Mitos sobre la seguridad de WordPress aplastados: Un chequeo de la realidad para 2018

0
67

WordPress tiene una creciente adopción dentro de la comunidad mundial de usuarios en línea. También simplifica las necesidades de los desarrolladores web proporcionando varias herramientas para construir una variedad de sitios web. Comprensiblemente, como cualquier otra plataforma popular, hay una serie de preocupaciones de seguridad con respecto al uso de WordPress (o WP). Agregar fuego a esta constante especulación sobre la credibilidad de WordPress, son los mitos estándar que rodean estos problemas de seguridad de WordPress.

Mito 1: WordPress es el problema

Varios usuarios cuyo sitio de WordPress es pirateado tienden a culpar a WordPress por el problema. Examinemos esta afirmación más de cerca.

Realidad: Esencialmente, WP no existe de forma aislada, sino que se compone del Core WordPress, junto con los plugins y temas externos de WordPress. El Core WP es desarrollado y mantenido por un grupo de desarrolladores de WP altamente competentes. Este equipo de Core WordPress es responsable de tratar cualquier asunto relacionado con la seguridad. Toman medidas de precaución y facilitan la seguridad publicando actualizaciones oportunas de los núcleos de WP.

Según CodeinWP, WordPress publica un núcleo significativo de WP en un promedio de 152 días. Además, este proceso de desarrollo está respaldado por la financiación de grandes empresas y pasa por el ciclo oportuno de lanzamientos de productos, correcciones y actualizaciones de seguridad de WordPress.

La cuestión: Estadísticas e informes anteriores han revelado que los plugins de WP son responsables de alrededor del 54% de los defectos y vulnerabilidades relacionados con la seguridad, mientras que los temas de WP representaron el 14,3%. Esto significa que si bien el Core WP es suficientemente seguro, no se puede garantizar lo mismo para el gran número de plugins y temas que se desarrollan independientemente e integrados con el Core WP. Las limitaciones de presupuesto y tiempo debidas al alto nivel de competencia en este campo pueden significar que la mayoría de los plugins y temas del paquete de trabajo no pasan por ciclos de publicación y controles de calidad oportunos.

Mito 2: Las actualizaciones regulares mantendrán el sitio WP completamente seguro

Realidad: Aplicar actualizaciones de seguridad de forma constante es necesario para mejorar el aspecto de seguridad de cualquier sitio de WordPress. Pero, ¿garantiza una protección completa? La verdad es que no es así.

La cuestión: WordPress posee un total de 37.300 plugins en el repositorio, de los cuales, 17.383 plugins no han sido actualizados desde 2015! El problema proviene de la proliferación de plugins de WP abandonados. Un plugin abandonado es aquel que no ha sido trabajado o actualizado durante mucho tiempo por sus desarrolladores.

Además de aumentar las vulnerabilidades de seguridad de WordPress, la descarga de plugins no mantenidos que contienen características obsoletas, también puede romper el sitio. Para evitar una avería del sitio web, la eliminación de los plugins obsoletos de la carpeta de plugins de la instalación del paquete de trabajo debe llevarse a cabo regularmente.

Mito 3: Copias de seguridad – El salvador definitivo

Realidad: Para una organización, salvaguardar el sitio web debe ser una prioridad absoluta. Un propietario de sitio puede tomar varias acciones necesarias para preservar su sitio web de cualquier posible amenaza. Entre todas las otras soluciones disponibles para proteger su sitio WordPress, una de las más utilizadas por los usuarios es hacer una copia de seguridad del sitio web. Mientras que las reservas sirven como un componente crítico para mantener su información segura, no pueden ser la única opción de seguridad en caso de una violación de datos.

La cuestión: Entreteniendo mitos sobre las copias de seguridad como los mencionados anteriormente resultará en un sistema defectuoso y puede conducir a la ruptura completa del sitio.

Ninguna versión de WordPress tiene una funcionalidad de copia de seguridad automática, y una copia de seguridad completa de WordPress debe incluir todo el sitio web y no sólo el contenido de la base de datos. Realizar sólo una copia de seguridad de la base de datos no restaurará el sitio, después de un ataque de seguridad.

Aunque muchos hosts de WordPress ofrecen servicios relacionados con las copias de seguridad, no es sensato subcontratarles la operación completa. Siempre habrá dudas sobre los métodos de copia de seguridad y los procesos de restauración aplicados, por lo que es mejor evitarlos.

Las copias de seguridad no pueden ser un reemplazo para la limpieza completa del sitio, después de un hacking. Los datos de respaldo regulares no pueden ayudar si el repositorio de datos en sí mismo ha sido pirateado y comprometido. Además, se requiere una limpieza para aplicar parches a los defectos reales del código, para evitar la repetición de un ataque.

Mito 4: SFTP puede proteger las credenciales de usuario

Realidad: Protocolos como el Protocolo de transferencia segura de archivos (o SFTP) y el Protocolo de transferencia de archivos compatible con Secure Socket Layer (FTP sobre SSL) es una forma segura de conectarse a sitios WP y realizar transferencias de archivos de forma segura. Sin embargo, SFTP no puede garantizar completamente la protección de las credenciales de usuario de WP.

La cuestión: Los ataques maliciosos, como el ataque Man In The Middle, han tenido éxito en la recuperación ilegal de nombres de usuario y contraseñas, a pesar del uso de SFTP y otros protocolos. Se deben tomar medidas preventivas para evitar estos ataques utilizando un mecanismo de certificado propietario, claves públicas y privadas, etc.

Mito 5: El bloqueo de direcciones IP puede mantener alejados a los visitantes maliciosos

Realidad: La mayoría de los plugins de seguridad de WordPress permiten bloquear a los visitantes maliciosos del sitio web, basándose en la dirección IP del visitante. Esto se refiere a un bloqueo de direcciones IP, que tiene su lista de problemas. Los bloques de bloqueo de IP no son más que intentos repetidos de inicio de sesión, independientemente de la dirección IP.

La cuestión: Un defecto importante que se pasa por alto en la práctica de bloqueo IP es que las direcciones IP siguen cambiando, por lo que el mismo equipo u host malicioso puede tener una dirección IP diferente después de un corto período de tiempo. Además, el bloqueo inadecuado de direcciones IP puede provocar frecuentes bloqueos del sitio web, que pueden tardar mucho tiempo en restaurarse.

Mito 6: La implementación de la protección con contraseña para la carpeta WP-Admin es fácil

Realidad: El Internet está lleno de artículos técnicos sobre cómo aumentar la seguridad del WP asignando protección por contraseña a la carpeta WP-admin. Aunque esto puede ser útil, debe hacerse con cuidado, ya que el archivo admin-ajax.php, que habilita la funcionalidad AJAX para los usuarios de WordPress, también se encuentra en esta carpeta.

La cuestión: Los usuarios que implementan la protección por contraseña para la carpeta WP-admin, a menudo se enfrentan a un problema relacionado con la funcionalidad AJAX con respecto al bloqueo de los usuarios que visitan el sitio web.

Mito 7: Ocultar el sitio web de WordPress!

Realidad: Siendo el software más popular de sistemas de gestión de contenido (CMS), los hackers de todo el mundo están apuntando explícitamente a millones de sitios web construidos con WordPress. El concepto de ocultar WordPress básicamente significa ocultar el hecho de que el sitio está en WP del hacker o bot malicioso. Esto también significa ocultar la versión actual de WP que está en uso, junto con cambiar el nombre de archivo predeterminado, los directorios y los enlaces permanentes.

Entonces, ¿funciona ocultar WordPress?

Aunque puede tener éxito en frustrar ataques de fuerza bruta y ataques de inyección SQL hechos por bots, no puede ofrecer éxito garantizado contra un hacker experto en tecnología superior y dedicado.

La cuestión: Hay múltiples medios para que los hackers detecten el tipo de CMS que se está utilizando, junto con formas de descubrir el número de versión de WP. Además, la mayoría de los plugins y características de WP funcionan de acuerdo con la ubicación predeterminada de las carpetas del sistema y pueden romperse si las carpetas se mueven a otro lugar.

Mito 8: Los ataques de fuerza bruta pueden detenerse ocultando la página de inicio de sesión del sitio web

Realidad: La mayoría de los robots maliciosos intentan un ataque por fuerza bruta dirigiéndose a la página de inicio de sesión del sitio web de destino intentando obtener información sobre el nombre de usuario y la contraseña para obtener acceso de administrador al sistema backend. La mayoría de los administradores de WordPress intentan impedir este acceso ocultando su página de inicio de sesión o la carpeta wp-admin.

La cuestión: Ocultar la página de inicio de sesión o el punto de acceso no es una protección adecuada contra posibles ataques. Los hackers son lo suficientemente inteligentes como para poseer las herramientas necesarias que pueden ayudar a encontrar la ubicación de la carpeta de la página de inicio de sesión reubicada.

Mito 9: Cambiar el Prefijo de la Tabla de la Base de Datos Mejorará la Seguridad

Realidad: Una noción popular entre los usuarios de WP es que cambiar el prefijo de las tablas de la base de datos de WP prevendría la ocurrencia de ataques de inyección SQL en el sitio web. Esto incluye cambiar el prefijo del wp_ por defecto a algún otro valor. Ojalá fuera tan simple.

La cuestión: La mayoría de los hackers tienen diferentes medios para recuperar la lista de tablas de la base de datos. Además, cambiar el prefijo de la tabla de la base de datos, si no se hace correctamente, puede incluso bloquear su sitio web.

Mito 10: El firewall puede prevenir ataques DDoS

Realidad: Si bien los cortafuegos desempeñan un papel fundamental en la solución de seguridad de cualquier organización, no actúan como un propósito creado para la prevención de DDoS. Por el contrario, los cortafuegos poseen ciertas cualidades arraigadas que dificultan su capacidad de proporcionar una protección completa contra los ataques DDoS más sofisticados en la actualidad.

La cuestión: Aunque la mayoría de los cortafuegos están diseñados para detener la intrusión de entidades de una en una, no pueden detectar el comportamiento de millones de paquetes o sesiones legítimas. Por lo tanto, una de las limitaciones más críticas de los firewalls es su incapacidad para distinguir entre usuarios legítimos y maliciosos.

Mito 11: Los usuarios de WP pueden arreglar un sitio web pirateado por sí mismos

Realidad: Como usuario de WP, uno puede encontrar un montón de material en línea sobre cómo arreglar un sitio web, una vez hackeado. Los pasos típicos incluyen el escaneo del sitio y la comprobación de funciones maliciosas como base64_decode, eval y gzinflate.

La cuestión: En el escenario de un sitio web pirateado, seguir un procedimiento complicado para limpiar el después de que el lío es desafiante, así como el tiempo que consume si usted no está utilizando la herramienta de limpieza correcta. Si bien hay empresas que proporcionan servicios para la limpieza de un sitio web pirateado, que resultan ser caros y no siempre son una opción viable para un usuario moderado.

Mito 12: Las empresas de hosting de WordPress son responsables de los piratas informáticos

Realidad: Sí, es prudente elegir la empresa de alojamiento WP adecuado para un sitio web, para garantizar su seguridad en línea. Las plataformas de alojamiento, que no aíslan las cuentas de usuario entre sí, corren el riesgo de ayudar a los hackers a obtener información valiosa de varias cuentas, una vez que obtienen acceso a una sola cuenta de usuario.

La cuestión: Aunque puede haber problemas relacionados con la seguridad con las plataformas de alojamiento WP, rara vez son la causa del ataque. Los plugins y temas obsoletos presentan más amenazas a la seguridad de los sitios web con WP que las plataformas de alojamiento.

Cómo mantener su sitio de WordPress seguro

Los propietarios del sitio web de WP no sólo son responsables del diseño y la construcción del sitio web, sino también de su seguridad a largo plazo. A través de este artículo, hemos intentado proporcionar información sobre lo que funciona (y lo que no) para fortalecer la seguridad del sitio web. Aunque ningún sitio web puede considerarse 100% seguro contra hackers, seguir las prácticas de seguridad correctas puede reducir la vulnerabilidad de un sitio.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.