Hace dos o tres décadas, el robo se limitaba a irrumpir para llevarse el dinero o los objetos de valor de alguien. Los aspirantes a delincuentes y ladrones de hoy adoptan la forma de hackers. Cualquiera que encuentra y explota vulnerabilidades de software para beneficio personal o por razones políticas.
Antes de empezar, debes saber que este artículo no profundiza en los pormenores de la seguridad de WP, sino que aborda las causas de las vulnerabilidades de WordPress. Si no es eso lo que buscas, te sugeriría que leas "Una guía completa para proteger sitios de WordPress". Aunque debo decir que entender la naturaleza de las vulnerabilidades de WP en el pasado ofrece una gran perspectiva sobre cómo puedes reforzar los protocolos de seguridad de tu web.
¿Por qué la gente irrumpe en webs y centros de datos? Irrumpir en webs que guardan información de clientes, correos electrónicos, números de tarjeta de crédito, etc., es más rentable que robar un banco. Si gestionas una web razonablemente exitosa, estoy seguro de que ya se han hecho cientos, si no miles, de intentos de acceder a la información de tu web.
Más recientemente, AshleyMadison.com fue hackeada y se robaron los datos de 37 millones de usuarios. Los hackers exigieron que la web se cerrara, de lo contrario publicarían los datos de la información robada de los usuarios, incluidas sus fantasías sexuales. Esto te da una idea del tipo de destrucción que un hacker puede causar con solo obtener acceso a la información.
La seguridad web es un tema muy importante y cada vez más relevante dado el número de webs que surgen para recopilar información personal de sus usuarios.
Hasta un 65 % de la web funciona con WordPress como sistema de gestión de contenidos, así que hoy hablaré de la seguridad de WordPress y de cómo se han atacado o hackeado sitios de WP en el pasado.
¿Por qué invertir en buenas prácticas de seguridad?
- Se lo debes a tus clientes, que confían en ti su información personal sensible, para mantenerla a salvo.
- Tu sitio es hackeado: pierdes dinero.
- Tu sitio es hackeado: tus posiciones en los motores de búsqueda hacen un viaje casi de ida al infierno.
Las webs de WordPress son hackeadas por miles, si no por cientos de miles. No todas las webs informan de que han sido hackeadas en el pasado. No es un gran aval para su marca, como podrás imaginar.
Me gustaría arrojar algo de luz sobre la necesidad de este artículo sobre la seguridad de WordPress.
Según un estudio, tal como compartió Sandro Gucci (fundador de Enable Security).
- El 73,2 % de las instalaciones más populares de WordPress son vulnerables a fallos que pueden detectarse usando herramientas automatizadas gratuitas.
- Solo 7.814 webs (18,55 %) se actualizaron a WordPress 3.6.1, que era la última versión de WP cuando se realizó la prueba.
- 13.034 webs (30,95 %) seguían ejecutando una versión vulnerable de WordPress, la versión 3.6. WordPress 3.6 tenía 5 vulnerabilidades conocidas en ese momento.
Y por si te lo preguntabas, bueno, esto es solo alguna caracterización generalizada e injusta de pequeñas webs desconocidas en algún lugar de la dark web, estarías equivocado. Las estadísticas se produjeron a partir de un estudio de unas 42.000 webs de WordPress dentro del Top de un millón de webs de Alexa. Es un número enorme de webs vulnerables para lo que se supone que son las webs más visitadas de la red. Estas webs recopilan grandes cantidades de información sobre sus visitantes y suscriptores.
Las estadísticas eran ciertas a septiembre de 2013; no creo que hayan variado mucho desde entonces y, aunque lo hayan hecho, las estadísticas que se muestran aquí reflejan la magnitud de los problemas de seguridad que asolan a WordPress.
- En febrero de 2014, había 12.000 blogs de WordPress que servían de plataforma para sitios de phishing.
- Más del 8 % de todas las URL de malware bloqueadas por Netcraft por distribuir malware alojado en la web eran blogs de WordPress.
Debo señalar que ni uno solo de esos blogs se ejecutaba en el wordpress.com de Automattic. Esto debería ilustrar con bastante claridad que incluso WordPress puede ser vulnerable si no se usa con precaución y algo de conocimiento sobre la seguridad de WP. Otra razón para esto puede estar relacionada con el hecho de que todos los blogs alojados en wordpress.com se actualizan casi tan pronto como se publican las actualizaciones de WordPress. Desde entonces, cabe señalar que las actualizaciones automáticas de WordPress se introdujeron en la versión 3.7 de WP para proteger las webs frente a los exploits de día cero.
E incluso después de eso, ha habido un montón de problemas de seguridad que han asolado a WordPress.
Ahora bien, no hay nada que puedas hacer para evitar que esto ocurra; casi siempre se descubrirán nuevas vulnerabilidades. El equipo central de WP se ha tomado la seguridad muy en serio y ha hecho WordPress mucho más seguro.
Pero, como con cualquier otro software popular, explotar vulnerabilidades se vuelve más rentable cuando más gente empieza a usarlo.
¿No me crees? Si crees que de algún modo WordPress se librará de repente de todas las vulnerabilidades, ¡echa un vistazo a este gráfico!
Aunque el número de vulnerabilidades ha disminuido con el tiempo desde sus máximos de 2007 y 2014, el incentivo para descubrir y explotar nuevas vulnerabilidades está siempre en aumento, dada la creciente rentabilidad debida a la creciente popularidad de WordPress.
WordPress puede ser seguro de fábrica, pero tras añadir tantos plugins/temas y código personalizado, muchas vulnerabilidades empiezan a crecer a gran velocidad.
Dicho esto, podemos hacer pequeños cambios en tu WordPress para hacerlo mucho más seguro. Primero necesitamos tener una comprensión completa de la seguridad de WordPress; esto es muy útil para averiguar las causas de los fallos de seguridad.
Quizá te sorprenda saber que rara vez es la plataforma central de WP la culpable en los casos de una brecha de seguridad. Es más probable que algo que hayas añadido a tu WP cree una vulnerabilidad que los hackers puedan explotar.
¿Cómo se comprometen los sitios de WordPress?
La dificultad con garantizar una seguridad completa es que no existe tal cosa.
Suponiendo que tu WordPress sea totalmente seguro, aún tienes tu Apache, cliente FTP, MySQL y cualquier software que se ejecute en tu servidor por lo que preocuparte. Tu web solo es tan segura como su eslabón más débil. Y eso incluye la calidad del software de tu host, los temas y los plugins con los que funcionan tus webs.
Ojalá tuviera estadísticas más recientes que pudiera mostrarte. Aun así, este estudio, presentado como una infografía en el blog de WpWhiteSecurity, ofrece una gran perspectiva sobre cómo se hackean las webs de WordPress y qué las hace vulnerables.
El estudio se realizó a partir de información de 170.000 webs que fueron hackeadas en 2012. Hubo un aumento del 18 % en el número de hackeos respecto al año anterior (2012); lo curioso es que el número de vulnerabilidades no aumentó en el mismo porcentaje. Pero incluso un pequeño aumento de vulnerabilidades afecta a muchas más webs, debido al mayor uso de WordPress y de productos basados en WordPress.
- El 41 % de los sitios de WordPress fueron hackeados a través de una vulnerabilidad de seguridad en su plataforma de hosting.
- El 29 % fueron hackeados mediante un fallo de seguridad en el tema de WordPress que usaban.
- El 22 % fueron hackeados mediante un fallo de seguridad en los plugins de WordPress que usaban.
- El 8 % fueron hackeados porque tenían una contraseña débil.
- De lo anterior, podemos concluir que más del 51 % de los sitios de WordPress hackeados lo fueron a través de una vulnerabilidad en los temas o plugins de WordPress que usaban.
Una abrumadora mayoría de los hackeos se produjo debido a la instalación de software en forma de plugins, temas y porque los proveedores de alojamiento web no reforzaron adecuadamente la seguridad en el extremo del servidor.
No tiene ningún sentido hablar de medidas para proteger tu web antes de abordar las buenas opciones que tienes en materia de seguridad respecto al hosting, los temas y los plugins. Y hablaré de cómo puedes encontrar buen software de terceros y un hosting seguro para tu web antes de empezar a recomendar medidas de seguridad concretas para reforzar la seguridad de WP.
Conclusión
Las webs de WordPress rara vez son vulnerables debido a errores en el código central del sistema de gestión de contenidos. Pero una web no funciona únicamente en base al sistema de gestión de contenidos; requiere un host web para alojar el CMS en la red, temas para hacerla vistosa y plugins para añadir las funciones necesarias. Añadir múltiples capas de software de terceros a tu instalación de WordPress hace tu seguridad un poco porosa, si no se hace bien.
Tu núcleo de WordPress, los plugins y temas, y el host web necesitan comunicarse para mantener tu sitio de WordPress en funcionamiento. Esta interacción a veces tiene fallos, y eso hace vulnerables a las webs.
Claro que un 8 % de las webs pueden verse comprometidas por contraseñas débiles. Aun así, una abrumadora cantidad de pruebas sugiere que añadir plugins/temas mal escritos o un host web que funciona con software obsoleto es la causa principal de un gran porcentaje de todas las webs de WordPress hackeadas o cerradas.
Ahora que hemos aclarado algo las causas de las vulnerabilidades de WordPress, como parte de la próxima entrada de la serie de Seguridad de WP, hablaré de los pasos que necesitas dar para reforzar la seguridad de tu WordPress.
Por favor, comparte los detalles si alguna vez tu sitio de WordPress se ha visto comprometido por un hackeo o has sido víctima de un ataque DDOS. Intentaré remediar el problema si está en nuestras manos. ¡Salud! 🙂
Dinos si te ha gustado la publicación.
