¿Es seguro WordPress?
La respuesta es clara. SI.
Wordpress es un gestor de contenidos siempre y cuando se sigan una serie de pautas básicas sobre seguridad WordPress.
Actualmente, WordPress es el CMS más utilizado del mundo con una cuota de mercado del 41% según datos de w3techs.com. Por lo tanto, es inevitable que con tal cantidad de instalaciones a nivel mundial algunos de estos gestores sean infectados.
No obstante, en la mayoría de casos estas infecciones se producen por descuidos de los usuarios o dejadez de estos con respecto a la seguridad de su página web.
Ten en cuenta que para un pirata informático es muy sencillo encontrar un patrón de vulnerabilidad entre millones de páginas web debido a algún tipo de configuración insegura de WordPress.
De todos modos, has de saber que WordPress es un CMS de código abierto y tiene un equipo dedicado específicamente a encontrar, identificar y solucionar problemas de seguridad de WordPress que surgen en el código central.
Por lo tanto, a medida que se revelan vulnerabilidades de seguridad estas se parchean de inmediato. Por este motivo, mantener WordPress actualizado a la última versión es imprescindible para mantener la seguridad de tu página web WordPress.
Por si esto fuera poco, como ya sabrás, una página web WordPress se suele componer del núcleo de WordPress, plugins y themes. Esto hace que una instalación de WordPress sea más compleja y, por lo tanto, susceptible de ser pirateada.
De hecho, según un estudio de según wpvulndb.com, de las 2.837 vulnerabilidades anotadas en su base de datos:
- El 75% de las vulnerabilidades en WordPress se produjeron por plugins.
- El 14% de las vulnerabilidades en WordPress se produjeron en el núcleo de WordPress.
- El 11% de las vulnerabilidades en WordPress se produjeron en los themes de WordPress.
Por este motivo es importante de mantener siempre tu WordPress actualizado.
Los 5 problemas más comunes de seguridad WordPress
El principal objetivo de un pirateo es obtener acceso no autorizado a una página web WordPress a nivel de administrador ya sea vía interfaz (Panel de control de WordPress) o vía servidor (Insertando scripts o archivos maliciosos).
Por este motivo, estos son los 5 problemas de seguridad de WordPress más comunes que debes conocer:
1 – Ataques de fuerza bruta
Los ataques de fuerza bruta de WordPress son un método de ensayo y error que se basa en ingresar múltiples combinaciones de nombres de usuario y contraseñas una y otra vez hasta dar con la combinación exitosa.
Este método de ataque se aprovecha de instalaciones de WordPress sin un límite de inicios de sesión.
Ten en cuenta que WordPress de forma predeterminada no limita los intentos de inicio de sesión, por lo que los bots pueden atacar el inicio de sesión de WordPress utilizando un ataque de fuerza bruta fácilmente.
En muchos casos estos ataques de fuerza bruta no tienen éxito (No consiguen la contraseña) pero si tumban el servidor al sobrecargarlo de peticiones.
De hecho, bajo un ataque de fuerza bruta muchos proveedores de hosting optan por suspender de forma temporal tu cuenta, especialmente si tu hosting compartido. Esta práctica se lleva a cabo con el fin de no comprometer el buen funcionamiento del resto de páginas web alojadas en ese mismos servidor.
2 – Exploits de inclusión de archivos
Las vulnerabilidades en el código PHP de WordPress están a la orden del día. De hecho, son el siguiente problema de seguridad más común que los ciber delicuentes suelen aprovechar.
Las vulnerabilidades de inclusión de archivos se producen cuando se usa código vulnerable para cargar archivos remotos que permiten a los atacantes obtener acceso a tu página web.
Las vulnerabilidades de inclusión de archivos son una de las formas más comunes en las que los piratas informático pueden obtener acceso al archivo wp-config.php de WordPress, uno de los archivos más importantes de WordPress.
3 – Inyecciones SQL
Las inyecciones de SQL suceden cuando un hacker consigue el acceso a tu base de datos de WordPress.
Con una inyección de SQL, el hacker podrá crear una nueva cuenta de usuario de nivel de administrador y obtener el acceso completo a tu WordPress.
Además, estas inyecciones de SQL también se suelen utilizar para insertar nuevos datos en tu base de datos como enlaces a páginas web maliciosas o spam.
4 – Cross-Site Scripting (XSS)
Las vulnerabilidades de Cross-Site Scripting son las vulnerabilidades más comunes en plugins de WordPress.
El Cross-Site Scripting funciona principalmente de la siguiente forma:
- El hacker encuentra una forma de hacer que el visitante que accede a tu página web cargue tu página web con scripts inseguros.
- Estos scripts (Que se cargan sin el conocimiento del visitante) muestran en pantalla ciertas cosas no autorizadas por el propietario de la página web.
- Posteriormente el pirata informático utiliza lo que ve el usuario que visita la página web a su antojo.
- El hacker muestra contenido spam al usuario.
De hecho, una de las prácticas más comunes que realizan los hackers con un ataque de Cross-Site Scripting es secuestrar formularios de la página web para robar los datos del mismo en su propio beneficio.
Otro caso muy común es que el usuario acceda a la página web de forma normal y de repente le aparezca una página web con anuncios de criptomonedas o similares.
5 – Malware o Software malicioso
Es un código que se utiliza para obtener acceso no autorizado a una página web con el fin de recopilar datos confidenciales.
Por regla general, decimos que un WordPress está pirateado cuando se ha inyectado malware dentro de los archivos de la página web.
Las cuatro infecciones de malware de WordPress más comunes son:
- Backdoors o Puertas traseras: Para tomar el control de tu WordPress.
- Redirecciones maliciosas: Redirección de tus usuarios a páginas web no seguras.
- Drive-by downloads o descarga involuntaria de archivos: Descarga de troyanos involuntariamente a los usuarios de tu página web.
- Pharma Hacks: Venta no autorizada de viagra y productos farmacéuticos en tu página web.