tiempo inviertes en proteger tu página web?
De acuerdo a un reporte de Kasperky Lab, en 2017 se recibieron 33 ataques de malware por segundo en América Latina. Por esta razón, es importante que tomes las precauciones necesarias para disminuir el riesgo de sufrir uno.
En este artículo conocerás las vulnerabilidades más comunes que los hackers aprovechan para atacar sitios web desarrollados con WordPress. Y te daremos algunas recomendaciones que puedes seguir para proteger tu página web.
Vulnerabilidad en los plugins
Es probable que hayas instalado algún plugin para brindar alguna funcionalidad adicional a tu WordPress.
Debes tener cuidado con el plugin que instalas, ya que los hackers aprovechan cualquier vulnerabilidad en la seguridad de estos. Pueden obtener acceso a los archivos del WordPress, al servidor donde se aloja el servicio o incluso ¡a la red de la empresa!
De acuerdo a un artículo publicado por Sucuri durante 2017, uno de los ataques más mencionados fue SQL Injection. Este ataque ocurrió por medio del popular plugin Statistics. Este plugin permite a los administradores de un sitio WordPress obtener información detallada sobre la cantidad de usuarios online, la cantidad de visitantes y estadísticas sobre las páginas. La vulnerabilidad encontrada fue en la función wp_statistics_searchengine_query(). Esta función no verifica los privilegios adicionales permitiendo a los visitantes de los sitios web ejecutar el shortcode e inyectar código malicioso a sus atributos.
Sucuri decidió reportar de forma privada la vulnerabilidad a los desarrolladores del plugin Statistics, y los mismos la repararon en la versión 12.0.8 del plugin.
Para reducir este riesgo te recomendamos:
- Restringir el control de acceso a los usuarios y conceder sólo los permisos necesarios a cada uno.
- Utilizar solamente los plugins que tu web necesite.
- Analizar la web por indicadores de compromiso o de software obsoleto. Puedes utilizar WP Scan.
- Mantener tu WordPress y los plugins actualizados.
Ten en cuenta, que no solo se corre el riesgo de sufrir un ataque por el uso de plugins, también se aumenta la vulnerabilidad de la página web cuando no está actualizada.
¿Por qué es importante mantener tu WordPress actualizado?
WordPress periódicamente actualiza la versión de la plataforma para ampliar la funcionalidad de la interfaz, pero sobretodo, para aplicar mejoras de seguridad.
En otro estudio realizado por Sucuri, se identificó una vulnerabilidad ubicada en la API REST de la plataforma de WordPress. La vulnerabilidad permitía a los atacantes no autenticados modificar el contenido de cualquier publicación o página del sitio.
El fallo fue corregido en WordPress 4.7.2, pero el equipo de WordPress no reveló públicamente la existencia de la vulnerabilidad, hasta una semana después. El motivo detrás de la demora fue estratégico, para dar tiempo suficiente a que un gran número de usuarios pudiese instalar la actualización.
Para que esto no te suceda, te recomendamos consultar periódicamente la página de WordPress.org. Ahí se publican las actualizaciones con la descripción de arreglos y mejoras de acuerdo con cada versión.
Nadie está exento de sufrir un ataque cibernético. Por esta razón, también te recomendamos usar alguna plataforma que brinde servicio completo de seguridad para tu página web.
En BlueTide Web Consulting recomendamos contar siempre con las últimas actualizaciones para tu WordPress y todos los plugins que estés utilizando. Si es posible, debes implementar un servicio de Web Application Firewall (WAF) como el de Sucuri o Amazon CloudFront para activamente detectar y bloquear intentos de hackers. También recuerda que nunca está de más tener un backup de todo tu sitio web.
https://bluetide.dev/blog/conoce-mejor-amigo-wordpress/