Securización de WordPress
Tarsis.net, 25 de febrero de 2020
Estadísticamente un 30% de los sitios web activos utilizan WordPress como gestor de contenidos (CMS), pero muy pocos de esos sitios están preparados para resistir unos asaltos que se producen todos los días, la mayor parte de las veces de forma automatizada.
Tipos de ataques
La mayor parte de los ataques que sufrirá su sitio web serán automatizados. Estos ataques están siendo permanentemente llevados a cabo por grupos de bots que exploran sin descanso todos los sitios web que pueden detectar en busca de información, tal como qué gestor de contenidos ha servido para crear un sitio, dónde se ubican diferentes servicios que ofrece WordPress (login, XMLRPC, cron) y tratar de evaluar los plugins instalados y sus versiones.
Con esta información otros bots llevarán después a cabo ataques contra dichas instalaciones, apoyándose en las vulnerabilidades públicamente conocidas (y no conocidas, o zero-day) con el objetivo de ganar acceso a la instalación o, en ocasiones, de obstaculizar sus operaciones mediante ataques de denegación de servicio (que pueden haber sido contratados o bien creados simplemente para extorsionar a la organización propietaria del sitio).
Como puede ver se trata de un panorama encantador con el que los administradores de sitios web batallan silenciosamente día tras día. Si es usted el administrador de un sitio web y no está al tanto de esta situación, es porque le falta información sobre lo que ocurre en su infraestructura, ya que la probabilidad de que su sitio web haya sido explorado y posteriormente atacado es del 100%.
Si su sitio web sigue funcionando normalmente es porque su administrador de sistemas está haciendo un buen trabajo, así que aproveche el último viernes de julio (“Día del Administrador de Sistemas”) para reconocer y felicitarle por una labor que hace en beneficio de toda su organización.
¿Su WordPress tiene problemas? Infórmese de nuestro servicio de administración de WordPress. Disfrute de una instalación de WordPress actualizada, optimizada y segura.
Para hacer la situación aún más amena, tendremos también que saber que hay otro tipo de ataques, dirigidos y llevados a cabo manualmente, sobre sitios concretos por personas concretas, que pueden también afectar a nuestros sistemas. Lo que habíamos visto respecto a los ataques automatizados representa una forma de fuerza bruta aplicada a granel sobre cualquier sitio con cualesquiera características.
De lo que hablamos ahora es de ataques quirúrgicos llevados a cabo por personas altamente cualificadas que pueden querer ganar acceso a un sitio web con multitud de posibles objetivos: Ganar acceso en el sitio web a información que no es pública, modificar interesadamente la información publicada en la web de su empresa u obtener una colección de claves encriptadas (hash) que después puedan ser descifradas y probadas en otros servicios de la organización. ¿Se imagina qué ocurriría si la clave del administrador de WordPress de su empresa es la misma que la del administrador de Google Apps/G Suite o de su intranet?
Este tipo de ataques son más profesionales, más interesados y por tanto más peligrosos. Tienen como objetivo las operaciones internas y la imagen pública de una organización. Pueden empezar también con una exploración del sitio web, o incluso con una operación que tenga como blanco una persona concreta (spear phising) con el fin de engañarla y conseguir información explotable.
Los resultados del éxito de uno de estos ataques es mucho más letal que los de los ataques automatizados. Para hacerles frente, además de disponer de las herramientas adecuadas, se necesita formación y unos procedimientos de seguridad consistentes en toda la organización.
Medidas para asegurar una instalación de WordPress
Pero no sucumbamos a la desesperación, porque no todo está perdido. Podemos poner a salvo nuestro sitio web WordPress si establecemos y seguimos técnicas y procedimientos factibles, relativamente sencillos, en la gestión del día a día:
- En primer lugar, y más importante: Mantenga su instalación actualizada. Esto quiere decir que el núcleo de WordPress, todos los plugins que tenga instalados y los temas tienen que estar actualizados a su última versión, y que son compatibles con la versión actual de WordPress. No se permita trabajar de otra manera, porque de lo contrario es sólo cuestión de tiempo que un atacante localice una grieta de seguridad en su instalación anticuada y la aproveche.
- Elimine todos los plugins y temas que no utilice. No están haciendo más que ocupar recursos y abrir potenciales agujeros de seguridad.
- Elimine todos los usuarios que no sean necesarios. No deje abandonadas cuentas de usuario antiguas que, con el tiempo, se puedan convertir en puerta de entrada a su instalación.
- Siga la buena práctica de establecer contraseñas seguras, no sencillas, ni compartidas con otros sitios web o servicios externos. La comodidad y la seguridad son dos conceptos que en la mayor parte de los casos están reñidos, y ésa es precisamente la razón de ser de los ataques de fuerza bruta para descubrir su clave de acceso. Para algunas instalaciones puede ser viable incluso optar por un doble factor de autenticación (2FA, Two Factor Authentication), que combine un usuario y una clave con el envío de un código temporal o un código QR legible por un teléfono móvil.
- Mantenga siempre una estricta disciplina de backup. Hay excelentes plugins gratuitos que pueden hacerle la vida más sencilla, más segura y más tranquila.
- Instale y configure inteligentemente un conjunto adecuado de plugins de seguridad que eviten la mayoría de los ataques y que le mantengan informado de cambios en su instalación.
- Si su instalación dispone de un firewall o un CDN que usted pueda manejar, establezca reglas adecuadas para limitar el tráfico, especialmente a la parte administrativa de la instalación.
- En muchas instalaciones puede ser necesario contar con un firewall de aplicación (Web Application Firewall, WAF), que actúa examinando las peticiones enviadas a WordPress y filtrando las que puedan ser potencialmente peligrosas.
- Planifique el desastre. Póngase siempre en el peor de los casos y esté preparado para que su sitio web sufra un ataque irreversible, incluso si eso nunca llega a ocurrir. En esa circunstancia usted no puede quedarse parado sin saber qué hacer. Necesita haber asumido esa posibilidad, estar listo para reaccionar inmediatamente y restaurar la situación, al menos parcialmente, en pocas horas.
Si usted no tiene el tiempo o el personal que pueda asegurar y gestionar correctamente su sitio web WordPress, nosotros disponemos de un servicio de administración de WordPress que puede ayudarle a eliminar preocupaciones. Valoraremos su situación sin compromiso y le haremos una propuesta para optimizarlo y securizarlo y evitarle problemas en el futuro.
En un próximo artículo explicaremos qué hacer cuando nuestro sitio WordPress ha sido ya comprometido y tenemos que tomar acción para devolver el sitio a la normalidad. No se lo pierda.
PODEMOS AYUDARLE
Somos una agencia Internet especializada en PYMEs. Si su empresa puede beneficiarse con la creación de una presencia web profesional, una intranet/extranet corporativa, herramientas de colaboración empresarial, marketing de contenidos (inbound marketing) o integración de tecnologías de terceros, contacte con nosotros y estudiaremos su caso, sin compromiso.