Cómo mejorar la seguridad de mi WordPress
Todos sabemos que existen los ciberdelincuentes, personas que se dedican a buscar fallas de seguridad en servidores, sitios web o sistemas informáticos para obtener un beneficio propio. Ojo, no los confundamos con los hackers, que también buscan fallas de seguridad, pero lo hacen para mejorar los sistemas. Una de las herramientas de los ciberdelincuentes es el malware, es decir, un programa maliciosos o virus (de aquí viene la denominación “infectar” a un ataque de un ciberdelincuente). Bien, pues WordPress no es ajeno a los ciberataques: según el informe 2019 Website Threat Research Report de Sucuri, es el CMS más atacado.
Pero que no cunda el pánico, es el CMS más atacado porque también es el CMS más usado; no es porque no sea seguro. De hecho, según un estudio sobre los ciberriesgos hecho por IBM, la gran mayoría de los ciberataques son debidos a errores humanos, después hablaremos de ello. WordPress es seguro si está bien actualizado (el 56% de los CMS infectados no estaban actualizados, según el informe de Sucuri), bien configurado y alojado en un servidor con protocolos de seguridad. En esta entrada vamos a hablar de tipos de ataques que puede sufrir una web, de las estrategias de los ciberdelincuentes para perpetuar los ataques y de cómo podemos mejorar la seguridad de nuestro WordPress.
Tipos de ataques a una página web
Hay muchos, pero vamos a comentar dos que el informe de Sucuri señala como las causantes de las infecciones más comunes.
SEO Spam
Sí, lo habéis oído bien. Es una estrategia que consiste en poner malware en páginas web bien posicionadas (no tienen por qué ser páginas muy populares) y que tengan alguna falla de seguridad. Los ciberdelincuentes lo hacen, por ejemplo, para conseguir que una página web con muchas visitas y bien valorada (por eso las seleccionan buscando páginas posicionadas) redirija a los visitantes a páginas diferentes; con el fin de publicitar otra web.
Backdoors
Un Backdoor (puerta trasera) es una vía de entrada oculta a un sistema, como puede ser una web, sin ningún tipo de autentificación. Es una manera de controlar un ordenador sin que el usuario sea consciente de ello. Los backdoors pueden venir con un virus troyano o simplemente, pueden ser accesos que los desarrolladores, por error, dejaron sin bloquear.
Inyección de código SQL
Cada vez que un usuario introduce un input de texto en una web que tiene una base de datos SQL, se da una conexión a esta base de datos. Ahora imagínate que un ciberdelincuente introduce acciones SQL maliciosas; efectivamente, podría hacerse con todos los datos de tu página web o destruirlos.
Cómo hacer que mi WordPress sea seguro
Los ciberdelincuentes desarrollan estrategias para controlar una web, pero los errores humanos que afectan a la vulnerabilidad de un sistema (como no actualizar o contraseñas poco seguras) juegan un papel muy importante para que puedan desarrollarlas. Introducir un backdoor en un WordPress sin fallas de seguridad no es ni mucho menos tan fácil como hacerlo en otro sin actualizar o con errores en el código.
La seguridad de un WordPress se puede analizar desde dos puntos de vista: el propio WordPress y el servidor dónde se aloja este.
WordPress
Al final, que tu WordPress sea seguro va a depender, en gran parte, de ser constante y realizar una serie de acciones de forma periódica. También hay otras medidas de carácter más técnico, pero lo dicho, los ciberdelincuentes se aprovechan de errores humanos. Aquí tenéis un checklist con acciones fáciles para convertir tu WordPress en un sitio seguro.
Plugins y temas
- Verifica que WordPress, los plugins y el tema estén debidamente actualizados. Sobre todo los plugins y temas (una vez por semana al menos), puesto que reciben actualizaciones más a menudo. Recordemos que las actualizaciones sirven para incorporar las correcciones a las vulnerabilidades encontradas por los ciberdelincuentes.
- Elimina los plugins y temas inactivos.
Inicio de sesión y credenciales
- Controla los inicios de sesión: revisa si se ha dado algún inicio de sesión sospechoso.
- Asigna roles adecuados y contraseñas robustas a los usuarios. Seguro que ya lo sabéis pero recordamos que las contraseñas robustas son las que tienen al menos 8 caracteres (combinando números, símbolos, mayúsculas y minúsculas) y que no guardan ninguna relación con el sitio web.
- Otra recomendación es cambiar las contraseñas de vez en cuando, aunque sean seguras, y siempre que se hayan compartido a una tercera persona o que se haya iniciado sesión desde un equipo que no sea el habitual.
- Asegúrate de que los usuarios no hayan cometido ninguna falla de seguridad como puede ser compartir contraseñas. Y si así, toma medidas.
- Elimina los usuarios inactivos.
Servidor
Otro punto de entrada de infecciones son los servidores. Es importante tenerlo en cuenta cuando elijamos el proveedor de hosting. Normalmente, los proveedores de hosting alojan páginas web de diferentes clientes en un mismo espacio. A más usuarios, más riesgo de sufrir un ataque; porque si un ciberdelincuente consigue entrar en una, puede entrar en las demás. En cambio, el hosting dedicado es mucho más seguro porque el espacio en el servidor es para una sola web.
Otras medidas a tener en cuenta por el administrador del servidor serían:
- Tener el sistema actualizado.
- En la medida de lo posible, que todas las conexiones sean cifradas y con claves privadas.
- Configurar un cortafuegos restrictivo.
- Evitar puertos conocidos y cambiarlos periódicamente.
Los problemas con la seguridad afectan nuestra credibilidad
Todos somos objetivo de los ciberdelincuentes, de hecho, atacan páginas pequeñas porque suelen tener más vulnerabilidades. Como hemos visto, los ataques no se basan en hacer que tu web deje de funcionar; sino en usarla sin que te des cuenta para el beneficio del ciberdelincuente. No olvides que los usuarios y Google lo van a detectar: el malware en una web afecta al rendimiento, por lo que el usuario se desencanta y, además, Google penaliza a las páginas que reparten Spam y que no funcionan bien. Recuerda que el proveedor de hosting también te la puede bloquear por Spam. Los problemas con la seguridad de una web afectan su reputación: es importante tomarlos en serio.
