Portada Wordpress WordPress Algunas formas con las que pueden hackear nuestro WordPress
WordPress es uno de los gestores de contenidos más utilizados para publicar contenidos en la web. Comenzó en sus orígenes siendo la herramienta favorita para crear blogs, pero hoy en día su uso se ha extendido hasta límites insospechados siendo usado también para crear portales web, portafolios y hasta tiendas virtuales.
Si aún no conoces esta plataforma que puedes instalar en tu hosting web aquí podrás contestarte a alguna de las preguntas más frecuentes sobre WordPress.
Como cualquier plataforma que se instala en un plan de alojamiento a nivel de servidor es susceptible de ser atacada por determinados hackers, que más que causarnos un mal directamente a nosotros como webmasters lo que realmente quieren es extender ese malware a otros visitantes mediante la infección de páginas web. Desde Hostinet os indicamos algunos de los modos más habituales que utilizan los atacantes para hackear nuestro WordPress.
1. WordPress no actualizado
Afortunadamente WordPress es una plataforma de publicación muy segura, y los atacantes se encuentran con serios problemas a l ahora de hackear un sitio we creado con este gestor, pero no obstante actualización tras actualización de WordPress se van corrigiendo fallos de seguridad que se van encontrando pro lo que si no lo tenemos actualizado nuestra web podría estar en una situación comprometida.
2. Themes (diseños) y plugins sin actualizar
Al igual que con el núcleo de WordPress en los plugins o themes (diseños) que tenemos instalados se puede incurrir en fallos de seguridad que no dejan de ser huecos por donde los hackers pueden acceder a nuestro sitio web y alojar malware o contenido malicioso indeseado. Importante, por lo tanto, mantener estos añadidos siempre actualizados a la última versión disponible, algo realmente sencillo puesto que en las versiones más recientes esta actualización se puede hacer de manera automática desde el panel de administración.
3. Seguridad en las contraseñas
A veces los ataques llegan de la manera más común de todas las posibles como es el simple acceso a través del panel de administración. Si tenemos una contraseña débil para el acceso a nuestro WordPress podrían llegar a infectarlo con malware por lo que siempre debemos usar una contraseña segura para nuestros accesos.
3. Acceso a la base de datos
También es posible atacar nuestro WordPress atacando directamente a la base de datos siendo en este caso más complicada la resolución del problema. Importante también asignar a nuestro usuario de la base de datos una contraseña segura para impedir al máximo los ataques y muy interesante también realizar copias de seguridad de la base de datos.
En el día a día al usar WordPress, si se entra de manera habitual para añadir noticias o realizar modificaciones, no es extraño tener actualizado todo lo que se puede actualizar, ya que WordPress nos muestra varias notificaciones y en varios sitios distintos cuando hay que actualizar algo, ya sea el propio WordPress, un plugins o un theme.
El único problema que puede ocurrir es que el administrador de WordPress se acostumbre a ver las notificaciones y deje de prestarles atención.
Esto no debe de ocurrir, ya que no actualizar WordPress o sus plugins, son la causa principal de hackeos y problemas de malware en la plataforma.
Si se está administrando muchos sitios WordPress la cosa cambia, ya que se puede perder mucho tiempo al día si se tiene que entrar en cada uno de los WordPress para comprobar que no existe ninguna actualización disponible.
Si es una actualización del core de WordPress, se sabe cuando hay que actualizar en cuanto se detecta que uno de ellos está desactualizado, ya que la actualización se libera para todos los usuarios al mismo tiempo.
Con los plugins o themes es algo más complicado. Siempre se pueden usar ciertos plugins en la mayoría de las instalaciones de WordPress, pero cada sitio puede tener necesidades diferentes y por lo tanto, plugins instalados distintos.
Un plugin no actualizado es un problema de seguridad, el problema puede ser mayor o menor, pero no deja de ser un problema, así que es muy importante revisar todos los plugins de todos los WordPress que se administren.
Hacer esto de manera manual es posible, pero puede ser muy tedioso, por suerte WordPress tiene soluciones, en forma de plugin, para avisar al administrador de estos asuntos.
Hay varios y sólo hay que buscar un poco, por ejemplo Wordfence, que además de avisarnos de los plugins que no están actualizados, mejora la seguridad de WordPress significativamente.
Otro asunto es actualizar los plugins. Hemos visto que tenemos opciones para que el administrador de varias instalaciones de WordPress reciba notificaciones de los plugins que necesitan actualizarse, pero si hay que entrar en cada instalación de WordPress para actualizar el mismo plugin instalado en todas ellas, el proceso puede durar mucho tiempo.
También existen soluciones para esto. Plugins y servicios en los que podemos alamacenar todas las instalaciones de WordPress que se tengan y actualizar los plugins seleccionados con un solo click.
Una de estas soluciones es ManageWP Worker, de la que hablamos en este artículo hace algún tiempo. Es gratuita, su negocio está en los backups pero es opcional, y bastante solvente a la hora de realizar las actualizaciones de los plugins, themes, traducciones y hasta el propio WordPress.
El mayor problema con este tipo de soluciones, es que se tienen que facilitar los credenciales de acceso a las instalaciones de WordPress a un tercero y esto no tiene porque ser del gusto de todos.
Si se busca un poco en Google o en el repositorio de plugins de WordPress, se encontrarán muchas otras soluciones.
Últimamente están saliendo noticias relacionadas con la seguridad en general y de WordPress en particular, bastante alarmantes.
Hemos visto como no actualizar los plugins o WordPress es un problema de seguridad, pero ¿y si el problema de seguridad llega al actualizar un plugin?.
En algunos casos, los atacantes consigue infectar un plugin desde el origen. Es decir, que llega la notificación de actualización de un plugin confiable que se está usando sin problemas en una instalación de WordPress, pero la actualización ya está infectada.
A esto se le llama ataque a la cadena de suministros y es terriblemente efectiva, ya que se basa en la confianza que el usuario tiene de su proveedor.
Ya se han conocido varios casos en 2017 y todo apunta a que en 2018 se verán muchas más acciones de este tipo.
No son fáciles de realizar por parte de los atacantes, este tipo de ataques, pero si que pueden ser muy provechosas para ellos, económicamente hablando, si lo consiguen, así que es previsible que pongan sus esfuerzos en este punto.
Como WordPress es la plataforma más popular y no parece que vaya a cambiar por ahora, siempre es un objetivo para los atacantes y hemos hablado de ello en este artículo en el que se profundiza más en los ataques a la cadena de suministros en WordPress.
En el blog de Hostinet Formación tratamos cualquier noticia respecto a la seguridad, además de otras cosas, por lo que puedes pasar a visitarnos de vez en cuando para estar al tanto de cualquier tema que puede surgir, ya sea seguridad en WordPress o cualquier otra noticia relacionada con el hosting o dominios.
También puedes suscribirte al Newsletter de Hostinet, donde enviamos una pequeña recopilación de las noticias más interesantes, así como promociones puntuales para clientes.
Síguenos en nuestras redes sociales: Facebook y Twitter @hostinet
En Hostinet tenemos una capa de seguridad añadida en todos los servidores que ofrecemos a nuestros clientes.
Se escanean todas las cuentas en busca de cualquier tipo de malware que pueda haber podido infectar algún archivo.
Si se detecta, se ponen en cuarentena los archivos infectados, se protege el sitio web con contraseña y se avisa al cliente para que pueda tomar las medidas oportunas y restablecer su sitio lo antes posible.
Si se es cliente de Hostinet, está capa de seguridad ya se tiene incluida por defecto y no tiene ningún coste adicional sobre el precio del alojamiento web.
Además, disponemos de varias opciones de hosting WordPress SSD con soporte técnico especializado en el CMS por teléfono y email, cPanel incluido en todas las configuraciones, Certificados SSL gratuitos y muchas más funcionalidades que se pueden revisar en la siguiente tabla: