Como el CMS más popular del planeta, WordPress deja a miles de diseñadores de sitios web, desarrolladores y propietarios de negocios crear y ejecutar sus sitios web. Debe su popularidad a su sencillez de uso, sus peculiaridades y un próspero ecosistema de desarrolladores de complementos y temas, y la comunidad de WordPress. Sin embargo, hay una otra cara. Esta popularidad es la razón por la cual los piratas informáticos se dirigen a los sitios de WP para lanzar varios y comunes ataques de Wordpress. ¿Qué es precisamente un ataque de WordPress y cuáles son las clases más comunes de ataques que utilizan los piratas informáticos? Discutámoslos en detalle. ¿Qué es un ataque de Wordpress? Si bien hay muchas formas de agredir los sitios de WordPress, cualquier intento que aproveche las debilidades o vulnerabilidades de seguridad en los sitios de WP puede denominarse un ataque de WordPress. ¿Significa esto que WordPress es intrínsecamente inseguro o propenso a sufrir ataques? De nada. WordPress en sí mismo es seguro. Los sitios de Wordpress tienen vulnerabilidades porque los propietarios de sitios web de manera frecuente no prosiguen las pautas de seguridad recomendadas para sus sitios. Entonces, ¿de qué manera atacan los hackers los sitios de WP? Aquí hay cinco de los ataques más habituales que los piratas informáticos desatan en los sitios de Wordpress en todo el mundo. Los 5 ataques de WP más comunes y cómo evitarlos Aunque los piratas informáticos han ideado formas nuevas e renovadoras de agredir los sitios de WordPress, estos son los cinco tipos más habituales de ataques de WordPress: Ataques de fuerza bruta inyecciones SQL Complementos y temas vulnerables Phishing y robo de datos Script entre sitios (XSS) Examinemos cada uno de estos 5 ataques en detalle, junto con de qué forma puede evitarlos. Ataques de fuerza salvaje Este es probablemente el ataque de malware de WP más simple en el que los piratas informáticos apuntan a su página de inicio de sesión de Wordpress. Los ataques de fuerza bárbara usan bots automatizados que reiteradamente procuran adivinar las credenciales para obtener acceso a las cuentas de Visite este sitio los usuarios, en particular a aquellos con derechos de administrador. Una vez que los piratas informáticos ingresan a una cuenta de usuario administrador, pueden tomar el control total de su sitio web e producir el máximo daño. La mayor parte de los usuarios facilitan la entrada de los piratas informáticos al usar nombres de usuario débiles como "usuario123" o "admin" o contraseñas enclenques como "contraseña" o "123456" que son fáciles de adivinar para los piratas informáticos. De qué forma evitar los ataques de fuerza bruta Acá hay algunas medidas que puede tomar para resguardar su sitio de WP de los ataques de fuerza bruta: Cambie su nombre de usuario de administrador predeterminado de WordPress de "admin" a algo más exclusivo. Haga que las claves de acceso seguras sean obligatorias para todos los usuarios. Una clave de acceso segura debe tener cuando menos diez caracteres y debe tener una combinación de letras, números y caracteres especiales (@,$ , _). Limite el número de intentos de inicio de sesión en cualquier cuenta a un máximo de 3. Implemente la autenticación de dos factores (o 2FA) que implica un proceso de inicio de sesión de dos pasos para todas las cuentas de usuario. Cambie sus claves de acceso de usuario a intervalos regulares. Inyecciones SQL Este ataque de WordPress está dirigido a su base de datos de WP usando comandos SQL maliciosos. Mire cualquier sitio web de WordPress y seguramente contendrá campos de entrada de usuario como formularios online, sección de comentarios o barras de busca. Algunos sitios web asimismo le dejan ingresar imágenes o documentos. Los piratas informáticos aprovechan las vulnerabilidades en estos campos de entrada mediante inyecciones SQL para inyectar sus consultas o declaraciones SQL. A través de ellos, pueden tomar el control de su base de datos de WP y después corromper o robar valiosos registros de la base de datos. De qué forma evitar el ataque de Wordpress de inyección SQL Esto es lo que puede hacer para resguardar su lugar de Wordpress de los ataques de inyección SQL: Como las inyecciones de SQL exitosas se facilitan a través de complementos/temas inseguros, asegúrese de instalarlos solo de desarrolladores o empresas fiables. Sostenga siempre y en toda circunstancia actualizados sus complementos/temas instalados a sus últimas versiones. Valide todas y cada una de las entradas de los usuarios en formularios o comentarios online para cerciorarse de que no contengan entradas sospechosas. Cambie el nombre o la localización predeterminados de su base de datos de Wordpress, lo que complica que los piratas informáticos accedan a ella. Complementos y temas frágiles Los complementos y temas de WP ofrecen una forma recomendable de agregar funcionalidades para crear un lugar de WordPress simple de utilizar o diseñar un sitio con la apariencia que escoja. No obstante, los complementos/temas inseguros pueden resultar dañinos para los sitios de WordPress, ya que los piratas informáticos aprovechan sus vulnerabilidades para ingresar a los sitios. Con sitios que contienen cientos y cientos de complementos/temas, los piratas informáticos pueden usar estas vulnerabilidades para apuntar a todos y cada uno de los sitios web que usan exactamente la misma versión de complemento/tema. Para evitar esto, los desarrolladores de los complementos/temas más populares corrigen cualquier fallo relacionado con la seguridad y lanzan versiones actualizadas para cubrir cualquier brecha de seguridad. De qué manera eludir plugins y temas vulnerables Aquí existen algunas medidas que puede tomar para habilitar la protección contra ataques de WordPress contra complementos/temas vulnerables: Instale sus complementos/temas de WP solo de fuentes o desarrolladores confiables. Actualice todos sus complementos/temas instalados a su última versión libre. Suprima los complementos/temas inactivos o abandonados que su equipo de desarrollo no haya recibido no actualizado. Evite el uso de complementos y temas cancelados o pirateados, que a menudo contienen código de malware para infectar su sitio web. Limite la cantidad de complementos/temas instalados en su lugar de Wordpress y desinstale los que ya no usa. Además del peligro de seguridad, demasiados complementos también pueden afectar la velocidad de su sitio. Phishing y robo de datos Como se mencionó anteriormente, los piratas informáticos no solo quieren dañar su sitio de Wordpress, sino que también procuran robar datos valiosos, como registros de clientes e información financiera de su negocio. Los piratas informáticos procuran hacerse pasar por usuarios "genuinos" y mentir a los usuarios desprevenidos a fin de que se desprendan de detalles importantes como las credenciales de comienzo de sesión o los detalles de la tarjeta de crédito. Esto es lo que hace que el phishing sea un tipo de ataque de Wordpress gravemente perjudicial. Mediante el phishing, los piratas informáticos pueden acceder a cualquier sitio comercial y mandar e-mails a su base de clientes. Luego, los clientes desprevenidos se ven obligados a hacer click en links que los redirigen a sitios web no pedidos que venden productos falsos o ilegales. O, son engañados a fin de que revelen su información personal o efectúen pagos. De qué forma evitar el phishing y el robo de datos Aquí existen algunas medidas que puede tomar para evitar el phishing y el hurto de datos en su sitio de WordPress: Resguarde su lugar de WordPress habilitándolo para HTTPS mediante un certificado SSL. Los sitios web HTTPS encriptan todos los datos trasmitidos entre el sitio y el navegador del usuario, por lo que los piratas informáticos no pueden explotar los datos incluso si son interceptados. Mover su sitio a HTTPS también es una parte de una estrategia integral de SEO, ya que los buscadores web como Google favorecen los sitios HTTPS por la seguridad de sus usuarios. Instale un complemento de seguridad de WP como MalCare o Sucuri que puede detectar cualquier actividad sospechosa en su sitio web y suprimir el malware. Instale un firewall de sitio para proteger su sitio a través de la detección y el bloqueo de solicitudes de IP de fuentes sospechosas. Secuencias de comandos entre sitios (XSS) También conocido como XSS, Cross-Site Scripting es otro ataque de WP que aprovecha los sitios frágiles para cargar código JavaScript malicioso que incita a los visitantes del lugar a compartir sus datos o efectuar una acción. Los ataques XSS son mucho más peligrosos que otros ataques, ya que pueden dirigirse a los usuarios administradores y conseguir la autoridad para efectuar tareas de alto privilegio. Esto incluye ver o mudar claves de acceso de usuario, rastrear información de pago o ver registros de bases de datos confidenciales. Los ataques XSS también usan técnicas de phishing como apuntar a subscripciones a folletines de correo electrónico o foros en línea para apuntar a usuarios desprevenidos. De qué manera eludir el ataque de Cross-Site Scripting Aquí hay algunas formas en que puede prevenir los ataques XSS o Cross-Site Scripting: Filtre cada entrada de usuario en su sitio web de Wordpress y deje solo entradas válidas. Utilice técnicas de creación de listas blancas, como permitir solo caracteres predeterminados en los campos de entrada. Desarrolle una política de seguridad de contenido completa para su sitio web. Instale un complemento XSS de WP o un complemento de seguridad como MalCare o Sucuri, que puede evitar todo género de inyecciones de código. Pensamientos finales Hemos analizado cinco de los ataques de WordPress más habituales implementados por piratas informáticos y de qué manera puede prevenirlos. Sin embargo, es importante recordar que los piratas informáticos no se restringen a estos ataques. Continuamente están ideando nuevas formas de comprometer los sitios. La mejor forma de garantizar la protección continua de su sitio es utilizar un complemento de seguridad de WP dedicado que pueda advertir los ataques de WP más recientes y, hasta el momento, menos conocidos. Los complementos de seguridad como MalCare están desarrollados solamente para Wordpress y combinan múltiples medidas de seguridad como un firewall, protección de inicio de sesión, actualizaciones de complementos y temas, refuerzo de WP, etc. con eliminación y escaneo de malware a fin de que pueda proteger su sitio web con unos pocos clics.
0 Comments
Leave a Reply. |