Seguridad de WordPress basada en hechos y estadísticas

Publicado: 2022-12-12

WordPress es un objetivo común para los piratas informáticos maliciosos debido a la gran cantidad de personas que lo usan. Algunas estimaciones sitúan el número total de sitios web de WordPress en Internet en 455 millones. Esto significa que WordPress ejecuta el 43,1% de todos los sitios web en Internet.

Estadísticas interesantes

Averiguar cuántos sitios web son pirateados es complicado. Hay varias razones para esto. Notoriamente, los incidentes de piratería no se denuncian. A menos que la ley los obligue a divulgar incidentes, muchos administradores y propietarios de sitios web son reacios a hacerlo. Muchos no saben que han sido pirateados, por lo que es imposible denunciarlos.

Con estas advertencias fuera del camino, IT Governance, un proveedor de soluciones de administración de privacidad y riesgo cibernético, informó alrededor de 5.1 mil millones (eso es con una B) infracciones solo en 2021. Esta cifra incluye todos los incumplimientos. Mirando otro informe, esta vez de Sophos, 30,000 sitios web (en promedio) son pirateados diariamente. Esto equivale a 11 millones de sitios web pirateados por año. Sabemos que el 43% de todos los sitios web ejecutan WordPress, lo que nos permite hacer una estimación informada de que 4,7 millones de sitios web de WordPress son pirateados cada año. Eso es casi 13,000 sitios web de WordPress pirateados todos los días.

Ese es un número muy grande, lo que plantea la pregunta, ¿por qué WordPress es tan pirateado? Eso es exactamente lo que veremos en este artículo, basado en hechos y estadísticas.

WordPress: ¿qué tan seguro es realmente?

WordPress es un proyecto de código abierto con muchas personas en todo el mundo trabajando activamente en él. La comunidad de WordPress es muy fuerte y está compuesta por algunas de las personas más inteligentes y comprometidas que jamás haya conocido. Con tanta gente involucrada y pasando por alto el proceso de desarrollo, WordPress tiende a ser muy seguro.

La fortaleza de WordPress también puede ser su perdición, como lo mostrarán las estadísticas cuando profundicemos en cómo se piratean los sitios web de WordPress.

Las mayores fortalezas y debilidades de WordPress

Ningún sistema es perfecto, y esto también se aplica al núcleo de WordPress. El núcleo de WordPress representa los archivos principales antes de que se realicen cambios (como complementos, temas y configuraciones). De hecho, WordPress Core representó el 0,58% de todas las vulnerabilidades en 2021, según el informe de estadísticas de piratería de WordPress de Sucuri. Eso es poco más de la mitad del uno por ciento de todos los incidentes.

Lo siguiente son temas y complementos, en ese orden. De hecho, los temas representan el 6,61 % de todas las vulnerabilidades, mientras que los complementos representan la friolera del 92,81 %.

Sucuri desglosa aún más los temas y complementos según sean gratuitos o premium. Si bien los temas y complementos premium representan el 8,62 % de todas las vulnerabilidades de terceros, sus contrapartes gratuitas representan el 91,38 %.

Por qué los buenos complementos cuestan dinero

Hay muchas razones por las que este es el caso. Los complementos y temas vienen en todas las formas y tamaños, desde desarrolladores de renombre hasta los sombríos. La verdad del asunto es que, cuando se hace bien, el desarrollo de complementos no es barato. Es necesario pagar a los desarrolladores profesionales a tiempo completo mientras mantienen buenas infraestructuras, y las instalaciones de prueba también acumulan facturas.

Esto no quiere decir que todos los complementos gratuitos representen una amenaza para la seguridad, ni mucho menos. Muchos desarrolladores dedican su tiempo libre a producir complementos gratuitos de buena calidad. Sin embargo, si desea un complemento ampliamente probado y compatible, un complemento premium es probablemente el camino a seguir.

Vulnerabilidades de WordPress: los números

El número de vulnerabilidades conocidas de WordPress aumenta cada año. De hecho, WPScan agregó 1437 nuevas vulnerabilidades a su base de datos y 514 el año anterior. Solo en noviembre de 2022, se agregaron 64 nuevas vulnerabilidades.

Teniendo en cuenta la distribución de vulnerabilidades que discutimos anteriormente, estos números se mantienen al observar la cantidad de complementos de WordPress disponibles. El repositorio de WordPress.org enumera más de 60,000 complementos disponibles al momento de escribir este artículo, y se agregan más diariamente. Los complementos también se pueden comprar directamente de los desarrolladores o descargarse de fuentes no oficiales.

Debido al panorama de vulnerabilidades de WordPress en constante cambio, los ataques dirigidos son la excepción y no la regla. A medida que se reparan las vulnerabilidades antiguas y se introducen otras nuevas, a los piratas informáticos les puede resultar difícil mantenerse al día. También hace que los ataques dirigidos consuman mucho tiempo, razón por la cual la mayoría de los ataques están automatizados.

Los ataques automatizados emplean el uso de una herramienta para escanear automáticamente muchos sitios web y generar alertas cada vez que se encuentra una vulnerabilidad. Debido a esto, la mayoría de los ataques son indiscriminados y no el resultado de un rencor. Pero, ¿qué herramientas usan los piratas informáticos para tales ataques automatizados? Vamos a averiguar.

Cómo se piratean los sitios web de WordPress

WordPress se puede piratear de muchas maneras diferentes: los piratas informáticos pueden ser muy creativos para perseguir objetivos. Esto hace que sea imposible y peligroso enumerar todas las formas en que un sitio web de WordPress puede ser pirateado, ya que puede proporcionar una falsa sensación de seguridad. Sin embargo, podemos ver un ejemplo que ilustra el proceso que un pirata informático suele realizar para piratear un sitio web de WordPress.

WPScan: un escáner de vulnerabilidades de WordPress

escanear wps
Interfaz WPScan: Escaneo de seguridad de WordPress

Una herramienta común que los piratas informáticos suelen utilizar se llama WPScan. Es una herramienta gratuita que está fácilmente disponible en línea. Es un escáner de vulnerabilidades que escanea sitios web de WordPress e identifica problemas conocidos y configuraciones no seguras. Al iniciar un análisis de seguridad predeterminado de WordPress con WPScan, descubrirá al instante:

  • La versión de WordPress
  • Complementos instalados, su versión y la ruta donde están instalados
  • Temas instalados, su versión y la ruta donde están instalados

WPScan incluye otras funciones, como escaneos de enumeración de usuarios de WordPress. Estos escaneos identifican y enumeran a todos los usuarios registrados en un sitio web de WordPress, lo que brinda a los piratas informáticos una idea de cómo funciona su WordPress. Armado con esta información, el pirata informático puede lanzar un ataque secundario, como un ataque de fuerza bruta de contraseña de WordPress para obtener acceso a su sistema.

Aquí, es importante tener en cuenta por qué la seguridad de la contraseña de WordPress es tan crucial para la seguridad general de su sitio web de WordPress. Una contraseña débil hace que sea relativamente fácil de romper para un ataque de fuerza bruta. Del mismo modo, es importante asegurarse de que todas las cuentas utilicen contraseñas seguras. Es posible que una cuenta de colaborador comprometida no pueda causar mucho daño, pero a través de la escalada de privilegios en un sitio web comprometido, un atacante puede obtener privilegios administrativos para causar estragos.

Por qué los hackers piratean

Una vez que un mal actor ha logrado obtener acceso a su sitio web de WordPress, hay varias acciones que puede tomar, como:

  • Crear una nueva cuenta con privilegios de administrador
  • Restablezca la contraseña de las cuentas existentes para asegurarse de que otros usuarios no puedan recuperar el acceso a su WordPress
  • Cambiar el rol de una cuenta inactiva existente
  • Cambiar el contenido para inyectarlo con código malicioso
  • Manipule los archivos de código fuente de WordPress para agregar código malicioso, como puertas traseras
  • Agregar redirecciones en archivos htaccess

Protegiendo tu WordPress de ataques

Como hemos visto, los malos actores pueden adoptar múltiples enfoques para violar un sitio web de WordPress. Entonces, es lógico que asegurar un sitio web de WordPress requiera un enfoque más holístico que simplemente garantizar que los usuarios tengan una contraseña.

  • Investigación : ya sea que esté buscando un proveedor de alojamiento de WordPress o un nuevo complemento, asegúrese de tomarse el tiempo para consultarlos antes. Los foros pueden ayudarlo a obtener una visión rápida de cómo se sienten los clientes acerca de los productos o servicios, mientras que los complementos deben tener actualizaciones frecuentes y una excelente atención al cliente.
  • Prueba : elegir el mejor complemento para su WordPress no tiene que ser un juego de adivinanzas. La mayoría de los proveedores de complementos de buena reputación ofrecen una prueba gratuita de sus complementos premium. Esto le permite probarlos antes de comprometerse.

Una vez que haya resuelto su configuración, deberá asegurarse de que esté configurada correctamente para obtener la máxima seguridad. Configurar un WordPress seguro no es un trabajo de una sola vez sino un proceso continuo que incluye:

  • Contraseñas sólidas : una política sólida de contraseñas de WordPress puede ayudarlo a garantizar que los ataques de fuerza bruta se agoten antes de que tengan éxito. Use una combinación saludable de letras mayúsculas y minúsculas, números y caracteres especiales. Además, establezca una política de caducidad de contraseñas para asegurarse de que las contraseñas se cambien con frecuencia.
  • 2FA : 2FA, abreviatura de autenticación de dos factores, agrega una capa de autenticación adicional a su inicio de sesión de WordPress. Al usar 2FA, incluso si un ataque de fuerza bruta tiene éxito, sin acceso a su teléfono inteligente, los piratas informáticos no podrán iniciar sesión.
  • Actualizar : mantenga WordPress, complementos y temas actualizados en todo momento. La implementación de las actualizaciones de WordPress se puede hacer de diferentes maneras, como muestra esta encuesta reciente. Esto puede ayudarlo a equilibrar los requisitos administrativos y de seguridad sin sudar.
  • Monitor : vigile de cerca la actividad del usuario y del sistema con un complemento de seguridad como WP Activity Log. Esto lo ayudará a identificar el comportamiento sospechoso desde el principio y apagarlo antes de que se produzcan daños.

Esta no es una lista exhaustiva, pero es un buen punto de partida. La seguridad de WordPress es un tema en evolución, que requiere un mantenimiento constante. Seguir un blog de seguridad de WordPress es una forma de mantenerse actualizado y algo que puede leer mientras toma su café de la mañana.

Mantener WordPress seguro

La seguridad de WordPress es un ciclo más que un proceso con un principio y un final. Requiere atención y ajustes constantes para responder a las amenazas en evolución. Si bien esto puede parecer demasiado trabajo, como suele ser el caso, el mantenimiento es mejor que la reparación. Al dedicar unas pocas horas cada mes, puede reducir drásticamente los riesgos de seguridad, ayudándolo a garantizar que su sitio web continúe creciendo.