40 likes | 49 Views
Diseu00f1o Web Zaragoza. Diseu00f1o y creaciu00f3n de pu00e1ginas a medida, tiendas virtuales, posicionamiento seo y marketing digital.
E N D
Como el CMS más popular del mundo, WordPress deja a miles y miles de diseñadores de sitios, desarrolladores y dueños de negocios crear y ejecutar sus sitios. Debe su popularidad a su facilidad de uso, sus características y un próspero ecosistema de desarrolladores de complementos y temas, y la comunidad de Wordpress. No obstante, hay una otra cara. Esta popularidad es la razón por la que los piratas informáticos se dirigen a los sitios de Wordpress para lanzar múltiples y comunes ataques de Wordpress. ¿Qué es exactamente un ataque de WordPress y cuáles son los tipos más frecuentes de ataques que emplean los piratas informáticos? Discutámoslos en detalle. ¿Qué es un ataque de Wordpress? Si bien existen muchas formas de atacar los sitios web de WP, cualquier intento que aproveche las debilidades o vulnerabilidades de seguridad en los sitios de Wordpress puede llamarse un ataque de WordPress. ¿Significa esto que WordPress es intrínsecamente inseguro o propenso a padecer ataques? De nada. WordPress en sí es seguro. Los sitios de Wordpress tienen vulnerabilidades pues los dueños de sitios a menudo no prosiguen las pautas de seguridad recomendadas para sus sitios. Entonces, ¿de qué manera atacan los piratas informáticos los sitios web de Wordpress? Aquí hay 5 de los ataques más comunes que los piratas informáticos desatan en los sitios de Wordpress en el mundo entero. Los 5 ataques de WP más habituales y cómo evitarlos Si bien los piratas informáticos han concebido formas nuevas e innovadoras de agredir los sitios de Wordpress, estos son los 5 tipos más frecuentes de ataques de WordPress: Ataques de fuerza salvaje inyecciones SQL Complementos y temas vulnerables Phishing y hurto de datos Script entre sitios (XSS) Analicemos cada uno de estos 5 ataques en detalle, junto con de qué manera puede evitarlos. Ataques de fuerza bruta Este es seguramente el Más información ataque de malware de WordPress más simple en el que los piratas informáticos apuntan a su página de comienzo de sesión de WP. Los ataques de fuerza salvaje utilizan bots automatizados que repetidamente intentan adivinar las credenciales para conseguir acceso a las cuentas de los usuarios, en particular a aquellos con derechos de administrador. Una vez que los piratas informáticos ingresan a una cuenta de usuario administrador, pueden tomar el control total de todo su sitio web e infligir el máximo daño. La mayoría de los usuarios facilitan la entrada de los piratas informáticos al emplear nombres de usuario débiles como "usuario123" o "admin" o contraseñas débiles como "clave de acceso" o "ciento veintitres mil cuatrocientos cincuenta y seis" que son fáciles de adivinar para los piratas informáticos. Cómo eludir los ataques de fuerza bruta
Aquí existen algunas medidas que puede tomar para proteger su sitio de Wordpress de los ataques de fuerza bruta: Cambie su nombre de usuario de administrador predeterminado de WP de "admin" a algo más exclusivo. Haga que las contraseñas seguras sean obligatorias para todos y cada uno de los usuarios. Una clave de acceso segura debe tener por lo menos diez caracteres y debe tener una combinación de letras, números y caracteres singulares (@,$ , _). Limite el número de intentos de inicio de sesión en cualquier cuenta a un máximo de 3. Implemente la autentificación de dos factores (o 2FA) que implica un proceso de inicio de sesión de 2 pasos para todas y cada una de las cuentas de usuario. Cambie sus contraseñas de usuario a intervalos regulares. Inyecciones SQL Este ataque de WordPress está dirigido a su base de datos de WordPress usando comandos SQL maliciosos. Mire cualquier sitio web de Wordpress y probablemente contendrá campos de entrada de usuario como formularios on line, sección de comentarios o barras de búsqueda. Ciertos sitios web también le permiten ingresar imágenes o documentos. Los piratas informáticos aprovechan las vulnerabilidades en estos campos de entrada a través de inyecciones SQL para inyectar sus consultas o declaraciones SQL. A través de ellos, pueden tomar el control de su base de datos de WP y luego corromper o robar valiosos registros de la base de datos. De qué manera eludir el ataque de WP de inyección SQL Esto es lo que puede hacer para resguardar su lugar de WordPress de los ataques de inyección SQL: Como las inyecciones de SQL triunfantes se facilitan mediante complementos/temas inseguros, asegúrese de instalarlos solo de desarrolladores o empresas fiables. Sostenga siempre y en toda circunstancia actualizados sus complementos/temas instalados a sus últimas versiones. Valide todas las entradas de los usuarios en formularios o comentarios en línea para asegurarse de que no contengan entradas sospechosas. Cambie el nombre o la localización predeterminados de su base de datos de WP, lo que dificulta que los piratas informáticos accedan a ella. Complementos y temas vulnerables Los complementos y temas de WP ofrecen una forma conveniente de añadir funcionalidades para crear un lugar de WP simple de emplear o diseñar un sitio con la apariencia que elija. Sin embargo, los complementos/temas inseguros pueden resultar dañinos para los sitios de Wordpress, ya que los piratas informáticos aprovechan sus vulnerabilidades para ingresar a los sitios. Con sitios web que contienen cientos de complementos/temas, los piratas informáticos pueden utilizar estas vulnerabilidades para apuntar a todos los sitios web que usan la misma
versión de complemento/tema. Para eludir esto, los desarrolladores de los complementos/temas más populares corrigen cualquier fallo relacionado con la seguridad y lanzan versiones actualizadas para cubrir cualquier brecha de seguridad. De qué manera evitar plugins y temas vulnerables Acá existen algunas medidas que puede tomar para habilitar la protección contra ataques de WordPress contra complementos/temas vulnerables: Instale sus complementos/temas de WP solo de fuentes o desarrolladores fiables. Actualice sus complementos/temas instalados a su última versión libre. Suprima los complementos/temas inactivos o abandonados que su equipo de desarrollo no haya recibido no actualizado. Evite el uso de complementos y temas anulados o pirateados, que de manera frecuente contienen código de malware para inficionar su sitio. Limite la cantidad de complementos/temas instalados en su lugar de WP y desinstale los que ya no usa. Además del riesgo de seguridad, demasiados complementos también pueden afectar la velocidad de su sitio web. Phishing y hurto de datos Como se mencionó anteriormente, los piratas informáticos no solo desean dañar su lugar de WordPress, sino asimismo procuran hurtar datos valiosos, como registros de clientes del servicio e información financiera de su negocio. Los piratas informáticos procuran hacerse pasar por usuarios "genuinos" y engañar a los usuarios desprevenidos para que se desprendan de detalles importantes como las credenciales de comienzo de sesión o los detalles de la tarjeta de crédito. Esto es lo que hace que el phishing sea un tipo de ataque de WP gravemente perjudicial. A través de el phishing, los piratas informáticos pueden acceder a cualquier sitio comercial y enviar e-mails a su base de clientes. Entonces, los clientes del servicio desprevenidos se ven obligados a hacer clic en links que los redirigen a sitios no solicitados que venden productos falsos o ilegales. O, son engañados para que revelen su información personal o efectúen pagos. De qué manera eludir el phishing y el robo de datos Acá hay algunas medidas que puede tomar para eludir el phishing y el hurto de datos en su lugar de WordPress: Proteja su lugar de Wordpress habilitándolo para HTTPS mediante un certificado SSL. Los sitios web HTTPS encriptan todos y cada uno de los datos trasmitidos entre el sitio web y el navegador del usuario, por lo que los piratas informáticos no pueden explotar los datos aun si son interceptados. Desplazar su lugar a HTTPS asimismo es parte de una estrategia integral de SEO, ya que los buscadores como Google favorecen los sitios HTTPS por la seguridad de sus usuarios. Instale un complemento de seguridad de Wordpress como MalCare o Sucuri que puede detectar cualquier
actividad sospechosa en su sitio y eliminar el malware. Instale un firewall de sitio web para proteger su sitio a través de la detección y el bloqueo de solicitudes de IP de fuentes sospechosas. Secuencias de comandos entre sitios (XSS) También conocido como XSS, Cross-Site Scripting es otro ataque de Wordpress que aprovecha los sitios vulnerables para cargar código JavaScript malicioso que alienta a los visitantes del lugar a compartir sus datos o realizar una acción. Los ataques XSS son considerablemente más peligrosos que otros ataques, ya que pueden dirigirse a los usuarios administradores y conseguir la autoridad para efectuar labores de alto privilegio. Esto incluye ver o mudar claves de acceso de usuario, rastrear información de pago o ver registros de bases de datos confidenciales. Los ataques XSS también emplean técnicas de phishing como apuntar a subscripciones a folletines de correo electrónico o foros de discusión en línea para apuntar a usuarios desprevenidos. Cómo evitar el ataque de Cross-Site Scripting Acá hay algunas formas en que puede prevenir los ataques XSS o Cross-Site Scripting: Filtre cada entrada de usuario en su sitio de Wordpress y deje solo entradas válidas. Utilice técnicas de creación de listas blancas, como permitir solo caracteres predeterminados en los campos de entrada. Desarrolle una política de seguridad de contenido completa para su sitio. Instale un complemento XSS de Wordpress o un complemento de seguridad como MalCare o Sucuri, que puede eludir todo tipo de inyecciones de código. Pensamientos finales Hemos analizado 5 de los ataques de Wordpress más comunes incorporados por piratas informáticos y cómo puede prevenirlos. Sin embargo, es esencial recordar que los piratas informáticos no se restringen a estos ataques. Continuamente están ideando nuevas formas de comprometer los sitios web. La mejor manera de asegurar la protección continua de su lugar es utilizar un complemento de seguridad de Wordpress dedicado que pueda detectar los ataques de WP más recientes y, hasta el instante, menos conocidos. Los complementos de seguridad como MalCare están desarrollados solamente para WP y combinan múltiples medidas de seguridad como un firewall, protección de comienzo de sesión, actualizaciones de complementos y temas, refuerzo de WordPress, etc. con eliminación y escaneo de malware para que pueda proteger su sitio web con unos pocos clics.