WordPress : Su mayor fuerza es también su mayor debilidad

Tobias Schüring Última actualización 21.01.2020
8 min.
¿Cómo de seguro es WordPress

¿Qué seguridad tiene WordPress ? No especialmente, porque viene con una serie de vulnerabilidades graves. Y como más del 28% de Internet funciona actualmente en WordPress , es un objetivo popular para los ataques. La buena noticia: las vulnerabilidades más importantes pueden eliminarse muy fácilmente.

Lo bueno de WordPress es que cualquiera puede utilizarlo. De hecho, todo lo que necesitas es una conexión a Internet y estás listo para empezar. La situación es muy diferente con la seguridad de WordPress . Tal vez también sólo por no todos los usuarios se preocupan por el grado de seguridad de WordPress al sacarlo de la caja.

En cualquier caso, debido a sus grandes puntos fuertes -la increíble gama de funciones y los diversos diseños- WordPress tiende a ser muy inseguro. La estructura modular ofrece enormes puntos de ataque. Y, por supuesto, los hackers también se aprovechan de ellos. Y lo hacen de forma automática, las 24 horas del día, los 365 días del año.

Pero no se preocupe: estos puntos débiles incorporados a WordPress pueden eliminarse muy fácilmente. Y, en primer lugar, completamente sin seguridad adicionalPlugin.

No para hablarte de tu autorización de seguridad. De hecho, podría tener mucho sentido. Pero asegurar su WordPress sitio no está completo con su instalación. Y antes de que te veas envuelto en peleas de boxeo de sombras con pseudo-amenazas, tiene más sentido abordar primero las debilidades fundamentales de WordPress para compensar.

En concreto, hoy nos ocupamos de

"Pero mi sitio no es interesante para los hackers en absoluto"

No se equivoquen: esta suposición es sencillamente errónea. Cada WordPress -sitio es valioso para los atacantes. Por ejemplo, como un spinner de spam, parte de una botnet o plataforma publicitaria para sitios de phishing.

Y en caso de duda, al atacante no le importa lo pequeño, nuevo o poco visitado que sea tu sitio . Porque al final, tú y tu son los que sufren. Así, puede ocurrir que el newsletter tu sea clasificado como spam, que se advierta a los usuarios de que no visiten tus sitio y que el ranking de Google tu se resienta porque tu sitio está en una lista negra.

Lo que digo es que, simplemente por la popularidad y proliferación de WordPress , los sitios WordPress son un objetivo agradecido. Independientemente de su contenido y finalidad.

El área de administración de WP es particularmente vulnerable

El loginsitio es accesible por defecto a través del sufijo "wp-admin". Por ello, también es objeto de ataques especialmente frecuentes, como loBrute Force s denominados . Estos ataques se encuentran entre los más comunes contra los sitios WordPress . Esto se debe a que son muy fáciles de automatizar. En un ataque de Brute Force , el atacante básicamente intenta adivinar la combinación correcta de nombre de usuario y contraseña. Por lo tanto, si la contraseña es débil, o el área de inicio de sesión no está protegida, puede ocurrir que un ataque de Brute Force tenga éxito - y el atacante pueda entrar con éxito en tu WP - o que la cantidad masiva de intentos de inicio de sesión paralice tu sitio .

Wordfence, el conocido fabricante de la seguridad homónimaPlugins, registró una media de 34 millones de ataques a Brute Force sólo en marzo, y eso es diario. En comparación, los llamados "ataques complejos", es decir, los que explotan vulnerabilidades de seguridad específicas, se sitúan en un nivel de 3,8 millones de ataques diarios.

Estadísticas sobre las agresiones de Brute Force contabilizadas por Wordfence en marzo de 2017
El informe de marzo de Wordfence muestra: El fabricante de plugins pudo registrar una media de unos 34 millones de ataques diarios a Brute Force . Hubo especialmente muchos a mediados de mes.

Sin embargo, como Wordfence sólo cuenta los ataques que fueron bloqueados por su propio software, el número de casos no denunciados es aún mayor.

Pero la buena noticia es que, aunque el ataque al área de administración de WP es muy fácil y se puede automatizar rápidamente, las medidas de protección contra él son muy sencillas. Para asegurar el área de administración de WP en tu , puede colocar muros de protección en tres lugares:

  1. A nivel de WP, a través de contraseñas seguras
  2. En el propio inicio de sesión, limitando el número de intentos de inicio de sesión
  3. Antes de iniciar la sesión, a través de una lista negra

1) La vieja castaña: contraseñas seguras

Brute Force los ataques son muy descabellados. Básicamente, sólo adivinan. Por eso, una contraseña fuerte puede ser suficiente para que los ataques no vayan a ninguna parte. Así que seamos breves: la contraseña fuerte es obligatoria. Esto incluye: Letras, números, caracteres especiales y mayúsculas y minúsculas. Y, por supuesto, la autenticación bidireccional también tiene sentido.

TIP: Por cierto, los gestores de contraseñas facilitan no sólo la creación de contraseñas seguras, sino también su gestión. Los ordenadores de Apple ofrecen con el programa "gestión de llaveros", por ejemplo, una forma cómoda de gestionar las contraseñas de tu sin conexión. Todo lo que tienes que hacer es recordar una contraseña maestra (que debe ser lo más compleja posible, por supuesto). Los programas de gestión de contraseñas basados en la nube, como 1Password, LastPass o X-Key Pass, también funcionan de la misma manera.

2) Limitar el número de accesos

Por los números de Wordfence uno se puede ver de manera impresionante: Brute Force Los ataques son los más comunes en los WordPress sitios. Así que la probabilidad de que su sitio sea víctima de tal ataque es muy alta. Y para que el alto número de intentos de acceso no agobie innecesariamente a su sitio, existe la posibilidad de limitarlos.

Por ejemplo, una IP se bloquea durante un tiempo determinado después de tres intentos fallidos. Si luego vuelve a superar el límite, el periodo de bloqueo aumenta sucesivamente. De este modo, se limita muy rápidamente el número de intentos posibles hasta tal punto que el ataque resulta inútil.

Dependiendo de lo bajo que se establezca el umbral de bloqueo, este procedimiento también puede proteger contra un ataque con IPs cambiantes. La forma más fácil de implementar esta protección tu área de inicio de sesión es a través de Plugins . Aquí puede encontrar por ejemplo WP Limit Login Attempts, Bloqueo de inicio de sesión o uno de los grandes plugins de seguridad como Sucuri, Wordfence o Seguridad WP todo en uno. Las páginas de los clientes de RAIDBOXES ya están equipadas con una protección Brute Force en el lado del servidor. En este caso no es necesario un Plugin adicional.

3) Lista negra

Los empleados de empresas de seguridad como Sucuri o Wordfence dedican gran parte de su tiempo de trabajo a analizar los ataques. También publican estos análisis a intervalos regulares. Uno de los aspectos más importantes en estos informes es regularmente el origen de una IP. Esto se debe a que ciertos países albergan servidores especialmente propensos a los ataques.

Por lo tanto, poner en la lista negra las IPs correspondientes tiene mucho sentido. Especialmente si la región no es relevante para su grupo objetivo. De este modo, puede repeler eficazmente los ataques antes de que lleguen a tus sitio .

Puede crear estas listas negras usted mismo implementándolas en el nivel del servidor, o puede utilizar una seguridadPlugin con la función correspondiente.

Desaprobado WordPress

WordPress es un sistema modular. Está compuesto por el núcleo, es decir, el software principal, el Plugins y el Themes. Uno de los mayores peligros para las instalaciones de WP surge del hecho de que muchos usuarios no actualizan regularmente su sistema WordPress .

Esto tiene las razones más diferentes. Estos van desde incompatibilidades en Plugins y Themes, hasta la ignorancia o la falta de tiempo para una actualización.

cómo de seguro es wordpress - más del 70 por ciento de todos los sitios de wordpress no están ejecutando la versión actual
Esta estadística de WordPress .org muestra que el 72,5 por ciento de todas las instalaciones de WordPress no están ejecutando la última versión de WP. Casi el 40 por ciento de ellos utilizan versiones aún más antiguas que la 4.7.

A principios de año se demostró de forma impresionante a dónde puede llevar el retraso de las actualizaciones del núcleo: en febrero de 2017 se conoció una vulnerabilidad de seguridad en la versión 4.7.1 de WordPress , y se pidió a los usuarios de WordPress que actualizaran a la versión 4.7.2 lo antes posible.

En muy poco tiempo, el informe provocó ataques masivos a los sitios WordPress (porque la brecha aún no se conocía antes del anuncio oficial). Los fabricantes del correspondiente software de seguridad vuelven a dar cifras al respecto: en pocos días, un total de entre un millón y medio y dos millones de sitios fueron hackeados. dos millones de páginas fueron hackeadas. Anteriormente, un empleado de Wordfence había descubierto la brecha de seguridad.

Si se recuerda que actualmente más del 28 por ciento de todo Internet se basa en WordPress , se puede tener una idea bastante clara de lo que podría ocurrir si una vulnerabilidad de este tipo pasara desapercibida. Por lo tanto, es aconsejable automatizar las actualizaciones del núcleo de WordPress o tenerlas automatizadas.

Por cierto, esto se aplica principalmente a las denominadas actualizaciones menores, es decir, a los números de versión con tres dígitos, por ejemplo, 4.7.4. Son las denominadas "versiones de seguridad y mantenimiento" y deben instalarse siempre lo antes posible. En el caso de saltos de versión mayores, por ejemplo de la 4.7 a la 4.8, la situación es algo diferente: aquí, las actualizaciones se centran en las funciones y la orientación al usuario.

Obsoleto Plugins y Themes

Lo que es cierto para el núcleo de WordPress también lo es, por supuesto, para las versiones Plugins y Themes: Las versiones obsoletas de Plugin casi siempre contienen vulnerabilidades de seguridad, y además evitables.

Según un estudio de seguridad sobre los sistemas de gestión de contenidos, la Oficina Federal Alemana de Seguridad de la Información (BSI) tiene una opinión similar. Los datos de la BSI se refieren al periodo comprendido entre 2010 y 2012. El 80 por ciento de las vulnerabilidades comunicadas oficialmente podían remontarse a extensiones, es decir, en la mayoría de los casos a Plugins.

Una búsqueda de exploits mediante ExploitsDatabase devolvió más de 250 exploits para WordPress . La mayoría de las hazañas para WordPress Plugins se han introducido aquí.

- BSI (2013): "Estudio de seguridad de los sistemas de gestión de contenidos (CMS)".

En la práctica, Plugins es un punto de ataque favorito de los hackers. Y con más de 50.000 extensiones en el directorio oficial de plugins de WordPress , también es muy productivo. El punto de partida de estos ataques son las lagunas en el código de Plugins.

Aquí es importante entenderlo: Estas lagunas siempre existirán. Un sistema 100% seguro simplemente no existe. Y: La falta de actualizaciones en Plugin o Theme no significa automáticamente que sea inseguro. Incluso si la frecuencia de actualización es un buen indicador de la calidad del soporte de un fabricante. Pero también podría ser que no se haya descubierto ninguna vulnerabilidad de seguridad hasta ahora.

Pero si se descubre alguno, el proveedor del plugin también proporcionará (con suerte) una actualización que cierre la brecha. Si no lo hacen, es posible que se produzcan inyecciones SQL o cross site scripting (XSS). Con el primero, los hackers manipulan la base de datos tus sitio . De esta manera, pueden, por ejemplo, crear usuarios completamente nuevos con derechos de administrador y luego infectar tu sitio con código malicioso o incluso convertirlo en un spinner de spam.

Los ataques XSS consisten básicamente en colocar JavaScript en tus sitio . De este modo, un atacante puede, por ejemplo, inyectar formularios en tus sitio que roben los datos del usuario. Completamente discreto, con encriptación SSL y en un entorno de confianza.

Y como Plugins y Themes ofrecen tantos puntos de ataque, siempre debes prestar atención al número de Plugins y asegurarte de no dejarlos en estado desactivado, sino desinstalarlos realmente cuando ya no los necesites.

Compartido Hosting

Estas desventajas ya son inherentes a WordPress . Dado que tu sitio también debe, por supuesto, entrar en línea de alguna manera, el Hosting es también un aspecto de seguridad importante. Dado que la seguridad y Hosting es un tema muy complejo y polifacético, en este momento sólo me gustaría hablar de la gran desventaja de Shared Hosting . Una vez más, esto no significa que te esté hablando de Shared Hosting . Tiene mucho sentido, especialmente desde el punto de vista del precio. Pero Shared Hosting tiene una desventaja decisiva que debes conocer.

Esto se debe a que con Hosting compartido varias páginas se encuentran en un mismo servidor. Las páginas también comparten la dirección IP. Esto significa que el estado y el comportamiento de una sitio también puede afectar negativamente a todas las demás páginas del servidor. Este efecto se denomina Efecto Mal Vecino y se refiere, por ejemplo, al spam. Si un sitio en su servidor hace que la IP esté en la lista negra, esto también puede afectar a tu .

Además, puede llevar a un uso excesivo de los recursos, por ejemplo si una de las páginas del servidor se ve involucrada en un ataque DDoS o se ve afectada por un ataque masivo. Por tanto, la estabilidad de la oferta propia de tu depende siempre, en cierta medida, de la seguridad de los demás sitios de su servidor.

Para los proyectos profesionales de WP-WordPress , un servidor virtual o dedicado tiene mucho sentido. Por supuesto, los conceptos de seguridad de los hosters también incluyen soluciones de copia de seguridad, cortafuegos y escáneres de malware, pero hablaremos de ellos en detalle en otro lugar.

Conclusión

WordPress es inseguro. Y esto se debe a su estructura modular. Por lo tanto, su mayor fortaleza puede convertirse en su mayor debilidad. La buena noticia es que se puede solucionar fácilmente este punto débil. Más que el esfuerzo en la gestión de usuarios y la creación de contraseñas, así como en las actualizaciones, básicamente no es necesario.

Por supuesto, estas medidas no convierten a tu sitio en Fort Knox. Pero son la piedra angular del concepto de seguridad de tu . Porque si no se observan, pueden socavar todas las demás medidas de seguridad. Y cada usuario de WordPress puede influir en estos aspectos de forma independiente. Por eso es tan importante que los tenga siempre presentes.

Como administrador de sistemas, Tobias vigila nuestra infraestructura y encuentra cada tornillo para optimizar el rendimiento de nuestros servidores. Debido a sus incansables esfuerzos, a menudo se le puede encontrar por la noche en Slack.

Artículos relacionados

Comentarios sobre este artículo

Escribe un comentario

Tu dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con *.