Dado que controla más del 40 por ciento de la web , WordPress es un objetivo popular para los ataques. Si un pirata informático logra ingresar a un sitio web de WordPress, potencialmente tiene la clave de millones de otros, incluido el suyo.
Parte de mantener su sitio seguro es comprender los riesgos. Como propietario de un sitio web, esto puede parecer un tema abrumador. Sin embargo, una vez que sepa a qué se enfrenta, puede tomar las medidas necesarias para defender su sitio.
En este artículo, discutiremos la importancia de proteger su sitio de WordPress y exploraremos cuatro de las mayores amenazas en su contra. A lo largo del camino, compartiremos complementos, mejores prácticas y técnicas que pueden ayudar a proteger su sitio de cada peligro específico. ¡Empecemos!
La importancia de proteger su sitio web de WordPress
Los ciberataques están en aumento, y los especialistas en prevención de fraude Arkose Labs informaron un aumento del 20 por ciento en los ataques digitales en 2020. Durante este período, Arkose Labs también registró el nivel más alto de ataques de bots, con 1.300 millones detectados en total.
Los hackers siempre están ideando nuevas estrategias. Incluso hay evidencia que sugiere que los ciberdelincuentes están tratando de aprovechar la pandemia. El FBI informó un aumento del 300 por ciento en los delitos cibernéticos desde que comenzó el brote de COVID-19.
WordPress es mantenido por un equipo de desarrolladores altamente experimentados que trabajan arduamente para garantizar que la plataforma sea segura. Sin embargo, es bastante común que los propietarios de sitios web utilicen una variedad de complementos de WordPress y temas de terceros. Esto agrega código adicional a su sitio, lo que significa más lagunas potenciales que un pirata informático podría explotar.
Si un ciberdelincuente logra acceder a su sitio, puede causar estragos. Podrían desfigurarlo con contenido inapropiado, eliminar datos importantes o defraudar a sus clientes. Si no ha creado una copia de seguridad , es posible que descubra que un pirata informático eliminó todo su sitio, dejándolo sin esperanza de recuperar su contenido.
Esta actividad maliciosa podría resultar en una pérdida de confianza, conversiones e ingresos del cliente. También existe la posibilidad de que los motores de búsqueda incluyan su sitio en una lista negra.
Si eso sucede, su contenido desaparecerá de las páginas de resultados del motor de búsqueda (SERP) y su tráfico orgánico probablemente se desplomará. Incluso si logra recuperar su sitio, reparar el estado de su motor de búsqueda puede ser difícil.
Para ayudar a mantener su sitio y los visitantes a salvo de los piratas informáticos, es vital que se proteja contra los ataques comunes de WordPress. Echemos un vistazo a cuatro de las amenazas más populares.
Ataques de fuerza bruta
Un ataque de fuerza bruta es cuando un pirata informático intenta entrar por la fuerza en su panel de control utilizando cientos o incluso miles de combinaciones conocidas de contraseña y nombre de usuario. Los ataques de fuerza bruta son un método popular de intrusión en todas las plataformas. Sin embargo, pueden ser particularmente problemáticos para WordPress.
De forma predeterminada, todos los administradores de WordPress tienen el mismo nombre de usuario («admin»). Si no cambia este nombre de usuario generado automáticamente, los piratas informáticos de fuerza bruta ya conocen la mitad de sus credenciales de inicio de sesión; solo necesitan adivinar su contraseña.
Para ayudar a proteger su sitio contra ataques de fuerza bruta, es importante usar un nombre de administrador único y seguir las mejores prácticas de contraseña . Esto incluye el uso de un mínimo de ocho caracteres, además de una combinación de letras mayúsculas y minúsculas, números y símbolos.
También es inteligente evitar las frases comunes, en particular las que se asocian con frecuencia con contraseñas, como «déjame entrar» o «contraseña». También le sugerimos que se mantenga alejado de cualquier palabra que se relacione con su sitio web, empresa, ubicación o datos personales.
Para fortalecer su contraseña, puede ser útil utilizar un generador. Strong Random Password Generator y LastPass son dos opciones populares.
Alternativamente, puede crear una contraseña desde el panel de WordPress. En su área de administración, simplemente navegue a Usuarios> Todos los usuarios y seleccione su perfil.
Luego, en Administración de cuentas , puede hacer clic en Establecer nueva contraseña para generar una contraseña al azar.
También es una buena idea limitar la cantidad de intentos de inicio de sesión en su sitio, utilizando un complemento como Limitar intentos de inicio de sesión recargados . Esto puede evitar que los bots ataquen su página de inicio de sesión con miles de contraseñas en rápida sucesión.
Ataques de WordPress de inyección SQL
Los ataques de inyección de SQL se producen cuando una persona intenta acceder a su panel de WordPress mediante la inyección de consultas SQL maliciosas. La base de datos MySQL de su sitio web ejecutará este código y el pirata informático puede acceder a su sitio web.
Los ciberdelincuentes pueden lanzar ataques de inyección SQL a través de cualquier sección de su sitio que recopile información del usuario. Esto significa que algo tan inocuo como un formulario de contacto, una sección de comentarios o un cuadro de búsqueda podría poner en riesgo su base de datos.
Idealmente, todos los campos de entrada de su sitio estarán configurados para validar y desinfectar de forma segura todas las entradas de los usuarios antes de reenviarlas a su base de datos. Este proceso asegura que su sitio solo acepta datos válidos. Sin embargo, si estos campos de entrada no están configurados correctamente, los piratas informáticos pueden usarlos para inyectar código malicioso.
MySQL es vulnerable a los ataques de inyección, por lo que es importante mantener actualizado el software de su base de datos. También debe tratar sus credenciales de inicio de sesión de MySQL con el mismo cuidado que su contraseña de WordPress.
El uso de un nombre de base de datos único puede dificultar que los piratas informáticos identifiquen su base de datos. Si está usando cPanel, puede cambiar el nombre de su base de datos de WordPress usando la herramienta phpMyAdmin.
Muchos ataques de inyección también se dirigen a temas y complementos que permiten la entrada de visitantes. Esta es otra razón para revisar cuidadosamente todos los temas y complementos antes de agregarlos a su sitio, y para actualizar regularmente el software de terceros.
Secuencias de comandos entre sitios (XSS)
Un ataque de Cross-Site Scripting (XSS) es cuando un pirata informático carga código JavaScript malicioso en su sitio web de WordPress. Los ataques XSS generalmente están diseñados para recopilar datos de sus clientes, lo que puede ser particularmente desastroso si su sitio maneja información confidencial , como detalles de pago.
Un ataque XSS exitoso también puede redirigir a sus visitantes a otro sitio web elegido por el pirata informático, haciendo que su tráfico web caiga en picado. Incluso puede afectar su reputación, especialmente si el ataque dirige a sus clientes a un sitio web malicioso o con spam.
Puede proteger su sitio contra ataques XSS mediante el uso de un firewall de aplicaciones web (WAF) como el complemento Wordfence . Este firewall a nivel de aplicación filtra las solicitudes maliciosas antes de que tengan la oportunidad de llegar a su sitio web. Después de activar Wordfence, puede configurar su firewall navegando a Wordfence> Firewall.
Ataques de WordPress distribuidos de denegación de servicio (DDoS)
Los ataques distribuidos de denegación de servicio (DDoS) suelen aparecer en los titulares, ya que muchas organizaciones de alto perfil han sido víctimas de ellos. Esto incluye pesos pesados como Netflix y Amazon.
Un ataque DDoS ocurre cuando los piratas informáticos bombardean un servidor con solicitudes. Eventualmente, el servidor se abruma e incluso puede fallar. Un WAF puede identificar solicitudes sospechosas y evitar que accedan a su sitio web.
La interfaz del programa de aplicación (API) de Representational State Transfer (REST) brinda a los desarrolladores la flexibilidad de usar WordPress con otras tecnologías. Sin embargo, terceros malintencionados pueden utilizar la API REST como parte de sus ataques DDoS. Si su sitio web no está usando activamente la API REST, es posible que desee deshabilitarlo usando un complemento como Disable WP Rest API.
De manera similar, aunque XML-RPC es útil para habilitar pingbacks y trackbacks, los piratas informáticos podrían usarlo como parte de sus ataques DDoS. Si no está utilizando XML-RPC, puede deshabilitarlo con un complemento como Deshabilitar XML-RPC-API. Su proveedor de alojamiento también puede ayudar a proteger su sitio contra ataques DDoS. Algunos proveedores de alojamiento de WordPress administrados , como WP Engine, incluso proporcionan herramientas de mitigación de DDoS como estándar.
Conclusión
WordPress es uno de los sistemas de gestión de contenido (CMS) más populares del mundo. Desafortunadamente, esta popularidad hace que su sitio web de WordPress sea un objetivo principal para todo tipo de ciberataques.
En este artículo, discutimos cuatro de los tipos más comunes de ataques de WordPress y las formas de mantener su sitio seguro nuevamente. Esto incluye:
- Ataques de fuerza bruta . Esto es cuando un pirata informático utiliza técnicas sofisticadas para adivinar sus credenciales de inicio de sesión. Puede proteger su sitio contra ellos siguiendo las mejores prácticas de contraseñas y utilizando un generador de contraseñas como LastPass .
- Ataques de inyección SQL . Un pirata informático puede inyectar consultas SQL maliciosas a través de cualquier campo de entrada del usuario. Puede hacer que su base de datos sea más difícil de acceder cambiando su nombre predeterminado.
- Secuencias de comandos entre sitios (XSS) . Los ciberdelincuentes pueden cargar código JavaScript malicioso en su sitio web de WordPress. En este caso, puede resultar útil utilizar un WAF, como el complemento Wordfence.
- Ataques distribuidos de denegación de servicio (DDoS) . Los terceros maliciosos pueden intentar abrumar su servidor con solicitudes. Puede evitar estos ataques desactivando las API innecesarias y optando por un proveedor de alojamiento de WordPress administrado de forma segura , como WP Engine.
