Un sitio en WordPress puede ser blanco de diferentes tipos de ataque, así que vamos a repasar los eventos de seguridad más comunes que podríamos enfrentar y las acciones preventivas o correctivas que debemos ejecutar en cada caso.
Mi recomendación antes de la definición de este artículo, es mantener actualizado el WordPress, instalar plugins con buena reputación, realizar siempre backup (diarios, semanales o mensuales), registra el sitio web en Google Webmaster Tools, usa analytics, son herramientas gratuitas y poderosas para monitorear sitios web.
Un Exploit puede ser definido como una porción de código malicioso escrita para aprovechar alguna vulnerabilidad presente en un programa informático o un sistema. La mayoría de estas vulnerabilidades son corregidas a través de parches y actualizaciones de componentes. En este sentido, WordPress como plataforma es bastante segura, pero muchos de los plugins disponibles para ampliar sus funciones pueden ser usados como vía de acceso al tener sus propias brechas de seguridad. Ante este problema, lo mejor es investigar un poco sobre los plugins antes de instalarlos y, si ya están instalados, asegurarnos de que estén actualizados. Si descubres algún bug en un complemento, debes notificarlo al desarrollador para que este pueda corregirlo en la próxima actualización.
Uno de los mayores problemas de WordPress es su susceptibilidad a ataques de tipo SQL Injection, sobre todo en las versiones más antiguas. En general, esta forma de ataque, que aprovecha los formularios presentes en el sitio, es una de las más frecuentes y se emplea con el objetivo de extraer información de la base de datos que permita, posteriormente, realizar ataques más significativos. Una forma de prevenir la inyección de código SQL es agregando el siguiente código http://pastie.org/5101029 al fichero .htaccess correspondiente a la instalación de WordPress.
En muchos sentidos, los usuarios representamos una de las mayores vulnerabilidades en una plataforma como WordPress. Usar contraseñas débiles, o en otras palabras, que puedan ser alcanzadas mediante un ataque de fuerza bruta, es un problema bastante común. Incluso las contraseñas más fuertes no sirven de nada si las dejamos anotadas en algún lugar donde puedan ser descubiertas.
También es común que muchos administradores de sitios web dejen el nombre de usuario por defecto de WordPress en “admin”, si hacemos esto le estamos ahorrando la mitad del trabajo a un potencial atacante. Las recomendaciones en este sentido son: crear contraseñas fuertes, pero que podamos recordar fácilmente sin necesidad de apuntarlas en algún lugar y cambiar el nombre de usuario que trae por defecto la cuenta de administrador. También pueden ser útiles complementos como: Limit Login Attempts o Better WP Security.
Si en este punto estás un poco preocupado por la integridad de tu sitio basado en WordPress, te recomiendo utilizar Sucuri SiteCheck, una útil herramienta que escanea tu sitio de manera remota en búsqueda de posibles vulnerabilidades y, además, ofrece soluciones en caso de encontrarlas.
Más allá de las medidas que tomemos para prevenir ataques, es prácticamente una obligación realizar respaldos frecuentes de nuestros sitios y sus bases de datos, así, en caso de algo salga mal, tendremos la oportunidad de restaurar todo a su estado original. También hay muchas extensiones desarrolladas para ayudarnos a reforzar la seguridad de WordPress, que deberíamos tener en cuenta
Comentarios