WordPress es el sistema de gestión de contenido (CMS) más popular y utilizado del planeta.
No sólo es el favorito para los usuarios, si no es el objetivo principal para los Hackers o piratas informáticos.
Al ser una comunidad tan grande y amplia, hace que sea muy goloso para estos Hackers, y por eso tienen a su ejercito de robots rastreando vulnerabilidades en instalaciones de WordPress de toda la red. ¿Aún tienes dudas sobre la importancia de hablar sobre la seguridad para WordPress?
25% Webs activas a nivel mundial están desarrolladas con WordPress |
10.000 Son los sitios que Google advierte de que son infectados por Malwares cada día. |
90% Sitios hackeados estaban creados en WordPress y solo el 36% utilizaban un CMS actualizado |
A continuación mostramos una gráfica con las plataformas más afectadas durante el 2018.
Entonces… ¿Wordpress es seguro?
Tabla de contenidos
ToggleMi respuesta es SÍ. Esto es como quién pregunta si conducir un coche de gran potencia es seguro.
A pesar de la mala reputación respecto a las vulnerabilidades de seguridad que está sufriendo, es mayormente debido a las prácticas erróneas de los usuarios. Estas prácticas son de las que vamos a hablar hoy para tratar a fondo la seguridad para WordPress que necesitas conocer.
¿Por qué debemos proteger nuestro sitio contra hackers?
Seguramente habrás navegado por alguna web y te habrá aparecido un mensaje de alerta muy llamativo de Google informando de “Este sitio que vas a acceder contiene software malicioso” o “El sitio web que vas a acceder es engañoso”. Para Google la navegación segura para el usuario es primordial. Por eso en 2007 lanzó el servicio de diagnóstico “Safe Browsing” para mejorar la protección de los usuarios ante códigos maliciosos o distintas amenazas. Safe Browsing es un servicio de diagnóstico con una base de datos de sitios peligrosos, orientado proteger al usuario final de amenazas como malware, mediante notificaciones llamativas al acceder al sitio. |
¿Cómo puede afectar que mi sitio haya sido hackeado?
El tener un sitio infectado o hackeado le informa a Google de que ya no es un sitio seguro, con lo que advertirá a los usuarios mediante mensajes alarmantes. Esto provocará pérdida de posiciones y un notable descenso del tráfico.
Una encuesta reciente, afirmó que el 45% de los sitios que fueron hackeados notaron un descenso del tráfico de búsqueda. Y un 9% que el tráfico descendió hasta un 75%.
No sólo veremos afectada nuestra web a nivel de visitas, si no a no también hay que considerar el nivel económico, cómo pérdidas en ventas o servicio técnico para desinfección o restauración de copias de seguridad.
En el peor de los casos si somos una tienda online, nos pueden robar datos de clientes, como datos personales o bancarios alojados en nuestros servidor.
Es importante tener contratado un buen servicio de mantenimiento, para que esto no ocurra y estar siempre libre de estos ataques.
Puedes comprobar si tu sitio web ha sido afectado añadiendo el dominio en la siguiente url:
https://transparencyreport.google.com/safe-browsing/search
¿Cómo detectamos que nuestra web ha sido hackeada?
Si Google detecta de que nuestro sitio ha sido afectada la seguridad de nuestro WordPress nos informará, mediante notificaciones vía email o en el Google Search Console, de que nuestro sitio contiene software malicioso.
Hay otras formas para detectar si nuestro sitio ha sido hackeado:
> Ataques SERPS (Contaminación en los motores de búsqueda)
Ataque Blackhat que se aprovecha de las vulnerabilidades de tu sitio para insertar contenido como palabras claves o enlaces indeseados en el código de tu sitio para que se muestre en los resultados de búsqueda de Google.
> Cambio de contraseñas de acceso
Puede que la web aparentemente no haya sido afectada, pero no podemos acceder al panel de WordPress. Si estamos seguros que la contraseña es correcta y no podemos entrar al panel, puede que hayamos sufrido un ataque hacker.
Otros motivos para detectar si tu sitio ha sido hackeado es viendo si la web tiene modificaciones inusuales, las imágenes no cargan o la carga es muy lenta.
¿Qué tipo de ataques existen?
Existe gran cantidad de tipos de ataques, pero vamos a nombrar los casos más conocidos.
> Backdoors o Puerta trasera:
Proporciona a los hackers una puerta trasera oculta para acceder al sitio e infectar los archivos de la instalación, Plugins o el Theme. Puedes ser causado por instalación de plugins o temas de sitios no seguros o de no confianza.
Ejemplo: La famosa vulnerabilidad de TimThumbScrip para redimensionar imágenes.
> Ataques por fuerza bruta:
Son los ataques que consiste en acceder masivamente al formulario de acceso del sitio probando entre varias combinaciones.
> Denegación de Servicio(Dos)
Ataques continuos a vulnerabilidades en el sistema provocando la sobrecarga de recursos y pérdida de conectividad del servicio.
Mi sitio ha sido hackeado, ¿y ahora qué?
Lo primero que vamos a hacer es no intentar perder la calma. El estrés y las prisas no son buen acompañantes en estos momentos.
Estos son los pasos para corregir el peor de los resultados cuando la seguridad de tu WordPress ha fallado:
- Identifica el problema consultando en la herramienta de Google de diagnóstico, para verificar si tu sitio ha sido infectado.
- Cambia todas las contraseñas de acceso al panel de WordPress, FTP y Bases de datos. Comprueba de que no hayan añadido usuarios nuevos.
- Descarga en tu equipo una copia de seguridad anterior al ataque e identifica que archivos han sido modificados recientemente.
- Te recomendamos la instalación del plugin Anti-Malware Security and Brute-Force Firewall. Este plugin realiza una revisión completa de tu sitio identificando archivos infectados. Normalmente los archivos modificados contienen funciones como base64, preg_replace o move_upload_file dejando “Backdoors” o puertas traseras para futuros ataques. Que no se te olvide revisar que no hayan sido modificado los archivos wp-config.php, .htaccess o robots.txt, ya que pueden afectar al correcto funcionamiento de tu WordPress.
- Restaura todas las carpetas de los Plugins y los actualizas a la última versión.
- Haz una copia de seguridad completa(Ficheros y Base de datos) del sitio.
- Elimina advertencias de Google notificando que tu sitio está limpio y no contiene código malicioso. Puedes solicitar una revisión desde el Search console -> Problemas de seguridad.
Cómo podemos incrementar la seguridad de nuestro WordPress ante ataques Hackers
- Contrata un servicio Hosting de calidad:
Mantén actualizado SIEMPRE la versión de WORDPRESS.
Cada cierto tiempo aparece una nueva actualización solucionando problemas de seguridad y bugs. Cada vez que se detecta alguna vulnerabilidad del núcleo, en seguida sacan una versión nueva solucionando estos errores. - Igual que el núcleo, mantén actualizado siempre los Plugins y el tema. Esto ayuda a solucionar vulnerabilidades o agujeros de seguridad instalados en los Plugins. Ejemplos de Plugins afectados Revolution Slider o Ninja Forms.
- Instala Plugins de confianza y que tengan un mantenimiento continuo mediante actualizaciones periódicas.
- Borra los temas y plugins que no utilices.
- Cambia el prefijo de las tablas de las Base de datos. El plugin Change Table Prefixe permite modificar los prefijos después de haber realizado la instalación. En las instalaciones de Worpdress nos viene por defecto el prefijo de las tablas de las bases de datos “wp_”. Utilizando estos prefijos les estamos dando facilidades a los hackers.
- Elimina el usuario Admin. Es el primer objetivo de los piratas informáticos.
- Utiliza contraseñas complejas. De nada nos sirve tener nuestra página blindada en seguridad si las contraseñas no cumplen un mínimo de seguridad. Recomendamos utilizar más de 8 caracteres y que contengan números y símbolos, ya que de lo contrario mediante sistemas de fuerza bruta, es muy fácil acceder.
- Cambia la url de la página de login (wp-admin)
- Utiliza un CDN (Red de distribución de contenidos). Mejorará el tiempo de carga y añade seguridad extra a tu sitio. Puedes encontrar más información en el POST que publicamos de WPO.
- Actualiza tu servidor a la última versión de php.
- Utiliza https para conexiones cifradas.
- Protege tu sitio con un plugin de seguridad para WordPress como All In one WP Security, iThemes Security, Sucuri Security o Jetpack. La mayoría de estos plugins de seguridad vienen con las funcionalidades de escáner de malware, firewall o bloqueo de fuerza bruta.
- Proteger de forma segura el archivo wp-config.php es otra forma de reforzar la seguridad de WordPress. Dicho archivo contiene información confidencial muy valiosa, que estando al alcance de las manos equivocadas, pueden destrozar tu sitio. Puedes proteger el archivo añadiendo el siguiente código en el .htaccess.
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
Otra opción, es mover el archivo wp-config.php fuera de la carpeta principal.
Por lo general, en las instalaciones de WordPress, dicho archivo se coloca en la carpeta del núcleo, junto a otros archivos como ‘wp-settings.php’ o ‘wp-login.php’. WordPress también nos permite una opción más segura que es colocar el archivo fuera de su carpeta original.
En la siguiente imagen podemos ver los daños sufridos por el ataque de dicho archivo.
En definitiva ¿Estamos seguros 100% ante los Hackers?
Si nos descargamos la última versión actualizada de WordPress, tenemos una mínima posibilidad de 0,00001% de que haya un pequeño problema no corregido de seguridad, y sea vulnerable en millones WordPress de todo el mundo.
Es imposible 100% mantener nuestro sitio libre de hackers. Lo que sí podemos es ponérselo más complicado ante las vulnerabilidades con un mantenimiento correcto.