Habla con nosotros en WhatsApp
BLOG
¡Bienvenido a nuestro blog! lo actualizamos todas las semanas con las noticias y consejos más útiles para tu hosting y página web

Guía definitiva de seguridad para WordPress – 2022

Guía definitiva de Seguridad

Guía definitiva de seguridad para el sistema de gestión de contenidos o (CMS) de WordPress el cual es una de las aplicaciones web más populares del mercado. Se estima que WordPress impulsa casi el 40% de Internet, frente al 30% de hace unos años. La base del éxito del sistema de administración de contenido es su conveniencia, su instalación simple y su amplia comunidad de temas y complementos. WordPress puede ser utilizado por alguien que tiene muy poco conocimiento de las formas en que funciona una aplicación web, pero se produce a expensas de la seguridad. El artículo cubre los siguientes temas:

Guía definitiva de Seguridad para WordPress

¿Puede WordPress ser hackeado?

Cualquier aplicación web podría ser potencialmente pirateada, pero WordPress es un objetivo principal debido a su popularidad. El núcleo del código de WordPress generalmente es seguro, pero las vulnerabilidades generalmente provienen de temas o complementos de terceros. Los temas y complementos agregan código al núcleo de WordPress para proporcionar funcionalidad adicional, pero es precisamente este código el que podría introducir vulnerabilidades.

Dado que los propietarios de los sitios generalmente no son expertos en seguridad, no saben cómo revisar el código y probar los complementos de terceros en busca de vulnerabilidades. Incluso los complementos con millones de descargas pueden tener vulnerabilidades desconocidas, por lo que usar solo complementos y temas populares no garantiza la seguridad.

El código de terceros no es el único riesgo para un sitio de WordPress. Si el servidor o la aplicación están mal configurados (por ejemplo, acceso permisivo a archivos o directorios críticos), podría provocar una violación de datos o un atacante podría cargar un código malicioso en el servidor de WordPress para comprometer el sitio web objetivo o el propio servidor. Cualquier configuración incorrecta o código vulnerable deja a WordPress abierto al riesgo, por lo que incluso con su código seguro, WordPress puede ser pirateado.

Debido a que WordPress es un software tan popular, es común que los atacantes utilicen funciones de escaneo de secuencias de comandos para encontrar y (a veces) explotar vulnerabilidades automáticamente. Cualquiera que monitoree un sitio de WordPress informará diariamente numerosos escaneos de bots y otras amenazas maliciosas. Aquí hay una lista de amenazas comunes que podrían comprometer un sitio de WordPress que debe considerar al proteger su sitio.

Autenticación no autorizada

Los ataques de fuerza bruta a la cuenta de administrador del blog de WordPress son muy comunes. Si usa una aplicación de monitoreo que bloquea y registra estos bots de autenticación de fuerza bruta, puede ver que el nombre de usuario «admin» y «administrador» son atacados constantemente. Puede tomar precauciones y protegerse de la autenticación de fuerza bruta utilizando un nombre de usuario de administrador alternativo. Esto no protege completamente contra los ataques de fuerza bruta, pero bloqueará los scripts codificados para buscar los dos nombres de usuario de administrador más comunes.

Software central obsoleto

El código central de WordPress es seguro hasta que se encuentra una vulnerabilidad. La vulnerabilidad podría introducirse en un código agregado a la base central de WordPress, o podría ser una vulnerabilidad desconocida que existió durante un tiempo y se descubrió recientemente.

Los desarrolladores de WordPress lanzan nuevas versiones durante todo el año. Para combatir las vulnerabilidades del software central desactualizado, actualice su software de WordPress cuando haya una nueva versión disponible. WordPress también tiene una función de actualización automática que actualizará el software principal cada vez que se implemente una nueva versión.

Versiones obsoletas de PHP

El lenguaje de programación PHP ha pasado por múltiples cambios desde su lanzamiento y las versiones anteriores ya no son compatibles. El sitio web oficial de PHP enumera la última versión como 8.0 con actualizaciones de seguridad admitidas hasta 2023, pero 7.3 no recibirá más actualizaciones. Si ejecuta versiones anteriores de PHP, corre el riesgo de dejar vulnerabilidades en el sitio de WordPress sin opción para parchearlas. .

Alojar una versión de PHP desactualizada es común porque cada vez que se introduce el nuevo software en el sitio, la nueva configuración debe probarse antes de instalarse. Se realizan algunos pequeños cambios entre versiones, por lo que instalar sin probar primero podría dañar el sitio. Esta complicación genera un retraso, lo que abre una ventana de oportunidad para los atacantes. Cuando una versión de PHP está oficialmente obsoleta y ya no es compatible, el sitio de WordPress debe probarse y actualizarse a la última versión compatible lo más rápido posible.

Roles de usuario no definidos

Cuando configura por primera vez el software de WordPress, crea una cuenta de administrador durante la instalación. Esta cuenta tiene control total sobre la aplicación. WordPress tiene varios otros roles, como Editor, Escritor y Suscriptor. Cada rol tiene sus propios permisos básicos agregados a una cuenta de usuario cuando se crea.

Los permisos de los usuarios deben supervisarse en profundidad, y cualquier persona a cargo de agregar usuarios debe usar las instrucciones adecuadas para asignar los roles correctos a cada cuenta nueva. También se asigna un rol a los nuevos usuarios de forma predeterminada. Este rol debe ser el que tenga los permisos más limitados y los permisos adicionales agregados más adelante.

Temas y complementos de WordPress obsoletos

Al igual que la base de código principal de WordPress debe actualizarse, los temas y complementos también deben actualizarse cuando se descubren vulnerabilidades. Este requisito presiona a los desarrolladores para que parcheen su software, por lo que el propietario del sitio de WordPress solo debe instalar temas y complementos con un desarrollador activo que no haya dejado de admitir el código del complemento.

Incluso los complementos populares tienen vulnerabilidades, pero la mayoría de los desarrolladores continuarán parcheando el soporte para atraer usuarios. Mientras busca un complemento o tema, elija siempre software que tenga un desarrollador activo y actualizaciones frecuentes, especialmente actualizaciones de seguridad.

Inyección de SQL

Cuando el código pasa consultas SQL a la base de datos, debe validarse para evitar inyecciones SQL. Los ataques de inyección SQL se aprovechan de complementos y temas mal codificados y envían declaraciones maliciosas a la base de datos. Estas declaraciones permiten al atacante ejecutar consultas, eliminar datos y potencialmente elevar los privilegios. El problema de seguridad más grave es que los atacantes pueden ocultar malware dentro de la base de datos para volver a infectarlos y mantener una amenaza persistente.

Los propietarios de sitios de WordPress dependen en gran medida de los desarrolladores para validar las declaraciones SQL antes de enviarlas a la base de datos. Por ejemplo, los desarrolladores deberían usar declaraciones preparadas en lugar de generar consultas usando cadenas y la entrada del usuario. Cualquier entrada del usuario debe tratarse como «no segura» y validarse antes de enviarla a la base de datos.

Malware

Los atacantes escribirán scripts para identificar oportunidades para cargar aplicaciones maliciosas. La instalación exitosa de malware puede permitir que un atacante desfigure el sitio, descargue ransomware al servidor o inyecte código en archivos de WordPress. Cualquier propietario de un sitio de WordPress que no esté familiarizado con el monitoreo y la detección de malware podría dejar un código malicioso ejecutándose sin saberlo y continuar permitiendo que el atacante robe datos. Un sitio comprometido es estresante para el propietario del sitio y requiere que un experto encuentre la vulnerabilidad y resuelva el problema.

El malware se puede cargar debido a varias razones. El acceso permisivo a los directorios, las vulnerabilidades en el complemento y el código del tema, o las configuraciones incorrectas del sitio son algunos ejemplos de problemas de seguridad que podrían provocar la instalación de malware en un sitio de WordPress. Mantener su sitio actualizado y cubierto con monitoreo de actividad puede ayudar a detener y detectar cargas de malware.

Secuencias de comandos en sitios cruzados

Los ataques de secuencias de comandos en sitios cruzados (XSS) ocurren cuando los atacantes aprovechan un código de complemento mal diseñado que les permite inyectar su propio contenido malicioso en el intercambio de información entre el cliente y el servidor. Hay dos tipos de ataques XSS: reflejados y persistentes. Con XSS reflejado, un atacante enviará código malicioso a la entrada del usuario que posteriormente se muestra en el navegador del usuario.

El XSS persistente ocurre cuando el atacante envía contenido malicioso a un servidor web y la aplicación lo almacena en la base de datos. El contenido malicioso almacenado se representa más tarde en el navegador de un usuario. Este contenido malicioso también podría robar cookies o tokens de acceso, redirigir a los usuarios a un sitio malicioso o robar datos de usuarios.

Denegación de servicio distribuida (DDoS)

Un DDoS no se deriva de un código deficiente, sino que ocurre cuando los atacantes inundan el sitio con demasiado tráfico, agotando los recursos. Si un DDoS no se detecta rápidamente, el ataque podría inutilizar el sitio. Un DDoS utiliza varios dispositivos en diferentes ubicaciones geográficas para enviar una avalancha de tráfico al servidor, lo que aparentemente puede ocurrir sin previo aviso. El sitio debe ser monitoreado en busca de un ataque de este tipo para que los administradores puedan actuar rápidamente.

Un DDoS es distinto de una denegación de servicio (DoS). Un DoS también es una vulnerabilidad potencial en un código mal diseñado. Cualquier actividad maliciosa que impida que los usuarios usen la funcionalidad del sitio es un DoS. Supervisar la actividad del sitio, los errores y los recursos del servidor ayudará a detectar y detener rápidamente un DoS.

Spam SEO

Algunos ataques inyectan palabras clave, enlaces y redireccionamientos. El objetivo es aprovechar las páginas del sitio con una clasificación alta en los motores de búsqueda y aprovecharlas para mejorar la clasificación del sitio de un atacante. Los «hacks farmacéuticos» ocultan palabras clave y enlaces ocultos para productos farmacéuticos en las páginas de las víctimas. Los motores de búsqueda detectan el contenido y clasifican las páginas para las palabras clave y los enlaces, pero el propietario del sitio no los ve.

Los redireccionamientos condicionales toman a los usuarios de las páginas clasificadas en los motores de búsqueda y los envían a un sitio controlado por un atacante. Los usuarios desconocen la redirección y podrían confiar al sitio controlado por el atacante sus credenciales o información confidencial. Los redireccionamientos condicionales también afectarán la clasificación del motor de búsqueda, por lo que los propietarios de sitios pueden ver que sus páginas se clasifican por frases extrañas o pierden la clasificación repentinamente.

Ataques de fuerza bruta

La cuenta de administrador siempre es un objetivo para los ataques de fuerza bruta. Los atacantes usan contraseñas comunes, las cargan en scripts e intentan automáticamente la autenticación en miles de sitios de WordPress. Se puede detener los ataques de fuerza bruta utilizando la autenticación de dos factores (2FA) y asignando contraseñas criptográficamente seguras a todas las cuentas, sobre todo al administrador. Una contraseña criptográficamente segura tiene al menos doce caracteres, contiene letras mayúsculas y minúsculas y contiene al menos un número y un carácter especial.

¿Cómo hago que mi sitio de WordPress sea seguro?

Como propietario de un sitio de WordPress, depende en gran medida de los desarrolladores para producir un código seguro, pero también puede tomar medidas para garantizar la seguridad de su sitio. Además de mantener siempre seguro su código actualizando la aplicación principal de WordPress y sus complementos, puede tomar varios pasos adicionales que reducirán el riesgo.

Encuentre un proveedor de alojamiento de WordPress confiable

Su sitio web debe estar alojado en un servidor con seguridad reforzada. Los administradores del proveedor de host son responsables de la seguridad del servidor, por lo que puede confiar en ellos para configurar WordPress correctamente. Lea reseñas, busque comentarios de los usuarios y haga preguntas para encontrar un alojamiento seguro de WordPress. Los proveedores de alojamiento enumerarán varias funciones de seguridad que se ofrecen a los propietarios de sitios de WordPress cuando se registran en el servicio, así que busque un proveedor que ofrezca funciones de seguridad con alojamiento.

Tenga el control del acceso a WordPress

Los atacantes se dirigen a páginas específicas que almacenan información confidencial, incluidas las credenciales del sitio. Estas páginas son: wp-admin, wp-login.php y xmlrpc.php. La asignación de permisos incorrectos a estos archivos podría permitir a los atacantes robar credenciales o inyectar sus propias credenciales, dándoles acceso a la base de datos y al contenido del sitio.

Incluso con estos archivos protegidos, los atacantes aún pueden obtener credenciales aprovechando un correo electrónico de phishing, ingeniería social o malware. Para proteger las credenciales de su cuenta, puede tomar medidas adicionales para asegurarse de que los atacantes no puedan autenticarse, incluso si pueden obtener su administrador de WordPress.

  • Utilice contraseñas criptográficamente seguras para evitar ataques de fuerza bruta. Las contraseñas deben tener al menos 10 caracteres y contener números, letras mayúsculas y caracteres especiales. Puede usar una bóveda de contraseñas para almacenar las credenciales de WordPress para que no las olvide.
  • Utilice la autenticación de dos factores. Para autenticarse en el panel de administración de WordPress, un atacante aún necesitará el código de autenticación enviado a su teléfono inteligente. La autenticación de dos factores es una estrategia para detener el acceso no autenticado después de un ataque de phishing.
  • Limite los intentos de autenticación. No puede evitar que los bots intenten la autenticación, pero puede limitar la cantidad de intentos para bloquear los ataques de fuerza bruta. WordPress tiene complementos que limitarán los intentos de autenticación. Después del número definido de intentos, la cuenta se bloquea durante un período de tiempo determinado.
  • Desautentificar cuentas inactivas. Dejar activos a los usuarios inactivos abre la ventana de oportunidad para los atacantes, ya sea mediante el robo de tokens o el acceso físico al dispositivo del usuario. Si el usuario se autentica desde un dispositivo público y se olvida de cerrar sesión, puede usar un complemento de WordPress para asegurarse de que cualquier persona con acceso físico o secuestrado de sesión no pueda acceder al panel de administración.
  • Cambie el nombre de cuenta de administrador predeterminado o cree una cuenta de administrador alternativa. Cuando se instala WordPress, se crea la cuenta de administrador. Una estrategia es cambiar el nombre de esta cuenta a una alternativa, o puede crear una cuenta alternativa y deshabilitar la cuenta de administrador principal.

Mantener WordPress actualizado

Los desarrolladores de WordPress lanzan actualizaciones cada año. Estas actualizaciones solucionan varios errores y problemas de seguridad. Siempre debe hacer una copia de seguridad de su sitio de WordPress antes de actualizar, pero debe actualizar el software lo antes posible, especialmente si la actualización asegura una vulnerabilidad conocida.

No olvide actualizar complementos y temas cuando estén disponibles. Por lo general, las vulnerabilidades provienen del complemento y el código del tema, por lo que la aplicación rápida de parches evitará que los atacantes exploten los problemas. El tablero de WordPress muestra una alerta cada vez que un complemento o tema tiene una actualización publicada.

Diez sencillos pasos para la seguridad de WordPress

Antes de implementar un sitio de WordPress en producción, debe seguir una lista de verificación de acciones que garantice la seguridad de su sitio. Elaboramos una lista de verificación para ayudarlo a comenzar con su seguridad de WordPress.

Crear copias de seguridad

Las copias de seguridad son un componente clave en la recuperación ante desastres. Si no puede recuperarse del tiempo de inactividad con otros métodos, las copias de seguridad recuperarán el sistema a un punto anterior en el tiempo. Las copias de seguridad también son necesarias si su sitio de WordPress es víctima de un ataque de ransomware. Deben almacenarse en un lugar seguro y probarse para asegurarse de que no estén dañados.

Instalar complementos de seguridad

Varios tipos de complementos de seguridad podrían ayudar a detener los ataques. Estos complementos detendrán XSS, ataques de fuerza bruta contra contraseñas, cruce de archivos y cargas maliciosas. Incluso con estos complementos de seguridad, sigue siendo importante monitorear su conjunto de WordPress para identificar ataques.

Utilice un cortafuegos de aplicaciones web (WAF)

Un WAF puede detener muchos de los ataques que aprovechan las vulnerabilidades en el complemento y el código del tema.

Instalar un certificado SSL/HTTPS

Un certificado SSL/TLS agregará seguridad a sus conexiones de usuario para detener el espionaje de datos. Un certificado SSL/TLS también es crucial para la clasificación de los motores de búsqueda, por lo que debería ser una prioridad antes de implementar el conjunto de WordPress en un servidor de producción.

Deshabilitar la edición de archivos

La aplicación de WordPress tiene una opción de edición de archivos que permitirá a los usuarios cambiar el contenido, incluidos los elementos del tema. Si un atacante puede aprovechar cualquier vulnerabilidad, el contenido de su sitio podría verse comprometido con malware oculto, redireccionamientos o enlaces de terceros. Debe bloquear la edición para que solo el administrador pueda editar archivos y configuraciones de temas.

Deshabilitar la ejecución de secuencias de comandos PHP

De forma predeterminada, WordPress configura directorios específicos con permisos de escritura para que los usuarios puedan cargar imágenes, complementos y temas. Si un atacante explota cualquier vulnerabilidad en esta funcionalidad, el sitio podría aprovecharse para alojar malware o scripts PHP inyectados en el código base.

Para evitar convertirse en un anfitrión de secuencias de comandos y códigos maliciosos, el sitio de WordPress debe configurarse para deshabilitar la ejecución de secuencias de comandos PHP.

Modificar el prefijo de la tabla de la base de datos de WordPress

Cuando los atacantes crean sus secuencias de comandos de inyección SQL, en su mayoría asumen que el propietario del sitio objetivo usa el prefijo wp_ predeterminado en todas las tablas de WordPress. Este prefijo se puede cambiar durante el proceso de instalación.

No elimina todas las vulnerabilidades de inyección SQL, pero detiene cualquier secuencia de comandos en la que un atacante asume que las tablas de WordPress tienen el prefijo predeterminado.

Deshabilitar la indexación y exploración de directorios

Cuando se pueden explorar los directorios, los motores de búsqueda pueden indexar la lista de archivos legibles y los atacantes pueden ver cualquier archivo legible para obtener información sobre la forma en que el sitio está configurado y configurado. La exploración de directorios debe estar deshabilitada, lo que se puede hacer en el archivo .htaccess usando la siguiente opción:

Opciones -Índices

Deshabilitar XML-RPC en WordPress

La funcionalidad XML-RPC en WordPress le permite cargar contenido de forma remota utilizando un cliente de terceros. A menos que sea absolutamente necesario cargar contenido de forma remota, esta funcionalidad debe desactivarse para reducir el riesgo de compromiso. Puede deshabilitar XML-RPC fácilmente usando un complemento que le permite controlar el acceso remoto.

Escanee WordPress en busca de malware con frecuencia

Aunque los pasos anteriores reducen el riesgo, no lo eliminan por completo. Para mantener su sitio web seguro, debe escanearlo en busca de amenazas y monitorear la actividad. Un sistema de monitoreo detectará patrones de tráfico y actividad inusuales para que pueda detectar y eliminar malware. Cuando se introduce malware o código malicioso en el sistema, un buen sistema de monitoreo lo detectará y lo remediará automáticamente.

Conclusión de la guía definitiva

La seguridad de WordPress es fundamental para la protección de sus datos y la reputación de su sitio web. Debido a que WordPress es tan popular, los atacantes concentran sus esfuerzos en los sitios que alojan el sistema de administración de contenido.

Si necesita de nuestros servicios de alojamiento no dude en preguntar https://www.webhosting.com.bo/hosting-premium.html

Si necesita servicios de seguridad también los ofrecemos: https://www.sisbolivia.com/

¿QUÉ QUIERES VER?
Blog (2)Blog (105)Dominios Web (5)Peru (1)Posicionamiento Web (7)Seguridad Web (9)Varios (61)Videos (17)Web Hosting (29)Wordpress (4)

Hosting Bolivia

Hosting Inicial
Hosting Ilimitado
Hosting Wordpress
Hosting Cloud
Hosting VPS

Servicios

Email

VPS

Nosotros

Partners oficiales:

Tenemos 14 años de experiencia en el mercado boliviano e internacional, Estamos registrados en fundempresa, ahora SEPREC (contamos con registro de comercio) y el servicio de impuestos nacionales en Bolivia (NIT), así mismo SIGMA Sigep que nos permite ofrecer servicios al Estado Plurinacional de Bolivia, nos caracterizamos por la calidad de nuestros servicios y la asistencia técnica oportuna.

Te ofrecemos la mejor tecnología en servidores, hosting y correo corporativo.

* Descuento válido solo si plan se paga anualmente.
** Dominio . com gratis sólo por el primer año.
*** La renovación se hace anualmente.

Diseño Web Bolivia: HABILWEB 2023 – Todos los derechos reservados

Atención personalizada 8/5 para ayudarte o responder cualquier consulta que tengas.
Llámanos
¿Chateamos?