Si bien es el CMS más popular de la galaxia, WordPress no está exento de inconvenientes, muchos de los cuales están relacionados con la seguridad. La buena noticia es que no necesita ser un genio de la tecnología para mantener su sitio web a salvo de la mayoría de las amenazas.
Para ser justos, muchas de las fallas de seguridad comúnmente asociadas con WordPress no son culpa del software principal, sino de programas de terceros, como complementos y temas. Aquí hay cinco vulnerabilidades comunes de WordPress a tener en cuenta.
1. Ataques de fuerza brutal: Este método se enfoca simplemente en ingresar diferentes combinaciones de ID de usuario y contraseñas en la pantalla de inicio de sesión hasta que se detecta una combinación exitosa. Hoy en día, los piratas informáticos utilizan software automatizado para hacer el trabajo sucio por ellos: se pueden probar millones de posibilidades en poco tiempo. De ahí el término fuerza bruta.
Incluso si un pirata informático nunca encuentra la combinación exacta necesaria para ingresar a su sitio, la naturaleza del ataque puede ejercer una gran presión sobre los recursos del servidor. Si bien WordPress no restringe los intentos de inicio de sesión de forma predeterminada, la activación de dicha respuesta debería detener rápidamente un ataque de fuerza bruta en curso.
2. Proteja su código PHP: Quizás el siguiente método más popular para acceder a su sitio de WordPress es habilitar archivos. PHP es el código que ejecuta un sitio web, por lo que se puede decir que es muy importante. También se puede decir que un pirata informático experimentado que encontró un código débil y logró cargar sus propios archivos remotos en su sitio web probablemente acaba de arruinar su día.
Este es un problema que radica en el código fuente del software. Afortunadamente, los desarrolladores de WordPress lanzan con frecuencia actualizaciones que solucionan los problemas de PHP cuando se encuentran. Es una buena idea actualizar a la última versión tan pronto como sea posible.
3. Inyección SQL: Para comprender el daño potencial causado por la inyección SQL, debe saber que su instalación de WordPress se ejecuta en una base de datos MySQL. Si un pirata informático puede acceder a esta base de datos por cualquiera de varios métodos, acaba de acceder a sus datos. Esta inyección SQL se puede usar para agregar nuevos datos que contengan enlaces a sitios de spam.
Esto es algo que ves MUCHO en Internet y tan pronto como eliminas los datos ofensivos, vuelve a aparecer. ¿Irritante? ¡Sí! ¿Puedes prevenirlo? ¡Sí! Siempre limpie los datos que se remontan a alguien que completa los campos de su sitio.
4. Scripts entre sitios: Los complementos son los principales culpables de este tipo de brecha de seguridad relacionada con WordPress. Como la mayoría de los complementos son de terceros, no podemos culpar exactamente a los desarrolladores de WordPress por esta debilidad. Las secuencias de comandos entre sitios funcionan inyectando código malicioso en el sitio visitado por la víctima.
Una fuente fácil es la sección de comentarios. El navegador de la víctima detecta el código incorrecto y se ejecuta. En este punto, el pirata informático trabaja en segundo plano para hacerse pasar por usted mediante el uso de cookies del navegador, poniendo en riesgo casi todo, incluidas las cuentas bancarias.
5. Software malicioso: Si bien hay miles de ejemplos de malware en línea que son una vulnerabilidad común de WordPress, cuatro son, con mucho, los más comunes en WordPress: puertas traseras, piratería farmacéutica, redireccionamientos maliciosos y descargas ocultas. Eche un vistazo a los archivos modificados recientemente si sospecha que se trata de una infección de malware.
Este tipo de problema suele ser fácil de solucionar. Primero intente eliminar el archivo incorrecto. Si eso no funciona, reinstale WordPress o vuelva a una versión anterior antes de que ocurra la infección.
Mejores prácticas de seguridad de WordPress
Una forma de evitar el dolor de cabeza de violar su sitio de WordPress es rechazar Internet y nunca volver a conectarse a Internet mientras esté vivo. Otra forma, menos drástica, es implementar lo siguiente:
Contraseñas seguras: Haga que todas las contraseñas largas (más de 6 caracteres) sean únicas y cámbielas cada seis meses.
Enchufe de seguridad: Un buen complemento de seguridad hará que su sitio web funcione rápidamente con la configuración básica recomendada.
Autenticación de dos factores: Si bien agrega otro paso al proceso de inicio de sesión, la autenticación de dos factores prácticamente detiene los ataques de fuerza bruta al requerir, además del ID de usuario y la contraseña, un código sensible al tiempo entregado desde otro dispositivo (como un teléfono inteligente).
Actualizar, actualizar y actualizar: Acostúmbrese a revisar su tablero de WordPress cada vez que inicie sesión para ver si hay actualizaciones disponibles relacionadas con su instalación, complementos o temas básicos de WordPress. Esta práctica garantiza que siempre tenga disponibles los errores más recientes y el código libre de seguridad.
Analizar en busca de malware: El software malicioso es astuto. A veces no lo notas enseguida. Un buen complemento de seguridad proporcionará la capacidad de realizar escaneos regulares. Aprovéchate de ello.
Elige un buen anfitrión: Esta es una de las vulnerabilidades más comunes de WordPress. Si bien la tentación de gastar lo menos posible es casi irresistible, uno de los primeros lugares en los que un sitio web con una bala baja reducirá costos es cuando se trata de seguridad. Cree un presupuesto para alojamiento de alta calidad, con buen soporte de seguridad y fácil instalación de WordPress. Si no has estudiado en beneficios de seguridad y privacidad relacionado con una red privada virtual (VPN) puede valer su tiempo.
Copia de seguridad – Siempre: A veces, a pesar de las mejores intenciones, un hacker determinado corrompe su sitio web. Luego, se agradecerá la anticipación de realizar copias de seguridad con regularidad y almacenarlas fuera del sitio con la capacidad de restauración.
La línea de fondo
No tenga miedo de usar WordPress como CMS en su blog, sitio web o tienda de comercio electrónico. Millones de personas hacen esto todos los días y están felices con su elección. Al igual que cualquier otra entidad en línea, WordPress tiene problemas de seguridad.
El truco consiste en aprender cuáles son, tomar medidas para evitar la piratería y reaccionar rápidamente cuando algo sale mal. ¡Buena suerte!
