Los 10 principales errores de seguridad de WordPress
Vamos ya con los 10 principales errores de seguridad de WordPress:
1 – No contar con un hosting de calidad
No todos los servidores web se crean de la misma manera y, elegir uno únicamente por el precio puede terminar costándote muy caro.
De todos modos no te alarmes, la mayoría de hostings con planes compartidos son seguros.
Sin embargo, algunos proveedores no separan correctamente las cuentas de sus usuarios entre si y ahí es donde está el problema. Al no estar dichas cuentas separadas con que solo una quede comprometida podría infectar al resto de instalaciones del mismo servidor compartido.
Por todo ello, asegúrate de que el hosting que contrates tenga esta característica y esté a la última en cuanto a seguridad web.
SOLUCIÓN: Elige hostings con cierta reputación y populares en internet. No vayas a los más baratos de internet.
2 – No tener un respaldo de seguridad de tu WordPress
Por respaldo de seguridad nos referimos a una copia de seguridad alojada de forma local en tu ordenador para que en caso de ser infectado de forma online puedas volver a restaurar los archivos previos a la infección estando seguro de que estos no contendrán ningún tipo de virus.
Este pequeño consejo podrá salvarte la vida en caso de ser infectado por un ataque de ransomware.
Es decir, un ataque de ransomware es cuando el pirata informático cifra los archivos de la página web haciéndolos inaccesibles (Es decir, es un secuestro). Una vez infectado, para recuperar el acceso a tu página web necesitarás una clave para poder descifrar los archivos de la misma. Esta clave solo la podrás obtener pagando el soborno correspondiente al pirata informático.
Cómo has podido ver una acción tan simple como hacer copias de seguridad periódicas de tu página web podrá ahorrarte mucho dinero y problemas.
SOLUCIÓN: Programa tus copias de seguridad de forma periódica y llévate esas copias de seguridad a un disco duro externo.
3 – Evita los accesos a WordPress inseguros
El inicio de sesión de WordPress es la parte más atacada y vulnerable de WordPress. De hecho, de forma predeterminada no existe una solución nativa en WordPress para limitar la cantidad de intentos fallidos de inicio de sesión en WordPress.
Al no existir dicho límite el pirata informático podrá seguir probando una cantidad infinita de nombres de usuario y contraseñas hasta que tengan éxito.
SOLUCIÓN: Instala un plugin de WordPress que limite el acceso de inicios de sesión fallidos. Muchos plugins de seguridad como WP Cerber, iThemes Security o Wordfence incorporan ya esta funcionalidad.
4 – No tener protección frente a ataques de fuerza bruta automatizados
Un bot malicioso es un software o programa diseñado para repetir una tarea automática y estandarizada las veces que haga falta.
De hecho, muchos bots están programados por piratas informáticos para que estos realicen tareas como:
- Ataques de fuerza bruta: Los bots buscan páginas web diseñadas en WordPress buscando inicios de sesión de WordPress para atacar al ser vulnerables.
- Bots de Scraping: Estos bots se encargan de descargar el contenido de una página web sin permiso. Este tipo de ataques se realizan para llevar acabo ataques de SEO negativo principalmente.
- Bots de spam: Que se encargan de ensucian tus comentarios en WordPress con mensajes falsos. Es muy común que estos mensajes te prometan cosas como convertirte en millonario mientras trabajas desde casa con la esperanza de enviar a tus visitantes hacia páginas web maliciosas.
SOLUCIONES: Frente a los ataques de fuerza bruta existen multitud de sistemas de seguridad aunque uno de los más conocidos es el reCAPTCHA. Frente a los ataques de spam lo mejor es que repases los comentarios antes de aprobarlos y utilices plugins anti spam como Akismet.
5 – Utilización de versiones desactualizadas de plugins, themes o versiones de WordPress
Tener un plugin o un theme vulnerable para el que existe un parche disponible pero no se aplica es el principal culpable de que una página web WordPress sea infectada. Así de simple.
Por lo tanto, tener un plugin o un tema de WordPress vulnerable es el mayor error de seguridad de WordPress que puedes cometer.
Ten en cuenta que las actualizaciones de versiones no son solo sirven corregir errores y agregar nuevas funcionalidades a tu WordPress. Las actualizaciones también sirven para incluir parches de seguridad críticos. Por lo tanto, no hacerlo es sinónimo de dejar una puerta abierta a una posible infección.
De hecho, los piratas informáticos apuntan a vulnerabilidades de plugins parcheados porque saben que muchas personas no actualizan sus plugins de WordPress.
Además, esta lista de reparación de vulnerabilidades es pública por lo que los piratas informáticos saben de sobra que versiones de plugins están desactualizadas o sin parches.
Ten en cuenta que a los piratas informáticos les gustan los objetivos fáciles y, por lo tanto, tener un WordPress desactualizado con vulnerabilidades conocidas es como darle a un pirata informático las instrucciones para acceder en tu página web WordPress.
SOLUCIÓN: Mantén tus plugins, themes y versiones de WordPress actualizadas.
6 – Tener una seguridad de usuario débil
En pocas palabras, un usuario administrador de WordPress con una contraseña débil podría socavar todas las demás medidas de seguridad que hayas implementado en tu página web.
Por este motivo, la seguridad del usuario es una parte esencial en cualquier estrategia de seguridad de WordPress.
Por si esto fuera poco, existen estudios que indican que el 59% de los usuario de internet reutilizan sus contraseñas en todas partes. Es decir, que si un sitio web en el que has dejado tu contraseña reutilizada es pirateado es probable que el proprio hacker tenga acceso a otros muchos portales con todos tus datos y cuentas.
Además, conseguir contraseñas «sencillas» no es complicado para los piratas informáticos.
De hecho, para esta tarea utilizan un ataque de fuerza bruta llamado ataque de diccionario que es un tipo de ataque que se basa en entrar en un WordPress (Sin límite de accesos) con contraseñas de uso común que han aparecido en volcados de bases de datos públicas.
De esta forma, los hackers podrán probar millones de combinaciones únicas de direcciones de correo electrónico y contraseñas hasta dar con la correcta.
SOLUCIÓN: Obligar a los usuarios de tu WordPress a que diseñen contraseñas seguras, utilizar la autentificación en dos pasos y limitar el número de intentos de sesión en WordPress.
7 – No utilizar comunicaciones no cifradas (SSL)
No cifrar las comunicaciones en tu página web mediante un certificado SSL es un grave error de seguridad en WordPress.
Ten en cuenta que cada vez que realizas una compra la comunicación que se realiza entre el navegador y la tienda online ha de ser segura o los hackers podrán robar los datos de pago de tus clientes.
Por ejemplo, cuando introduces tu número de tarjeta de crédito en el navegador este es el que lo comparte con la tienda online. Una vez la tienda recibe el pago, esta le indica a tu navegador que le avise de que tu compra se ha realizado con éxito.
Por lo tanto, si esa comunicación entre el navegador y el servidor de la tienda no es cifrada vía SSL cualquier pirata informático podría acceder a ella y robar la tarjeta de crédito antes de que llegue al destino final (El servidor de la tienda online).
SOLUCIÓN: Pide a tu proveedor de hosting que te proporcione un certificado SSL gratuito.
8 – No supervisar correctamente tu seguridad
Una supervisión insuficiente de tu página web puede provocar un retraso en la detección de una infracción de seguridad. De hecho, existen numerosos estudios que aseguran que la mayoría de infracciones de seguridad se detectan pasados más de 200 días.
Por lo tanto, monitorear tu WordPress te ayudará a identificar y detener ataques informáticos, detectar una brecha de seguridad y reparar el daño causado en tu página web.
SOLUCIÓN: Agrega registros de seguridad. Es decir, registra cada instalación o modificación de archivos que se produzcan en tu WordPress.
9 – Tener instalados plugins o themes que no se utilizan
Tener plugins y temas sin usar en tu WordPress es un error de seguridad importante.
Ten en cuenta que cada fragmento de código en tu página web es un posible punto de entrada potencial para un pirata informático.
De hecho, estas fallas de seguridad son muy utilzias por los hackers ya que es muy común entre desarrolladores utilizar código de terceros, como bibliotecas JS, en sus plugins y themes. Por desgracia, si las bibliotecas no se mantienen adecuadamente actualizadas pueden crear vulnerabilidades en tu página web.
SOLUCIÓN: Borra todo plugin o theme que no utilices.
10 – Instalar plugins o themes desde páginas web no oficiales
La instalación de plugins o themes WordPress desde fuentes no oficiales es una de las formas más rápidas de crear una falla de seguridad en tu WordPress.
Por desgracia, la mayoría de estas versiones gratuitas o con grandes descuentos contienen código malicioso oculto que podrán utilizar los piratas informáticos a su favor una vez hayas instalado en tu WordPress estos plugins o themes.
SOLUCIÓN: Instala solo plugins o themes que provengan de WordPress.org, de repositorios comerciales conocidos o directamente de desarrolladores de WordPress de renombre.
Conclusiones
Como podrás comprobar, en la actualidad existen multitud de errores potenciales de seguridad en WordPress. Por suerte, la mayoría de estos errores de seguridad en WordPress se podrán evitan fácilmente con un pequeño esfuerzo por nuestra parte.
Para recapitular y finalizar esta guía, a continuación te dejamos la lista de verificación de seguridad de WordPress que podrás seguir:
- Elige un hosting de calidad.
- Crea copias de seguridad en local de forma regular.
- Limita los intentos de inicio de sesión no válidos.
- Pon seguridad frente a ataques de bots.
- Mantén actualizado tu WordPress, tus plugins y temas.
- Utiliza contraseñas seguras para ti y tus usuarios.
- Cifra tus comunicaciones con SSL.
- Utiliza un registro de seguridad WordPress.
- Elimina de tu WordPress plugins o themes que no utilices.
- Recurre a fuentes oficiales de plugins y themes WordPress.
