¿Cómo estar absolutamente seguro de que su sitio web de WordPress es seguro?

Publicado: 2022-03-08

Hace dos o unas pocas décadas, el robo se restringía a romper para robar los ingresos o los objetos de valor de alguien. Serían los hacedores de travesuras y ladrones de ahora, póngase en el tipo de piratas informáticos. Cualquiera que encuentre y explote las vulnerabilidades de los programas de software para fines personales o políticos.

Justo antes de comenzar, debe saber que esta publicación no entra en el meollo de la seguridad de WP, sino que analiza los factores desencadenantes de las vulnerabilidades de WordPress. Si eso no es lo que está buscando, le recomiendo que estudie: "Reforzar la seguridad de WordPress: información completa para proteger las páginas web de WordPress". Sin embargo, debo decir que entender la naturaleza madre de las vulnerabilidades de WP en el pasado, proporciona una buena percepción de cómo puede asegurarse de los protocolos de seguridad de su sitio web.

¿Por qué la gente se divide en sitios y centros de conocimiento? Irrumpir en sitios de Internet que contienen datos de clientes, ID de correo electrónico, cifras de tarjetas de crédito, etcétera, es mucho más gratificante financieramente que robar a un prestamista. Si ejecuta un sitio web bastante próspero, estoy seguro de que ya se han realizado cientos, si no innumerables intentos de acceder a los detalles de su sitio web.

Hace poco tiempo, AshleyMadison.com fue pirateado y se robaron los detalles de 37 millones de compradores. Los piratas informáticos han exigido que se cierre el sitio y, en caso contrario, publicarán los detalles de la información del usuario robado, que incluye fantasías sexuales. Esto le presenta una forma del tipo de destrucción que un hacker puede inducir simplemente accediendo a la información.

La seguridad de la red mundial es un tema muy importante y cada vez es más aplicable a la variedad de sitios web que aparecen para obtener información privada y datos de sus usuarios.

Hasta el 65% de la red se ejecuta con WordPress como el proceso de administración de contenido escrito, por lo que en estos días hablaré sobre la estabilidad de WordPress y cómo los sitios web de WP han sido calificados o pirateados en el pasado.

¿Por qué comprometerse con excelentes tácticas de seguridad?

  • Se lo debe a sus compradores y clientes que confían en usted con información y hechos individuales confidenciales para mantenerla segura.
  • Su sitio web es pirateado: pierde ingresos.
  • Su sitio web es pirateado: sus clasificaciones en los motores de búsqueda simplemente toman un viaje de ida al infierno.

Los sitios web de Internet de WordPress son pirateados por miles, si no cientos de cientos. No todas las páginas web informan que han sido pirateadas en la anterior. No es un gran respaldo para su marca, como puede suponer.

Me gustaría arrojar algo de luz sobre el requisito de esta publicación sobre la seguridad de WordPress.

Según una investigación, compartida por Sandro Gucci (Fundador de Permit Protection).

  • El 73,2% de las instalaciones de WordPress más populares son vulnerables a vulnerabilidades que se pueden detectar aplicando recursos automáticos gratuitos.
  • Solo 7.814 sitios (18,55 %) se actualizaron a WordPress 3.6.1, esta fue la última variación de WP cuando se realizó la prueba.
  • 13.034 sitios web (30,95%) continuaron administrando una versión vulnerable de WordPress, edición 3.6. WordPress 3.6 tenía 5 vulnerabilidades reconocidas en ese momento.

Y si ha estado pensando, muy bien, esto es solo una caracterización generalizada e injusta de sitios desconocidos compactos en algún lugar del sitio web oscuro, estaría equivocado. Los datos se fabricaron en base a una revisión de aproximadamente 42,000 sitios web de WordPress en los mejores sitios web de un millón de Alexa. Esa es una gran variedad de sitios susceptibles de supuestamente los sitios de Internet más visitados en la red mundial. Estos sitios acumulan una gran cantidad de información sobre sus visitantes y suscriptores.

Los datos eran correctos en septiembre de 2013, no creo que se hayan desviado mucho desde entonces y aunque lo hayan hecho, las estadísticas que se muestran en este artículo muestran la magnitud de los problemas de seguridad que afectan a WordPress.

Si desea evidencia adicional que demuestre que WordPress puede verse comprometido. Los remito a un examen de Netcraft,

  • En febrero de 2014, había 12.000 blogs de WordPress que servían como plataformas para sitios web de phishing.
  • Mucho más del 8% de todas las URL de malware bloqueadas por Netcraft para distribuir malware alojado en la red mundial terminaron en blogs de WordPress.

Debo señalar que no solo uno de esos blogs estaba funcionando en Automattic wordpress.com. Esto realmente debería ilustrar claramente que incluso WordPress puede ser vulnerable si no se utiliza con precaución y cierta comprensión de la protección de WP. Un motivo adicional para esto bien puede estar asociado con el simple hecho de que todos los blogs alojados en wordpress.com están actualizados tan pronto como se lanzan las actualizaciones de WordPress. Teniendo en cuenta eso, entonces, debe mencionarse que las actualizaciones automáticas de WordPress se lanzaron en la versión 3.7 de WP para proteger los sitios web de los exploits de día cero.

E incluso después de eso, ha habido una serie de problemas de seguridad que han afectado a WordPress. Mire esta lista de vulnerabilidades de WordPress en distintas versiones de la plataforma.

Ahora no hay absolutamente nada que pueda hacer para evitar que esto suceda, generalmente se descubrirán nuevas vulnerabilidades. El grupo central de WP se ha tomado la estabilidad muy en serio y ha hecho que WordPress sea mucho más seguro.

Pero al igual que con cualquier otro software popular, la explotación de vulnerabilidades se vuelve más gratificante cuando más personas comienzan a usarlas.

¿No crees en mí? Si cree que de alguna manera WordPress se convertirá repentinamente en completamente libre de todas las vulnerabilidades, ¡eche un vistazo a este gráfico!

WordPress-vulnerabilidades-a lo largo de los años

A pesar de que la cantidad de vulnerabilidades ha disminuido con el tiempo desde sus máximos en 2007 y 2014, el incentivo para descubrir nuevas vulnerabilidades y explotarlas es interminable debido al aumento de la rentabilidad debido a la creciente reputación de WordPress.

WordPress puede ser seguro desde el primer momento, pero inmediatamente después de incorporar tantos complementos/temas y código personalizado, muchas vulnerabilidades comienzan a aumentar con gran rapidez.

Dicho esto, podemos hacer pequeñas mejoras en su WordPress, para que esté mucho más protegido. Primero debemos tener un conocimiento completo de la seguridad de WordPress, esto es muy útil para descubrir las causas de fallas en la seguridad.

Podría sorprenderse al descubrir que rara vez ocurre que el sistema central de WP tenga la culpa en los casos de una brecha de estabilidad. Es mucho más probable que algo que tenga extra en su WP genere una vulnerabilidad que los piratas informáticos podrían aprovechar.

¿Cómo se ven comprometidos los sitios de WordPress?

El problema de garantizar una seguridad integral es que no existen estas cosas.

Suponiendo que su WordPress esté completamente protegido, seguirá teniendo su Apache, cliente FTP, MySQL y cualquier aplicación que opere en su servidor de la que tenga que preocuparse. Su sitio está tan libre de riesgos como su URL más débil. Y eso implica la calidad del paquete de software de su host, los temas y complementos en los que se ejecutan sus sitios de Internet.

Quiero tener muchas más estadísticas más recientes que también puedo presentarte. Sin embargo, esta revisión que se ofrece como una infografía en el blog de WpWhiteSecurity proporciona una excelente perspectiva de cómo se piratean los sitios web de WordPress y qué puede hacerlos susceptibles.

La investigación se realizó en función de los datos de 170,000 sitios web que fueron pirateados en 2012. Hubo un aumento del 18% en el número de ataques del año anterior (2012), el detalle curioso es que el número de vulnerabilidades no aumentó. exactamente en la misma proporción. Pero incluso un pequeño aumento en las vulnerabilidades afecta a muchos más sitios web, debido al mayor uso de WordPress y los productos centrados en WordPress.

  • El 41% de los WordPress pirateados fueron pirateados por una vulnerabilidad de seguridad en su sistema de alojamiento.
  • El 29% había sido pirateado debido a un problema de estabilidad en el tema de WordPress que terminaron usando.
  • El 22% estaba siendo pirateado a través de un problema de seguridad en los complementos de WordPress que estaban usando.
  • El 8% terminó pirateado principalmente porque tenían una contraseña débil.
  • De lo mencionado anteriormente, podemos concluir que mucho más del 51% de los sitios web de WordPress pirateados fueron pirateados a través de una vulnerabilidad en los temas o complementos de WordPress con los que estaban trabajando.

Una gran parte frustrante de los ataques se produjo debido a la instalación de software en forma de complementos, temas y simplemente porque los proveedores de servicios de alojamiento web no pudieron reforzar lo suficiente la seguridad en el extremo del servidor.

No hay ningún nivel en discutir los pasos para proteger su sitio web, antes de abordar las excelentes opciones que tiene en términos de protección cuando se trata de alojamiento web, temas y complementos. Y hablaré sobre cómo puede obtener un excelente software de terceros y un alojamiento seguro para su sitio web antes de comenzar recomendando ciertos pasos de estabilidad para reforzar la seguridad de WP.

Conclusión

Los sitios web de WordPress rara vez son vulnerables debido a errores en el código central del sistema de gestión de datos. Pero un sitio web no funciona completamente basado en la técnica de administración de contenido escrito, requiere un host de Internet para alojar el CMS en la red, temas para hacerlo elegante y complementos para insertar las funciones requeridas. Agregar varias capas de software de terceros a su instalación de WordPress puede hacer que su estabilidad sea un poco porosa, si no se hace correctamente.

Su principal de WordPress, los complementos y temas, y el host de red deberán conectarse para mantener su sitio web de WordPress en funcionamiento. Esta conversación a veces tiene fallas y hace que los sitios web sean susceptibles.

El 8% positivo de los sitios web podría verse comprometido debido a contraseñas débiles. Continúe, una abrumadora cantidad de evidencia sugiere que la instalación de complementos/temas mal escritos o un host de Internet que se ejecuta en un software obsoleto es el resultado principal para una gran proporción de todos los sitios web de WordPress pirateados o cerrados.

Ahora que hemos encontrado cierta claridad sobre las causas de las vulnerabilidades de WordPress, como parte de la próxima publicación de la serie WP Stability, me centraré en las medidas que debe tomar para reforzar su seguridad de WordPress.

Comparta los detalles si alguna vez ha experimentado que su sitio de WordPress se vio comprometido por un ataque o víctima de un ataque DDOS. Posiblemente Aigars o yo intentaremos remediar el problema si está dentro de nuestro alcance. Salud