Beneficios de tener registros de seguridad en WordPress
Conseguir los registros de seguridad de WordPress tiene numerosos beneficios a nivel de seguridad web.
Ten en cuenta que si tu página web es pirateada querrás tener la mayor información posible para comenzar con la investigación y recuperación de la página web.
Estos logs de seguridad te ayudarán en las siguientes tareas:
- Identificar y detener un comportamiento malicioso.
- Detectar un actividad que pueda alertarte de una infracción de seguridad.
- Evaluar los daños provocados por el ataque.
- Ayudar en la reparación del sitio web pirateado.
Cómo conseguir registros de seguridad en WordPress
Para conseguir los registros o logs de seguridad en WordPress podrás utilizar algunas de las funciones y filtros que proporciona el propio WordPress para crear un sistema de registro.
Sin embargo, la mejor forma de hacerlo será a través de la utilización de plugins de seguridad como iThemes Security, Wordfence o WP Cerber.
4 eventos importantes a monitorear en los registros de seguridad de WordPress
Una vez instalado el registro de seguridad en tu página web WordPress será el momento de monitorear los siguientes 4 principales eventos de seguridad:
1 -Ataques de fuerza bruta de WordPress
Los ataques de fuerza bruta son un método de prueba y error utilizado por los hackers para descubrir nombres de usuario y contraseñas con el fin de piratear una página web.
WordPress por defecto no rastrea la actividad de inicio de sesión de ningún usuario, por lo que no hay nada integrado en WordPress que te proteja frente de un ataque de fuerza bruta.
Por este motivo, es importante controlar la seguridad de tu inicio de sesión de WordPress.
Afortunadamente, un ataque de fuerza bruta no es muy sofisticado y es bastante fácil de identificar en tus registros de seguridad.
Para ello, el propio registro se encargará de registrar el nombre de usuario y la IP que está intentando iniciar sesión y mostrará si el inicio de sesión fue exitoso o no.
Si ves que un solo nombre de usuario o IP tiene varios intentos de inicio de sesión fallidos consecutivos es probable que estés sufriendo un ataque de fuerza bruta.
Identificar cuándo estás bajo un ataque de fuerza bruta es un gran comienzo, pero aún queda mucho trabajo por hacer.
Podrás aumentar la seguridad de inicio de sesión de WordPress limitando el número de intentos fallidos de inicio de sesión.
Nota: No seas demasiado restrictivo con las reglas de bloqueo o podrás impedir el acceso a a tu página web de usuario legítimos.
2 – Cambios de archivos
Un hackeo puede deberse a que se haya insertado código malicioso en alguno de los archivos de tu WordPress. Por ello, es tan importante estar al tanto de los cambios de archivos que se produzcan en tu página web registrándolos en los registros de seguridad de WordPress.
Los registros de cambios de archivos han de incluir archivos agregados, eliminados y modificados.
Por este motivo, si se producen cambios de archivos inesperados en tus registros será importante acudir a ellos y comprobar que no se trata de una infección de archivos maliciosos.
Sin embargo, si ves un cambio en algún archivo realizado en la misma fecha y hora en la que actualizaste un plugin por ejemplo, no habrá razón para investigar.
3 – Análisis de malware
No solo debes ejecutar escaneos de malware, también has de registrar los resultados de cada escaneo de malware en tus registros de seguridad de WordPress.
Algunos registros de seguridad solo registrarán los resultados del análisis realizado y eso no será suficiente.
Si no estás documentando tus escaneos programados entonces no tendrás forma de saber si hay fallas de seguridad en varios escaneos. Por ello, si no registras escaneos fallidos podrás pensar que tu página web está en perfecto estado.
4 – Actividad del usuario
Mantener un registro de actividad de los usuarios de tu WordPress en tus registros de seguridad podrá ayudarte tras sufrir un ataque exitoso.
Si estás monitoreas la actividad del usuario podrás guiar a través de una línea de tiempo un pirateo y saber todo lo que cambió el pirata informático, desde agregar nuevos usuarios hasta agregar anuncios no deseados en tu página web.
Por este motivo, nosotros te recomendamos monitorear en los registros de actividad de los usuarios los siguientes aspectos
- Inicio y cierre de sesión: El primer tipo de actividad del usuario que se debe rastrear es cuándo los usuarios inician y cierran sesión en tu página web y desde dónde. ¿Dicho usuario inició sesión en un momento inusual o desde un lugar nuevo? Si es así, podrás comenzar tu investigación desde ahí.
- Creación de usuarios: Una práctica común de un pirata informático es crear un nuevo usuario administrador.
- Instalación y eliminación de plugins: Deberás verificar si un nuevo usuario ha agregado o eliminado plugins en tu página web. Por ello, será vital hacer un registro para ver quién agrega y elimina plugins en tu WordPress. Una vez que tu página web haya sido pirateada, el atacante podrá fácilmente agregar su propio plugin personalizado para inyectar código malicioso. También podrá agregar redireccionamientos o ejecutar código malicioso y posteriormente eliminar las pruebas del delito. Por suerte, no perderás nada si todo queda documentado en los registros de seguridad de tu WordPress.
- Cambios en publicaciones y páginas: Ahora será el momento de ver si tu nuevo usuario ha agregado algún cambio en páginas o publicaciones existentes. ¿Han agregado enlaces externos? En tus logs de seguridad podrás ver si se han agregado contenidos no autorizados.
