No descubro nada si digo que wordpress es hoy por hoy el gestor de contenido mas usado en el mundo y con miras de seguir creciendo. Para tener una idea de la dimensión de lo que digo les dejo unas estadísticas.

Al tener tanto éxito a nivel mundial, también lo es para personas maliciosas que quieren usar los diferentes sitios para sus propósitos (como botnet, como generador de criptomonedas, para robar tarjetas de credito, credenciales, etc).

Si bien las amenazas son muchas también lo son las defensas que la mayoría de los programadores agrega diariamente a sus respectivos códigos, como así también a los plugins y temas usados.

Los principales problemas a la hora de tener un sitio wordpress ejecutando en un servidor y que este sea vulnerable son los siguientes:

Software basico obsoleto:

De todos los sitios wordpress pirateados en el ultimo año el 40% tenia el software basico obsoleto. Las actualizaciones de wordpress se dan generalmente cada 2 semanas. Principalmente pequeñas porciones de codigo son reemplazadas por codigo mas eficiente y seguro. Las grandes actualizaciones son para bugs criticos de seguridad y/o nuevas features.

Plugins o Temas obsoletos:

Una de las cosas que a la gente le encanta de WordPress es el vertiginoso conjunto de plugins y temas disponibles. Al momento de escribir esto, hay más de 56,000 en el repositorio de WordPress, y miles de otros premium adicionales esparcidos por toda la web.

Aunque todas esas opciones son excelentes para ampliar su sitio, cada extensión es una nueva puerta de entrada potencial para un actor malicioso. Y aunque la mayoría de los desarrolladores de WordPress hacen un buen trabajo siguiendo los estándares de código y parcheando cualquier actualización a medida que se las conoce, todavía hay algunos problemas potenciales:

Entonces, ¿qué tan grande es el problema?

Bueno, en una encuesta de Wordfence de propietarios de sitios web pirateados, más del 60% de los propietarios de sitios web que sabían cómo llegó el hacker lo atribuyeron a un plugin o a una vulnerabilidad temática.

Credenciales de acceso comprometidas para WordPress, FTP o Hosting

Ok, esto no es realmente culpa de WordPress. Pero un porcentaje no despreciable de hacks provienen de actores maliciosos que tienen en sus manos las credenciales de inicio de sesión de WordPress, o las credenciales de inicio de sesión de las cuentas de alojamiento o FTP de los webmasters.

En la misma encuesta de Wordfence, los ataques por fuerza bruta representaron ~16% de los sitios pirateados, con robo de contraseñas, estaciones de trabajo, phishing y cuentas FTP, todos ellos con una apariencia pequeña, pero notable.

Una vez que un actor malicioso recibe la llave metafórica de la puerta principal, no importa qué tan seguro sea su sitio WordPress.

WordPress realmente hace un gran trabajo para mitigar esto generando automáticamente contraseñas seguras, pero todavía depende de los usuarios mantener esas contraseñas seguras y también usar contraseñas fuertes para hospedaje y FTP.

Aporte: Tomar medidas básicas para mantener seguras las credenciales de las cuentas puede evitar que actores maliciosos entren. Use/imponga contraseñas seguras para todas las cuentas de WordPress y limite los intentos de acceso para prevenir ataques de fuerza bruta.

Para cuentas de alojamiento, utilice la autenticación de dos factores si está disponible y nunca almacene su contraseña FTP en texto plano (como hacen algunos programas FTP).

Si puede elegir entre FTP y SFTP (Protocolo de transferencia de archivos SSH), utilice siempre SFTP. Esto asegura que nunca se transfieran contraseñas de texto claro o datos de archivo. Sólo soportamos conexiones seguras en Kinsta.

4. Ataques a la cadena de suministro

Recientemente, ha habido algunos casos en los que los hackers obtienen acceso a los sitios a través de un truco desagradable llamado ataque a la cadena de suministro. Esencialmente, el actor malicioso lo haría:

Wordfence tiene una explicación más profunda si le interesa. Aunque estos tipos de ataques no están muy extendidos, son más difíciles de prevenir porque resultan de hacer algo que usted debería estar haciendo (mantener un plugin actualizado).

Dicho esto, el equipo de WordPress.org normalmente detecta rápidamente estos problemas y elimina el plugin del directorio.

Aporte: Esto puede ser difícil de prevenir porque es bueno actualizarse siempre a la última versión. Para ayudar, los plugins de seguridad como Wordfence pueden alertarle cuando un plugin es removido de WordPress.org de modo que usted lo dirija rápidamente. Y una buena estrategia de respaldo puede ayudarlo a retroceder sin ningún daño permanente.

5. Entorno de alojamiento deficiente y tecnología obsoleta

Más allá de lo que está sucediendo en su sitio WordPress, su entorno de alojamiento y las tecnologías que utiliza también marcan la diferencia. Por ejemplo, a pesar de que PHP 7 ofrece muchas mejoras de seguridad sobre PHP 5, sólo ~33% de los sitios de WordPress están usando PHP 7 o superior.

Uso de PHP en el sitio web de WordPress. (Fuente de la imagen: WordPress.org)

El soporte de seguridad de PHP 5.6 expiró oficialmente a finales de 2018. Y las versiones anteriores de PHP 5 no han tenido soporte de seguridad durante años.

Esto significa que el uso de un entorno de alojamiento que utiliza PHP 5.6 o inferior le abrió el potencial de vulnerabilidades de seguridad de PHP no parcheadas.

A pesar de ello, un ~28% de los sitios web de WordPress siguen usando versiones PHP por debajo de 5.6, lo que es un gran problema si se tiene en cuenta que recientemente hemos visto años récord para el número de vulnerabilidades PHP descubiertas.

Más allá de darle acceso a las últimas tecnologías, el uso de alojamiento seguro de WordPress también puede ayudarle a mitigar automáticamente muchas de las otras posibles vulnerabilidades de seguridad con:

Aportar: El uso de un entorno de alojamiento seguro y las versiones recientes de tecnologías importantes como PHP ayuda a garantizar aún más que su sitio WordPress permanezca seguro.

¿Quién es responsable de mantener la seguridad de WordPress?

Ahora se estará preguntando, ¿quién es responsable de combatir todos los problemas mencionados anteriormente?

Oficialmente, esa responsabilidad recae en el Equipo de Seguridad de WordPress (aunque los colaboradores y desarrolladores individuales de todo el mundo también juegan un papel importante en mantener la seguridad de WordPress).

El equipo de seguridad de WordPress está formado por «50 expertos, incluidos desarrolladores líderes e investigadores de seguridad». Alrededor de la mitad de estos expertos trabajan en Automattic. Otros trabajan en seguridad web, y el equipo también consulta con investigadores de seguridad y empresas de hosting.

Si está interesado en una visión detallada de cómo funciona el Equipo de Seguridad de WordPress, puede ver la charla de 48 minutos de Aaron Campbell desde WordCamp Europe 2017. Pero en general, el equipo de seguridad de WordPress:

El Equipo de Seguridad de WordPress tiene una política de divulgación que significa que, una vez que han reparado con éxito el fallo y liberado la corrección de seguridad, revelan públicamente el problema (esto es parte de la razón por la que tantos sitios fueron desfigurados en 2017 – todavía no habían aplicado la actualización incluso después de que el equipo de seguridad revelara públicamente el fallo).

Lo que el Equipo de Seguridad de WordPress no hace es revisar todos los temas y plugins en WordPress.org. Los temas y plugins de WordPress.org son revisados manualmente por voluntarios. Pero esa revisión no es «una garantía de que estén libres de vulnerabilidades de seguridad».

Así que – ¿Es WordPress seguro si usted sigue las mejores prácticas?

Si se fijan en todos los datos y hechos anteriores, verán esta tendencia general:

Aunque ningún sistema de gestión de contenidos es 100% seguro, WordPress tiene un aparato de seguridad de calidad para el software principal y la mayoría de los hacks son el resultado directo de que los webmasters no siguen las mejores prácticas de seguridad básicas.

Si hace cosas como….

…entonces WordPress es seguro y su sitio debe permanecer libre de piratas informáticos tanto ahora como en el futuro. Si usted es cliente nuestro, tampoco tiene que preocuparse. Si por casualidad su sitio es pirateado, lo aconsejaremos y le daremos una solución profesional a su sitio web.

No deje de consultarnos. Somos profesionales y expertos en seguridad informática.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *