En esté artículo hablaremos acerca de las vulnerabilidades en WordPress. En los últimos años la popularidad de wordpress aumento considerablemente en todo el mundo. Siendo así una conveniente elección para la creación de u sitio web o un blog.
Con esa popularidad también ha aumentado el ataque a sitios web que usan este CMS, siendo las formas más comunes de tomar el control de su sitio web las siguientes:
Datos de acceso débiles
Al momento de realizar un ataque al sitio web resulta mas fácil al atacante saber en nombre de usuario que pro defecto viene a ser “admin” incluso no es difícil averiguarlo si se usa el mismo usuario para crear posts y que aparecerán como autor en los posts publicados.
Así solo requeriría conocer l contraseña y si esta es una palabra común o fácil de adivinar será fácil acceder mediante un ataque que comprobara un diccionario de palabras c y contraseñas comunes
Soluciones
Para evitar este tipo de ataques en conveniente cambiar el nombre de usuario del administrador principal.
En cuanto a las contraseñas es recomendado usar contraseñas de un mínimo de 8 caracteres y seria mejor usar frases con números y caracteres
WordPress, plantillas y plugins desactualizados
Esta es de las principales formas de ataque a WordPress, el tener el CMS desactualizado ayuda fácilmente a los robots de la internet a aprovecharse de eso infectandolos, lo mismo sucede con plantillas y plugins que normalmente se actualizan para mejorar la seguridad o corregir fallos de seguridad que tienen y fueron descubiertas recientemente; ese es el motivo principal de las actualizaciones de estos componentes, mejorar la seguridad.
Utilizar plantillas o plugins descargados de páginas dudosas
Muchos usuarios por ahorrar un poco de dinero descargan plantillas o plugins que eran de pago y los encuentran gratis en sitios web maliciosos que precisamente los ofrecen gratis para poder tener un backdoor (puerta de atrás) para ingresar a su sitio web e infectarlo. Lo recomendado es NUNCA USAR este tipo de plantillas o plugins.
Inyecciones SQL en la base de datos
Una de los métodos mas usador para obtener acceso aplicaciones web así como a wordpress es usando la inyección de una consulta SQL al momento de solicitar el acceso o también establecer una contraseña directamente en la base de datos con un UPDATE
Una vez obtenido el acceso a su sitio web el atacante puede simplemente colocar un mensaje el la portada o simplemente mantener un puerta trasera abierta para que el pueda acceder a futuro para el robo de información sensible.
Generalmente este tipo de vulnerabilidades no son tan comunes en wordpress si no en los temas y plugins que se usan , incluso algunos de los plugins mas robustos y seguros en nuevas actualizaciones pueden tener nuevas funcionalidades que estén en fase de prueba que pueden tener esas vulnerabilidad que permita la inyección de consultas SQL
Solución / prevención
Crear un usuario de base de datos y asignarle solo acceso a operaciones básicas como “select, update, créate” y las que requiera wordpress.
Al momento de instalar wordpress usar otro prefijo para las tablas de wordpress el que se establece por defecto es “wp”, esta acción prolongara un poco mas el obtener acceso al atacante
Mantener actualizado temas y plugins esto evita que tu sitio web este vulnerable después de que sea detectada y anunciada la vulnerabilidad
¿Es WordPress Seguro?
Con la gran popularidad que alcanzo wordpress también crece la comunidad que se encarga de mantener segura este CMS. así que lo mas recomendado es mantenerse al corriente teniendo al día todos las actualización y pensar en alternativas en aquellos plugins o temas que no tengan actualización frecuentes.
Para evitar estas vulnerabilidades en WordPress existen plugins de seguridad que es recomendado probarlos y tener configurado uno de ellos.