Video: 🔒 SEGURIDAD en WordPress ¿Cómo evitar que te hackeen? [3 PLUGINS Imprescindibles] (Noviembre 2024)
Como plataforma de gestión de contenido, WordPress es tremendamente popular entre los usuarios porque es muy fácil de usar. La cuestión es que también es un objetivo popular para delincuentes y atacantes. Si tiene un sitio de WordPress, debe seguir algunos pasos básicos para asegurar su sitio.
DDoS con WordPress
Si bien siempre existe la preocupación de que su sitio de WordPress pueda ser pirateado para enviar malware a los visitantes de su sitio, o redirigirlos a un sitio dudoso en otra parte de la Web, tampoco desea saber que su sitio está siendo utilizado para lanzar ataques contra otros sitios. A principios de esta semana, la firma de seguridad Sucuri informó que más de 162, 000 sitios de WordPress habían sido engañados para participar en un ataque distribuido de denegación de servicio contra otro sitio.
La cuestión es que los sitios no fueron secuestrados ni infectados para formar una botnet. Los atacantes abusaron de Pingbacks, una característica perfectamente legítima en WordPress, para inundar el sitio objetivo con tráfico no deseado. Los pingbacks son utilizados por un sitio de WordPress para notificar a otros sitios cuando una publicación está vinculada a ellos. En el ataque observado por Sucuri, el atacante engañó a los sitios para que enviaran una solicitud de Pingback a la misma URL de destino, lo cual fue fácil de hacer ya que Pingback está habilitado de forma predeterminada en WordPress. El sitio objetivo fue repentinamente bombardeado con solicitudes de Pingback, que esencialmente se montaron en un ataque DdoS.
Si está ejecutando WordPress, debe considerar desactivar Pingbacks para asegurarse de que su sitio no pueda usarse para atacar otros sitios. La función te notifica cuando alguien más está hablando de ti, lo cual es un buen refuerzo del ego, pero ¿vale la pena mantenerlo para que sea abusado? Sucuri tiene sugerencias sobre cómo bloquear pingbacks en su sitio.
WordPress con fugas
Dave Lewis, un defensor senior de seguridad de Akamai Technologies, utilizó Google para encontrar más de 111, 000 sitios de WordPress cuyas copias de seguridad de bases de datos eran accesibles desde Internet. La lista incluía "todo tipo de sitios web, desde sitios de música independientes hasta consultorios médicos e incluso algunos sitios web gubernamentales", escribió Lewis en su blog CSO. El volcado contenía información detallada sobre la base de datos, que los atacantes podrían usar para lanzar otros ataques, pero también una posible fuga de sus datos.
Obviamente, las copias de seguridad no deben ser accesibles desde Internet. Si las copias de seguridad se ejecutan localmente en el mismo servidor en el que está instalado WordPress, los complementos de Wordfence o Sucuri pueden bloquear el acceso no autorizado, dijo Lewis.
WordPress obsoleto
La tarea más importante para los administradores de WordPress es mantenerse al tanto de las actualizaciones de software, no solo para la plataforma principal, sino para cada uno de los complementos que se ejecutan en el sitio. Las versiones obsoletas de WordPress están constantemente bajo ataque, especialmente los complementos. "Los hackers maliciosos siempre están buscando formas de infectar a los usuarios de computadoras, y qué mejor técnica puede haber que comprometer un sitio web legítimo existente y subvertirlo de tal manera que infecte a los usuarios de computadoras de manera furtiva cuando lo visiten", dijo el consultor de seguridad Graham Cluley.
Los atacantes pueden explotar fallas sin parches para realizar inyección SQL o ataques de secuencias de comandos en sitios cruzados. Los defectos también se pueden explotar para infectar el sitio con malware. En su mayor parte, estos problemas generalmente son el resultado de problemas con los complementos, no con la plataforma de software principal, lo que hace que sea aún más crítico que los complementos se actualicen regularmente.
Es importante tener en cuenta la diferencia entre los sitios alojados en WordPress.com y los sitios de WordPress que se ejecutan en otros servidores. El equipo detrás de WordPress mantiene el software actualizado en WordPress.com, para que los usuarios individuales no tengan que hacerlo. Los sitios autohospedados requieren que el propietario del sitio se mantenga al tanto de los parches y actualizaciones para asegurarse de que el software permanezca actualizado.
Si va a ejecutar WordPress, manténgase por delante de los atacantes manteniendo su sitio actualizado regularmente.
