6 razones por las que su sitio web de WordPress puede ser vulnerable a los piratas informáticos

Publicado: 2019-04-26

Con las funciones brillantes y las opciones de personalización que ofrece WordPress, no sorprende que casi el 33% de los sitios web usen WordPress CMS. Sin embargo, los posibles problemas de seguridad son algo que puede volver a molestar a los propietarios de sitios.

De hecho, de los 8000 sitios web pirateados analizados en un estudio reciente, el 74 % usaba WordPress.

Si está utilizando un sitio web de WordPress, es importante asegurarse de que su seguridad esté configurada correctamente para minimizar el riesgo.

Entonces, ¿cuál es el mejor curso de acción a tomar?

Los siguientes problemas de seguridad son algunos de los más importantes y podrían hacer que su sitio de WordPress sea vulnerable a los piratas informáticos. Es importante que identifique estos problemas y los solucione; inmediatamente.

1. Servicio de alojamiento no seguro

Uno de los principales recursos necesarios para crear un sitio web es el alojamiento web.

Desde el rendimiento de su sitio hasta su seguridad, su servicio de alojamiento puede afectarlo todo. Como tal, es crucial que elija un proveedor de alojamiento que ofrezca la seguridad adecuada.

Mientras considera y analiza sus opciones de alojamiento, los siguientes consejos le ayudarán.

    • Revise todas las funciones de seguridad que ofrece.
    • Comprenda que cuando se trata de hospedaje, caro no siempre significa mejor.
    • Algunos proveedores tienen planes básicos que cuestan tanto como los planes de gama alta de otros proveedores de alojamiento. Esto no siempre significa que se puedan comparar.
    • Conozca la diferencia entre los dos tipos más populares de servicios de alojamiento.

       Alojamiento Compartido:
       Un servicio de alojamiento compartido ofrece escaneos de seguridad básicos que pueden detectar malware de WordPress.
       También le permite realizar un seguimiento de los visitantes que llegan a su sitio. Esto puede ayudarlo a identificar visitantes dañinos y bloquear sus direcciones IP.
       Lo más destacado de un servicio de alojamiento compartido es su capacidad para alojar más de un sitio web, lo que también lo hace mucho más económico que otros tipos de alojamiento.

       Alojamiento gestionado:
       Este es el servicio de alojamiento que proporciona un cortafuegos para la seguridad junto con un análisis de malware de rutina.
       Algunos proveedores ofrecen 'Servicios de alojamiento gestionados' que restringen el acceso a los archivos y carpetas de WordPress para mantenerlos seguros.
       Por ejemplo, WP-Engine evita cambios en todos los archivos PHP, mientras que Pantheon no permite escribir en carpetas excepto en la que contiene datos de temas y complementos.
  • Pruebe la atención al cliente:
     La atención al cliente es otro factor que debe tener en cuenta al comparar proveedores de alojamiento.

     Ya sea un problema trivial o una falla completa; si se trata del servicio de alojamiento, el proveedor debe ofrecer soporte completo al cliente.

     Para saber qué tan calificado es el sistema de soporte de un proveedor, simplemente obtenga sus datos de contacto y comuníquese con ellos. Hágales todas sus preguntas y vea cuán pacientes y cooperativos son al abordar sus inquietudes.

     Según esta experiencia, obtendrá una idea de cómo reaccionarán en caso de una violación de la seguridad. Esto debería ayudarlo a decidir si desea comprarles o no.

Si ya compró un plan de alojamiento del proveedor equivocado, no se preocupe. No tienes que esperar a que tu plan caduque. Los servicios como BlogVault y Migrate Guru pueden ayudarlo a migrar a diferentes proveedores de alojamiento sin problemas.

2. Actualizaciones del sistema

Como cualquier otro CMS, WordPress requiere una actualización periódica. Ignorar esto podría hacer que su sitio de WordPress sea un riesgo potencial para la seguridad.

De hecho, el 80% de los sitios web de WordPress que han sido pirateados tenían temas y/o complementos obsoletos. Revelador, ¿verdad?

Ser un CMS de código abierto con miles de desarrolladores que trabajan en diferentes temas y complementos significa que su panel de WordPress puede recibir muchas actualizaciones basadas en los complementos y temas que está utilizando.

Debe asegurarse de que todos los temas principales y complementos estén actualizados a la última versión.

 Pasos para actualizar un complemento:

  • Abra su panel de WordPress y vaya a Complementos> Complementos instalados
  • El tablero lo llevará a la página que muestra los complementos que ha instalado.

     Identifique los complementos que están pendientes y actualice y haga clic en 'actualizar ahora'.

De manera similar, puede actualizar los temas en su sitio de la misma manera yendo a Apariencia> Temas.

Esto también desbloqueará las últimas funciones agregadas al tema/complemento/sistema. Esto ayuda a mantener la seguridad y la estabilidad de su sitio web al mismo tiempo.

3. Temas o complementos pirateados

Si bien configurar un sitio web de WordPress no hará un agujero en su bolsillo, hacerlo estéticamente agradable y rico en funciones podría costarle entre $ 10 y $ 200.

Para escapar de estos costos 'supuestamente' no solicitados, los webmasters a menudo toman la ruta más económica y usan complementos/temas anulados/pirateados, que están disponibles de forma gratuita o a precios insignificantes.

¿Cuáles son los resultados de esto?

Ha habido una serie de casos en los que un sitio web que utiliza un tema anulado sin darse cuenta otorgó acceso de puerta trasera a los piratas informáticos a través de la URL: http://www.example.xyz?backdoor=go

 Los piratas informáticos pudieron acceder al sitio ya que la URL activó una puerta trasera al sitio web, creando una nueva cuenta de administrador de WordPress con las siguientes credenciales:

 Nombre de usuario: backdooradmin
 Contraseña: Pa55W0rd

Esto generalmente es el resultado de un shortcode adicional que el propietario real del tema ha agregado al archivo functions.php .

Para salvar su sitio de tales riesgos. Adquiera siempre temas y complementos del repositorio oficial de WordPress u otras fuentes confiables como Theme Forest o Themeisle.

4. Detalles de inicio de sesión ficticios

Página de inicio de sesión predeterminada:
 El uso de los mismos nombres de usuario antiguos y contraseñas fáciles de adivinar hace que la vida sea mucho más fácil para los piratas informáticos que intentan ingresar al back-end de su sitio web.

¿Como arreglar?

  • Problema con el nombre de usuario y la contraseña:
     Intente crear un nombre de usuario y una contraseña que no haya utilizado en otra cuenta.

     Tenga en cuenta que es crucial tener un nombre de usuario único. Si el nombre de usuario es fácil de adivinar, lo único que un pirata informático necesitará averiguar es su contraseña.

     Asegúrese de nunca mostrar su nombre de usuario en su sitio web. Hacer esto sería como darles a los piratas informáticos una invitación personal para darse un festín en su tablero de WordPress. En su lugar, utilice un apodo o un título que sea diferente al nombre de usuario. Problema con la URL de la página de inicio de sesión predeterminada: www.yoursite.com/wp-admin

     Esta es la opción más fácil y común de una URL de página de inicio de sesión de WordPress, lo que deja su sitio vulnerable a los piratas informáticos.

     La mayoría de los piratas informáticos no atacan manualmente. Programan bots para acceder a las páginas de inicio de sesión y descifrar las credenciales de inicio de sesión de los sitios de destino.

     El uso de la URL de la página de inicio de sesión predeterminada reducirá el trabajo de los bots y los piratas informáticos que intentan ingresar a su sitio web.

     La mejor salida es cambiar la URL de inicio de sesión predeterminada.

     Por ejemplo, cambiando – www.yoursite.com/wp-admin a www.yoursite.com/welcometomysite

     Para ello, sigue estos sencillos pasos.

     – Primero, haga una copia de seguridad completa de su sitio de WordPress usando UpdraftPlus.

    – Luego instale y active el complemento 'Easy Hide Login' (es gratis).
    – Vaya a la configuración del complemento y envíe su elección de slug de inicio de sesión (como "welcometomysite").

     – Esto cambiará su dirección de inicio de sesión de WordPress de yoursite.com/wp-admi n a yoursite.com/welcometomysite y hará que sea mucho más difícil para las personas piratear su sitio.


 5. Archivos PHP grabables

Al igual que cualquier otro programa de computadora dentro o fuera de la web, un sitio web de WordPress también consta de archivos y carpetas.

Una de estas carpetas es la carpeta 'Subidas'. Esta carpeta almacena todos los datos de temas y complementos para su sitio.

Los piratas informáticos potenciales pueden encontrar una manera de cargar un código PHP en esta carpeta para obtener acceso a su sitio web.

Una vez que los piratas informáticos tienen acceso a través de este método, pueden robar contenido que planeaba publicar en el futuro junto con otros recursos importantes como direcciones de correo electrónico de su lista de correo. También pueden vender vínculos de retroceso desde su sitio o utilizar su contenido para crear vínculos a sus sitios web sin su conocimiento. O lo peor de todo, pueden destruir todo el sitio web y eliminarlo.

La peor parte de este tipo de pirateo es que no sabría nada de esto hasta que su proveedor de alojamiento o un motor de búsqueda prohibiera su sitio web.

Para salvarse de esto, puede deshabilitar la ejecución de PHP a través de los siguientes pasos.

  • Cree un archivo .htaccess en la carpeta 'Cargas' en el directorio raíz de su sitio web en cPanel.

  • Cree un nuevo archivo con el Bloc de notas (en Windows) o TextEdit (en Mac).
  • Pegue el siguiente código en este archivo y guárdelo como .htaccess (no como .htaccess.txt).

     # COMENZAR WordPress

     Motor de reescritura encendido
     Reescribir Base /
     RewriteRule ^index.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f
     RewriteCond %{REQUEST_FILENAME} !-d
     Regla de reescritura. /index.php [L]
     # FIN WordPress
  • Cargue este archivo en la carpeta 'Cargas'.
  • Ahora, tiene un nuevo archivo .htaccess específicamente para su carpeta 'Cargas'. Haga clic derecho para editarlo y pegue el siguiente código.


     Orden Permitir, Denegar
     Negar todo

Después de implementar los pasos anteriores, su sitio web evitará la ejecución de archivos extraños que contengan 'PHP'. Este cambio agregará otro ladrillo al muro de seguridad de su sitio.

Además, tenga en cuenta que usar este método es un poco arriesgado. Incluso un error trivial puede dañar su sitio. Entonces, si no está seguro de usar cPanel, consulte a alguien que lo esté.

6. Falta de un certificado SSL

Si bien http://yoursite.com y https://yoursite.com cargarán la misma página web, hay una pequeña diferencia que puede romper el trato.

El certificado SSL.

La primera URL en el ejemplo anterior no usa un certificado SSL, mientras que el segundo ejemplo sí.

 Esto puede afectar en gran medida la seguridad de un sitio web al poner en riesgo la comunicación entre el dispositivo del visitante y sus servidores web.

Un certificado SSL encripta la información para que nadie más que los destinatarios puedan acceder a ella. Para proteger su sitio web contra tales filtraciones, es recomendable instalar un certificado SSL lo antes posible.

 Instalar un certificado SSL suele ser sencillo y fácil de hacer. Por lo general, puede comprar un certificado SSL de su proveedor de alojamiento, pero si no venden un servicio SSL, debería considerar comprarlo a otro proveedor.

Obtener un certificado SSL de su proveedor de alojamiento también le ahorrará la molestia de la instalación. Ellos configurarán todo y solo tienes que redirigir tus páginas 'http' a 'https'.

En resumen

No proteger su sitio de WordPress contra las amenazas de seguridad puede dañar su negocio de varias maneras. No sorprende que todos los webmasters deban prestar atención a la seguridad del sitio web y tener un complemento y un sistema de copia de seguridad adecuados. A pesar de sus mejores esfuerzos, si sucediera lo peor y su sitio sufriera un ataque malicioso; UpdraftPlus puede proporcionar una opción de copia de seguridad y restauración segura. Esto ayudará a garantizar que su sitio web siempre tenga esa importante red de seguridad, incluso en el caso de un ataque.

En esta publicación, ha leído acerca de 6 lagunas que podrían poner en riesgo la seguridad de su sitio web de WordPress debido a los piratas informáticos. Con suerte, este artículo lo ayudó a proteger su sitio y llevar su seguridad al siguiente nivel.

Por Vaibhav Kakkar

La publicación 6 razones por las que su sitio web de WordPress puede ser vulnerable a los piratas informáticos apareció primero en UpdraftPlus. UpdraftPlus: complemento de copia de seguridad, restauración y migración para WordPress.