06.05.22
actualizado 15.06.23
Tobias Schüring
0 comentarios
Índice de contenidos
¿Cómo de seguro es WordPress?

La seguridad de WordPress: Su mayor fortaleza es también su mayor debilidad

¿Cómo es la seguridad de WordPress? No especialmente bien, porque presenta una serie de vulnerabilidades graves. Y como más del 40 por ciento de Internet funciona actualmente con WordPress, es un objetivo popular para los ataques. La buena noticia: las vulnerabilidades más importantes pueden eliminarse fácilmente.

Lo bueno de WordPress es que cualquiera puede utilizarlo. Lo único que necesitas es una conexión a Internet y ya puedes empezar. La seguridad de WordPress es una cuestión completamente diferente. Quizás porque es tan fácil de usar, no todo el mundo se preocupa de lo seguro que es WordPress por su diseño.

En cualquier caso, debido a sus grandes puntos fuertes -la increíble gama de funciones y los diversos diseños- WordPress tiende a ser muy inseguro. La estructura modular ofrece enormes puntos de ataque. Y, por supuesto, los hackers también los explotan. Y lo hacen automáticamente, las 24 horas del día, los 365 días del año.

Pero no te preocupes: estas debilidades integradas de WordPress pueden eliminarse muy fácilmente. Y, en primer lugar, completamente sin un plugin de seguridad adicional.

Por supuesto, no quiero disuadirte del plugin de seguridad tu . Incluso puede ser muy útil. Pero asegurar el sitio web tus WordPress no termina con su instalación. Y antes de meterte en combates de boxeo en la sombra con pseudoamenazas, tiene más sentido compensar las debilidades básicas de WordPress.

En detalle, el tema de hoy es

  • el área de administración y por qué es tan vulnerable
  • los puntos débiles de la estructura modular de WordPress
  • el papel del alojamiento WordPress en la seguridad básica del sitio web tus

"Pero mi sitio web no es lo suficientemente interesante".

No te equivoques: esta suposición es sencillamente errónea. Todo sitio web WordPress es valioso como objetivo. Por ejemplo, como difusor de spam, parte de una red de bots o plataforma publicitaria para sitios web de phishing.

Y en caso de duda, no importa lo pequeño, nuevo o poco visitado que sea el sitio web tu . Porque al final, tú y tu sois los perjudicados. Así, puede ocurrir que tu Newsletter sea clasificado como spam, que se advierta a los usuarios de que no visiten el sitio web tus y que la clasificación de tu en Google se resienta porque el sitio webtu está en una lista negra.

Lo que quiero decir con esto es que, simplemente debido a la popularidad y difusión de WordPress, los sitios web de WordPress son un objetivo agradecido para los ataques. Independientemente de su contenido y finalidad.

"*"indica que los campos son obligatorios

Me gustaría suscribirme a newsletter para estar informado sobre nuevos artículos del blog, ebooks, funciones y noticias sobre WordPress. Puedo retirar mi consentimiento en cualquier momento. Ten en cuenta nuestra Política de privacidad.
Este campo es de validación y no debe modificarse.

El área de administración de WP es especialmente vulnerable

La página de inicio de sesión es accesible por defecto a través del sufijo "wp-admin". Por eso es un objetivo especialmente frecuente de los ataques, sobre todo de los llamados ataques de fuerza bruta. Estos ataques se encuentran entre los hackeos más comunes contra los sitios web de WordPress porque son fáciles de automatizar. Un ataque de fuerza bruta intenta adivinar la combinación correcta de nombre y contraseña. Por tanto, si la contraseña es débil o el área de inicio de sesión no está protegida, un ataque de fuerza bruta puede tener éxito y otra persona puede iniciar sesión con éxito en tu WordPress, o la cantidad masiva de intentos de inicio de sesión puede paralizar el sitio web tu .

Wordfenceel conocido productor del complemento de seguridad del mismo nombre, registró una media de 34 millones de ataques de fuerza bruta sólo en marzo de 2017, todos los días. En comparación, los llamados "ataques complejos", es decir, que explotan vulnerabilidades de seguridad específicas, se sitúan en un nivel de 3,8 millones de ataques diarios.

Estadísticas sobre las agresiones de Brute Force contabilizadas por Wordfence en marzo de 2017
El informe de marzo de Wordfence muestra: El fabricante de plugins pudo registrar una media de unos 34 millones de ataques diarios a Brute Force . Hubo especialmente muchos a mediados de mes.

Sin embargo, como Wordfence sólo cuenta los ataques que fueron repelidos por su propio software, el número de casos no denunciados es aún mayor.

Pero la buena noticia es: aunque el ataque al área de administración de WP es muy fácil y puede automatizarse rápidamente, las medidas de protección contra él son muy sencillas. Para asegurar el área de administración de WP de tu , puedes levantar muros de protección en tres lugares:

  1. A nivel de WordPress, mediante contraseñas seguras
  2. En el propio inicio de sesión, limitando el número de intentos de inicio de sesión
  3. Antes de entrar, a través de una lista negra

1) La vieja castaña: contraseñas seguras

Los ataques de fuerza bruta son ataques muy descerebrados. En principio, sólo adivinan. Por eso, una contraseña segura puede bastar para que los ataques queden en nada. Así que seamos breves: la contraseña segura es obligatoria. Esto incluye Letras, números, caracteres especiales y mayúsculas y minúsculas. Y, por supuesto, la autenticación de dos factores también tiene sentido.

CONSEJO: Por cierto, los gestores de contraseñas no sólo facilitan la creación de contraseñas seguras, sino también su gestión. Los ordenadores Apple, por ejemplo, ofrecen una forma cómoda de gestionar las contraseñas de tu sin conexión con el programa "Gestión de Llaveros". Todo lo que tienes que hacer es recordar una contraseña maestra (que, por supuesto, debe ser lo más compleja posible). Los programas de gestión de contraseñas basados en la nube, como 1Password, LastPass o X-Key Pass, funcionan del mismo modo.

2) Limita el número de inicios de sesión

Puedes verlo de forma impresionante en las cifras de Wordfence : Los ataques de fuerza bruta son los más frecuentes contra los sitios web de WordPress. Por tanto, la probabilidad de que el sitio web tu sea víctima de un ataque de este tipo es muy alta. Y para que el elevado número de intentos de inicio de sesión no suponga una carga innecesaria para el sitio web tu , existe la posibilidad de limitarlos.

Entonces se bloquea una IP durante un tiempo determinado después de tres intentos fallidos, por ejemplo. Si la IP vuelve a alcanzar el límite, el periodo de bloqueo aumenta sucesivamente. De esta forma, limitas muy rápidamente el número de intentos posibles hasta tal punto que el ataque se vuelve inútil.

Dependiendo de lo bajo que se establezca el umbral de bloqueo, este procedimiento también puede proteger contra un ataque con IPs cambiantes. La forma más sencilla de proteger el área de inicio de sesión de tu es utilizar plugins. Por ejemplo, puedes utilizar WP Limit Login Attempts, Login Lockdown o uno de los grandes plugins de seguridad como Sucuri, Wordfence o All in One WP Security. Los sitios web alojados en Raidboxes ya están equipados con protección contra fuerza bruta en el servidor. Por lo tanto, aquí no es necesario un plugin adicional.

3) Lista negra

En empresas de seguridad como Sucuri o Wordfence , gran parte del tiempo de trabajo se dedica a analizar los ataques. También publican estos análisis a intervalos regulares. Uno de los aspectos más importantes en estos informes es regularmente el origen de una IP. Esto se debe a que hay servidores situados en determinados países que son especialmente propensos a sufrir ataques.

Por tanto, poner en la lista negra las IP correspondientes tiene mucho sentido. Especialmente si la región no es relevante para tu grupo objetivo. De este modo, puedes combatir eficazmente los ataques antes de que lleguen a tus .

Puedes crear tú mismo esas listas negras implementándolas a nivel de servidor, o puedes utilizar un plugin de seguridad con la función correspondiente.

Desaprobado WordPress

WordPress es un sistema modular. Consta del núcleo, es decir, el software principal, los plugins y los temas. Uno de los mayores peligros para las instalaciones de WordPress surge del hecho de que muchos sitios web de WordPress no reciben actualizaciones periódicas.

Esto tiene las razones más diferentes. Estos van desde incompatibilidades en Plugins y Themes, hasta la ignorancia o la falta de tiempo para una actualización.

En febrero de 2017 se demostró de forma impresionante a dónde puede llevar el retraso en las actualizaciones del núcleo: se conoció una vulnerabilidad de seguridad en la versión 4.7.1 de WordPress, y se hicieron llamamientos para actualizar a la versión 4.7.2 lo antes posible.

En muy poco tiempo, el anuncio provocó ataques masivos a sitios web de WordPress (porque la vulnerabilidad aún no se conocía antes del anuncio oficial). Los fabricantes del software de seguridad correspondiente volvieron a dar cifras: en pocos días, se habían pirateado entre un millón y medio y dos millones de sitios web. Anteriormente, un empleado de Wordfence había descubierto la vulnerabilidad de seguridad.

Si recuerdas que más del 43% de todo Internet se basa actualmente en WordPress, puedes hacerte una idea bastante aproximada de lo que podría ocurrir si una vulnerabilidad de este tipo pasara desapercibida. Por lo tanto, es aconsejable automatizar las actualizaciones del núcleo de WordPress o tenerlas automatizadas.

Esto se aplica principalmente a las llamadas actualizaciones menores, es decir, números de versión con tres dígitos, por ejemplo 4.7.4. Son las llamadas "versiones de seguridad y mantenimiento" y siempre deben instalarse lo antes posible. Con saltos de versión mayores, por ejemplo de 4.7 a 4.8, la situación es algo diferente: aquí, las actualizaciones se centran en funciones y mejoras generales.

Obsoleto Plugins y Themes

Lo que se aplica al núcleo de WordPress también se aplica a los plugins y temas: las versiones obsoletas de los plugins casi siempre albergan vulnerabilidades de seguridad, y evitables.

Según un estudio de seguridad sobre los sistemas de gestión de contenidos, la Oficina Federal Alemana de Seguridad de la Información (BSI) tiene una opinión similar. Los datos de la BSI se refieren al periodo comprendido entre 2010 y 2012. El 80 por ciento de las vulnerabilidades comunicadas oficialmente podían remontarse a extensiones, es decir, en la mayoría de los casos a Plugins.

Una búsqueda de exploits mediante ExploitsDatabase devolvió más de 250 exploits para WordPress . La mayoría de las hazañas para WordPress Plugins se han introducido aquí.

- BSI (2013): "Estudio de seguridad de los sistemas de gestión de contenidos (CMS)".

En la práctica, los plugins son uno de los puntos de ataque favoritos. Y con más de 50.000 extensiones en el directorio oficial de plugins de WordPress, también es uno muy productivo. El punto de partida de estos ataques son entonces las brechas en el código de los plugins.

Es importante que lo entiendas: Esas lagunas siempre existirán. No existe un sistema 100% seguro. Y: La falta de actualizaciones de un plug-in o tema no significa automáticamente que sea inseguro. Aunque la frecuencia de actualización sea un buen indicador de la calidad del soporte de un fabricante. Pero también podría ser que hasta ahora no se haya descubierto ninguna brecha de seguridad.

Pero si se descubre alguna, el proveedor del plug-in (con suerte) también proporcionará una actualización que cierre la brecha. Si no lo hacen, es posible que se produzcan ataques como inyecciones SQL o cross site scripting (XSS). En el primero, se manipula la base de datos del sitio web tus . De este modo, por ejemplo, se pueden crear nuevas cuentas de administrador y, a continuación, infectar los sitios web tu con código malicioso o incluso convertirlos en un vertedero de spam.

Los ataques XSS consisten básicamente en colocar JavaScript en el sitio web tus . Entre otras cosas, se pueden inyectar formularios en tus que roban los datos del usuario. Completamente discreto, encriptado con SSL y en un entorno de confianza.

Y como Plugins y Themes ofrecen tantos puntos de ataque, siempre debes prestar atención al número de Plugins y asegurarte de no dejarlos en estado desactivado, sino desinstalarlos realmente cuando ya no los necesites.

Compartido Hosting

Estas desventajas son inherentes a WordPress. Sin embargo, puesto que el sitio web tu tiene que estar en línea de alguna manera, el alojamiento de WordPress también es un aspecto importante de la seguridad. Dado que la seguridad de WordPress y el alojamiento de WordPress es un tema muy complejo y polifacético, en este punto sólo quiero hablar de la principal desventaja del alojamiento compartido. De nuevo, esto no significa que quiera disuadirte del alojamiento compartido. Tiene mucho sentido, sobre todo desde el punto de vista del precio. Pero el alojamiento compartido tiene una desventaja decisiva que debes conocer.

Con el alojamiento compartido, varios sitios web están ubicados en un mismo servidor. Los sitios web también comparten la dirección IP. Esto significa que el estado y el comportamiento de un sitio web también pueden influir negativamente en todos los demás sitios web del servidor. Este efecto se denomina Efecto Mal Vecino y se refiere, por ejemplo, al spamming. Si un sitio web de tu servidor hace que su IP entre en una lista negra, esto también puede afectar a la oferta de tu .

Además, puede provocar un uso excesivo de los recursos, por ejemplo si uno de los sitios web del servidor se ve atrapado en un ataque DDoS o se ve afectado por un ataque masivo. Por tanto, la estabilidad de tu depende siempre, en cierta medida, de la seguridad de los demás sitios web de tu servidor.

Para sitios web WordPress explotados profesionalmente, un servidor virtual o dedicado tiene mucho sentido. Por supuesto, los conceptos de seguridad de los hosters también incluyen soluciones de copia de seguridad, cortafuegos y escáneres de malware, pero hablaremos de ellos en detalle en otro lugar.

Conclusión

WordPress es inseguro. Y eso se debe a su estructura modular. Por tanto, su mayor fortaleza puede convertirse en su mayor debilidad. La buena noticia es que puedes sortear fácilmente esta debilidad inherente. En principio, no necesitas más que el esfuerzo de la gestión de cuentas, la creación de contraseñas y las actualizaciones.

Por supuesto, estas medidas no convierten tu en Fort Knox. Pero son la piedra angular del concepto de seguridad de tu . Si no las tienes en cuenta, pueden socavar todas las demás medidas de seguridad. Y tú mismo puedes influir en estos aspectos. Por eso es tan importante que los tengas siempre presentes.

¿Te ha gustado el artículo?

Con tu valoración nos ayudas a mejorar aún más nuestro contenido.

Tobias Schüring

Como administrador de sistemas, Tobias vigila nuestra infraestructura y encuentra cada detalle para optimizar el rendimiento de nuestros servidores. Debido a sus incansables esfuerzos, a menudo se le puede encontrar en la plataforma Slack por la noche.

Escribe un comentario

Tu dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con *.