Como el CMS más popular del mundo, WP permite a miles y miles de diseñadores de sitios web, desarrolladores y dueños de negocios crear y ejecutar sus sitios web. Debe su popularidad a su facilidad de uso, sus peculiaridades y un próspero ecosistema de desarrolladores de complementos y temas, y la comunidad de WP. Sin embargo, hay una otra cara. Esta popularidad es la razón por la que los piratas informáticos se dirigen a los sitios de WordPress para lanzar múltiples y comunes ataques de WordPress. ¿Qué es exactamente un ataque de WP y cuáles son las clases más frecuentes de ataques que usan los piratas informáticos? Discutámoslos en detalle.
¿Qué es un ataque de WordPress?
Aunque hay muchas formas de atacar los sitios de WP, cualquier intento que aproveche las debilidades o vulnerabilidades de seguridad en los sitios de WP puede denominarse un ataque de WP. ¿Significa esto que WordPress es intrínsecamente inseguro o propenso a padecer ataques? De nada. WordPress en sí es seguro. Los sitios de WordPress tienen vulnerabilidades por el hecho de que los dueños de sitios con frecuencia no siguen las pautas de seguridad recomendadas para sus sitios.
Entonces, ¿de qué Haga clic aquí para más manera atacan los hackers los sitios de WordPress? Acá hay 5 de los ataques más frecuentes que los piratas informáticos desatan en los sitios de WP en el mundo entero.
Los cinco ataques de WordPress más habituales y cómo evitarlos
Aunque los piratas informáticos han ideado formas nuevas e renovadoras de atacar los sitios de WordPress, estos son los cinco tipos más habituales de ataques de WordPress:
Ataques de fuerza bruta
inyecciones SQL
Complementos y temas frágiles
Phishing y robo de datos
Script entre sitios (XSS)
Analicemos cada uno de estos cinco ataques en detalle, junto con de qué forma puede evitarlos.
Ataques de fuerza bárbara
Este es probablemente el ataque de malware de WP más simple en el que los piratas informáticos apuntan a su página de inicio de sesión de WordPress. Los ataques de fuerza bruta emplean bots automatizados que repetidamente procuran adivinar las credenciales para conseguir acceso a las cuentas de los usuarios, en particular a aquellos con derechos de administrador. Una vez que los piratas informáticos ingresan a una cuenta de usuario administrador, pueden tomar el control total de todo su sitio e producir el máximo daño.
La mayoría de los usuarios facilitan la entrada de los piratas informáticos al utilizar nombres de usuario enclenques como "usuario123" o "admin" o claves de acceso enclenques como "clave de acceso" o "123456" que son simples de adivinar para los piratas informáticos.
De qué forma evitar los ataques de fuerza bruta
Aquí existen algunas medidas que puede tomar para proteger su lugar de WP de los ataques de fuerza bruta:
Cambie su nombre de usuario de administrador predeterminado de WordPress de "admin" a algo más exclusivo.
Haga que las contraseñas seguras sean obligatorias para todos y cada uno de los usuarios. Una clave de acceso segura debe tener por lo menos 10 caracteres y debe tener una combinación de letras, números y caracteres especiales (@, dólares americanos , _).
Limite el número de intentos de comienzo de sesión en cualquier cuenta a un máximo de 3.
Implemente la autenticación de dos factores (o 2FA) que implica un proceso de comienzo de sesión de 2 pasos para todas y cada una de las cuentas de usuario.
Cambie sus claves de acceso de usuario a intervalos regulares.
Inyecciones SQL
Este ataque de WP está dirigido a su base de datos de WP utilizando comandos SQL maliciosos. Mire cualquier sitio web de WordPress y seguramente contendrá campos de entrada de usuario como formularios on-line, sección de comentarios o barras de búsqueda. Algunos sitios web también le dejan ingresar imágenes o documentos.
Los piratas informáticos aprovechan las vulnerabilidades en estos campos de entrada mediante inyecciones SQL para inyectar sus consultas o declaraciones SQL. A través de ellos, pueden tomar el control de su base de datos de WordPress y luego corromper o hurtar valiosos registros de la base de datos.
De qué forma evitar el ataque de WordPress de inyección SQL
Esto es lo que puede hacer para proteger su lugar de WordPress de los ataques de inyección SQL:
Como las inyecciones de SQL exitosas se facilitan a través de complementos/temas inseguros, asegúrese de instalarlos solo de desarrolladores o empresas fiables.
Mantenga siempre y en toda circunstancia actualizados sus complementos/temas instalados a sus últimas versiones.
Valide todas y cada una de las entradas de los usuarios en formularios o comentarios on line para cerciorarse de que no contengan entradas sospechosas.
Cambie el nombre o la ubicación predeterminados de su base de datos de WordPress, lo que complica que los piratas informáticos accedan a ella.
Complementos y temas vulnerables
Los complementos y temas de WordPress ofrecen una forma conveniente de agregar funcionalidades para crear un sitio de WordPress fácil de usar o diseñar un sitio con la apariencia que elija. No obstante, los complementos/temas inseguros pueden resultar dañinos para los sitios de WordPress, ya que los piratas informáticos aprovechan sus vulnerabilidades para ingresar a los sitios. Con sitios que contienen cientos de complementos/temas, los piratas informáticos pueden usar estas vulnerabilidades para apuntar a todos los sitios que emplean la misma versión de complemento/tema.
Para evitar esto, los desarrolladores de los complementos/temas más populares corrigen cualquier error relacionado con la seguridad y lanzan versiones actualizadas para cubrir cualquier brecha de seguridad.
De qué forma evitar plugins y temas vulnerables
Aquí existen algunas medidas que puede tomar para habilitar la protección contra ataques de WordPress contra complementos/temas vulnerables:
Instale sus complementos/temas de WP solo de fuentes o desarrolladores fiables.
Actualice todos sus complementos/temas instalados a su última versión libre.
Elimine los complementos/temas inactivos o abandonados que su equipo de desarrollo no haya recibido no actualizado.
Evite el uso de complementos y temas anulados o pirateados, que frecuentemente contienen código de malware para inficionar su sitio.
Limite la cantidad de complementos/temas instalados en su sitio de WP y desinstale los que ya no usa. Además del riesgo de seguridad, demasiados complementos asimismo pueden afectar la velocidad de su sitio.
Phishing y robo de datos
Como se mentó anteriormente, los piratas informáticos no solo desean dañar su sitio de WordPress, sino asimismo procuran robar datos valiosos, como registros de clientes e información financiera de su negocio. Los piratas informáticos procuran hacerse pasar por usuarios "auténticos" y engañar a los usuarios desprevenidos para que se desprendan de detalles importantes como las credenciales de inicio de sesión o los detalles de la tarjeta de crédito.
Esto es lo que hace que el phishing sea un género de ataque de WordPress gravemente perjudicial. Mediante el phishing, los piratas informáticos pueden acceder a cualquier sitio web comercial y mandar correos a su base de clientes del servicio. Luego, los clientes del servicio desprevenidos se ven obligados a hacer clic en enlaces que los redirigen a sitios web no pedidos que venden productos falsos o ilegales. O, son engañados a fin de que revelen su información personal o efectúen pagos.
De qué manera evitar el phishing y el hurto de datos
Aquí hay algunas medidas que puede tomar para eludir el phishing y el robo de datos en su sitio de WordPress:
Proteja su lugar de WordPress habilitándolo para HTTPS a través de un certificado SSL. Los sitios HTTPS encriptan todos y cada uno de los datos trasmitidos entre el sitio y el navegador del usuario, por lo que los piratas informáticos no pueden explotar los datos aun si son interceptados. Desplazar su sitio a HTTPS asimismo es parte de una estrategia integral de SEO, ya que los motores de búsqueda como Google favorecen los sitios HTTPS por la seguridad de sus usuarios.
Instale un complemento de seguridad de WordPress como MalCare o Sucuri que puede detectar cualquier actividad sospechosa en su sitio y quitar el malware.
Instale un firewall de sitio web para resguardar su sitio a través de la detección y el bloqueo de solicitudes de IP de fuentes sospechosas.
Secuencias de comandos entre sitios (XSS)
También conocido como XSS, Cross-Site Scripting es otro ataque de WordPress que aprovecha los sitios vulnerables para cargar código JavaScript malicioso que alienta a los visitantes del sitio a compartir sus datos o efectuar una acción.
Los ataques XSS son mucho más peligrosos que otros ataques, ya que pueden dirigirse a los usuarios administradores y conseguir la autoridad para realizar tareas de alto privilegio. Esto incluye ver o cambiar contraseñas de usuario, rastrear información de pago o ver registros de bases de datos reservados. Los ataques XSS también emplean técnicas de phishing como apuntar a suscripciones a folletines de mail o foros on line para apuntar a usuarios desprevenidos.
Cómo eludir el ataque de Cross-Site Scripting
Aquí existen algunas formas en que puede prevenir los ataques XSS o Cross-Site Scripting:
Filtre cada entrada de usuario en su sitio web de WordPress y permita solo entradas válidas.
Utilice técnicas de creación de listas blancas, como permitir solo caracteres predeterminados en los campos de entrada.
Desarrolle una política de seguridad de contenido completa para su sitio web.
Instale un complemento XSS de WordPress o un complemento de seguridad como MalCare o Sucuri, que puede eludir todo género de inyecciones de código.
Pensamientos finales
Hemos analizado cinco de los ataques de WP más frecuentes implementados por piratas informáticos y cómo puede prevenirlos. No obstante, es importante rememorar que los piratas informáticos no se limitan a estos ataques. Continuamente están inventando nuevas formas de comprometer los sitios. La mejor forma de asegurar la protección continua de su sitio es usar un complemento de seguridad de WordPress dedicado que pueda advertir los ataques de WordPress más recientes y, hasta el instante, menos conocidos.
Los complementos de seguridad como MalCare están desarrollados exclusivamente para WordPress y combinan múltiples medidas de seguridad como un firewall, protección de comienzo de sesión, actualizaciones de complementos y temas, refuerzo de WordPress, etc. con eliminación y escaneo de malware para que pueda proteger su sitio con unos pocos clicks.
Desarrollo Web 7172 
Leave a comment