Es WordPress seguro 7 amenazas y sus soluciones

¿Es WordPress seguro? 7 amenazas y sus soluciones

La gran popularidad de WordPress hace que tenga algunos problemas de seguridad importantes.

Los ataques informáticos van en aumento y WordPress es el objetivo preferido de miles de ciberdelincuentes. No porque sea inseguro, sino porque es el sistema para crear webs más popular y eso significa poder atacar millones de sitios web a la vez.

Dicho esto, vamos a ver cuáles son las amenazas más importantes hoy en día y que soluciones hay.

Plugins y temas vulnerables

La mayor fuente de problemas la van a generar tus plugins y tema y tienes que saber lo siguiente.

Es muy posible que te encuentres con el consejo de «mantén tus plugins y temas actualizados y estarás seguro». Pero, esta información es verdad a medias.

  • Existen plugins y temas que están abandonados y no reciben actualizaciones
  • Es posible que se haya descubierto una vulnerabilidad (agujero de seguridad) y el desarrollador no haya tenido tiempo a solucionarla

Por esto, es recomendable al 100% tener tanto tus temas y plugins actualizados, pero esto no es suficiente.

Monitoriza las vulnerabilidades

La mejor forma de solucionarlo es teniendo un «chivato» que se encargue de avisarte si tu web tiene alguna vulnerabilidad.

De esa forma podrás desactivar el plugin o buscar una alternativa antes de que seas hackeado e infectado. De esta forma te adelantas a una posible infección o hackeo de tu sitio WordPress.

Por suerte, hay un par de soluciones y además son gratuitas:

  • Jetpack Protect es un plugin gratuito (no confundir con JetPack Scan y JetPack Security) que revisa cada día tus plugins, temas y versión de WordPress contra su base de datos y te avisa si alguno de ellos es vulnerable.
  • Otra alternativa similar, pero más ligera y sin publicidad, es WPVulnerability

¿Qué consigues con esto? Vas a ir un paso por delante de los ciberdelincuentes, ya que podrás cerrar ese agujero de seguridad antes de que los malos consigan utilizarlo.

Hay que tener en cuenta que estos plugins no te avisan por email si encuentran una vulnerabilidad, sino que tendrás que entrar al panel de control de tu WordPress para verlo.

Usa temas oficiales

Es una práctica habitual descargar temas y plugins desde sitios no oficiales.

Esto entraña cierto riesgo, ya que es posible que estés instalando sin saberlo un backdoor o puerta trasera en tu web. Esto permite al autor del tema «pirata» crear un usuario administrador en tu web.

Este tipo de puertas traseras además son indetectables por un escáner de virus.

Usar temas descargados de forma ilegal

En la imagen superior vemos que el nombre del tema incluye el sitio web de donde ha sido descargado. En este caso un sitio que comparte temas y plugins sin la autorización del desarrollador.

La solución es simple. Usa solo temas y plugins descargados del repositorio oficial de WordPress o del sitio web de su desarrollador.

Contraseñas y usuarios vulnerables

Uno de los ataques más comunes a WordPress es probar miles de usuarios y contraseñas hasta dar con el correcto.

Es lo que se llama un ataque de fuerza bruta. Este tipo de ataques además de averiguar tus contraseñas van a suponer un gran consumo de recursos en tu servidor. Por lo que también van a ralentizar la velocidad de tu web.

Hay formas sencillas de evitarlo como te explicamos a continuación.

Usa usuarios y contraseñas fuertes

Para evitar este tipo de amenazas lo primero es usar nombres de usuario y contraseñas fuertes.

  • Evita usar el nombre de usuario «admin» ya que es el primero que prueban los ciberdelincuentes
  • Evita que el nombre de usuario coincida con el dominio de tu sitio web
  • Usa un generador de contraseñas. Usar la misma contraseña en varios sitios es una mala idea
  • Un gestor de contraseñas como LastPass es una una inversión 100% necesaria. Solo tendrás que recordar una contraseña maestra

Usa un plugin de protección contra ataques de fuerza bruta

Debes instalar un plugin que bloquee probar muchos usuarios y contraseñas.

Tienes soluciones gratuitas como iThemes Security que incluyen protección contra este tipo de ataques. Ten en cuenta que este tipo de amenazas pueden probar miles de contraseñas por minuto. Por lo que en algún momento pueden dar con la tuya. Con una protección de este tipo el ataque quedará bloqueado cuando prueben unas pocas contraseñas incorrectas.

Ataques de bots maliciosos

Cada día tu sitio web va a ser atacado por una infinidad de robots maliciosos.

Los bots maliciosos son programas informáticos que acceden a tu web con malas intenciones. Así que cada día tu web será acosada cientos o miles de veces para conseguir lo siguiente.

  • Buscan vulnerabilidades y agujeros de seguridad en tu sitio web
  • Prueban nombres de usuario y contraseñas para intentar acceder como administrador
  • Atacan vulnerabilidades conocidas de plugins y temas
  • Intentan publicar comentarios de tipo SPAM con enlaces a sitios web de mala reputación
  • Rastrean tu web para conseguir direcciones de email y otros datos
  • Copian tu contenido para publicarlo en otros sitios
  • Rastrean los enlaces salientes de tu web para conocer y atacar otras webs
  • En el peor de los casos pueden hacer un ataque de denegación de servicio DDOS impidiendo el acceso a tu web

Todo esto supone un estrés para tu web que tiene efectos negativos como una bajada del rendimiento o una posible infección.

Usa un CDN con protección contra bots

La solución a esto es impedir que los bots accedan a tu sitio web.

Mientras que hay plugins de WordPress que pueden mitigar este tipo de ataques, la solución más fiable es usar un CDN. Este tipo de tecnología se interpone entre tu web y cualquiera que quiera acceder. Tanto bots como usuarios.

usar un CDN para mitigar ataques de bots
Los CDN tienen crean una red de servidores por todo el mundo para que los usuarios accedan a ella lo más rápido posible.

Servicios de CDN como Bunny.net se encargan de parar este tipo de bots. Además harán que tus usuarios puedan acceder mucho más rápido a tu web. Si tus usuarios están en Latinoamérica o España notarán una mejora en la velocidad aunque tu servidor esté en USA.

Tecnología obsoleta

Puede que tomes todas las medidas de seguridad en tu web y aun así ser infectado.

¿Cómo es esto posible? Muchos servidores y hosting no actualizan el software instalado. Por lo tanto tu web estará funcionando sobre un sistema inseguro que los ciberdelincuentes pueden explotar.

usar una versión antigua de PHP da problemas de seguridad
Captura de uno de los últimos sitios web infectados que nos hemos encontrado. Usaba una versión obsoleta de software. En este caso el lenguaje de programación PHP tenía una versión que ya no recibe actualizaciones de seguridad.

Usa un hosting con la última tecnología

El consejo «Usa un hosting con la última tecnología» no sirve siempre.

Aunque tu hosting te asegure que cuenta con la última tecnología (todos dicen hacerlo) es posible que no sea así. Esto se debe a que actualizar el software en ocasiones puede hacer que tu sitio se rompa. Por lo que muchas veces se mantienen funcionando software antiguos, inseguros, pero que funcionan.

¿Solución? Accede al gestor de WordPress y en la sección de «Herramientas» > «Salud del sitio» encontrarás toda la información sobre tu servidor y otros problemas.

Otros ataques y problemas de seguridad en WordPress

Por supuesto hay otras amenazas que pueden afectar a tu sitio creado con WordPress.

Vamos a enumerar algunas que debes tener en cuenta:

  • Tu web puede tener pequeñas caídas de servicio debido a cortes de servicio en el servidor. Un servicio gratuito como BetterUptime te avisa si tu web está caída o tiene cortes de forma constante.
  • Si falla alguno de tus plugins puede que solo esté visible la página de inicio. Trata de monitorizar alguna página adicional para detectar este tipo de errores.
  • Si tu sitio ha sido hackeado en el pasado puede que los malos hayan escondido contenido oculto en tus posts. Haz una búsqueda en Google para detectarlo. por ejemplo «site:tudominio.com póker» Sustituyendo tudominio.com por tu verdadero dominio y póker por cualquier otra palabra sospechosa.
  • Los ataques de SEO black hat consisten en enlazar tu web desde sitios de mala reputación. Esto se hace para que tu web tenga peores resultados en Google.
  • Si tu web ha sido infectada en algún momento es posible que aparezcas en una lista negra. Esto puede suponer que desaparezcas de los resultados de Google.

Conclusión

¿Es WordPress seguro? Como has visto hay muchas amenazas y debes tenerlas en cuenta.

Cuanto más crezca tu sitio en número de visitas más ataques recibirás. Si tu sitio tiene especial interés para los ataques (como una tienda online) deberás extremar las precauciones. Así que sigue los consejos que te hemos dado aquí y podrás dormir tranquilo.

Para seguir aprendiendo mira el resto de contenidos que tenemos para mejorar la seguridad.

Autor del post

Gracias por compartir este post