Desacreditando los mitos de seguridad del alojamiento de WordPress

El alojamiento de WordPress es complejo. Cada sitio de WordPress depende de una pila de software y hardware creado por empresas y comunidades con estándares y valores que son difíciles de entender desde el exterior. Esto da lugar a malentendidos y mitos, especialmente en lo que se refiere a la seguridad.
En este artículo, analizamos algunos de los mitos de alojamiento de WordPress más perniciosos, con un enfoque particular en los mitos que conducen a errores de seguridad.

Los sitios pequeños no son pirateados

Los medios a menudo informan sobre brechas de seguridad significativas donde el objetivo del atacante parece obvio. Las víctimas almacenan gigabytes de datos personales que pueden usarse para el robo de identidad. Muchos almacenan números de tarjetas de crédito, que son robados por razones obvias. Algunos atacantes se dedican al espionaje industrial.
Nada de eso se aplica a sitios web más pequeños con un puñado de cuentas de usuario: no hay muchos datos personales útiles allí. Rara vez almacenan números de tarjetas de crédito, optando sabiamente por utilizar un procesador de pagos. Entonces, ¿por qué un delincuente invertiría el esfuerzo de piratear un sitio pequeño?
En primer lugar, no es un gran esfuerzo. La mayor parte de la piratería está automatizada: los bots rastrean la web en busca de sitios vulnerables y los comprometen con ataques preprogramados. El atacante suelta sus bots y espera a que lleguen las direcciones IP.
En segundo lugar, incluso un sitio pequeño es valioso. Tiene una audiencia, que puede ser infectada con malware. Puede introducirse en la botnet del atacante y utilizarse para comprometer otros sitios o participar en ataques DDoS. Se puede utilizar para spam de SEO. Cada sitio web representa un paquete de ancho de banda, almacenamiento y potencia de procesamiento, todo lo cual es útil para los delincuentes.

Si funciona, ¿por qué actualizar?

Las personas que no se pasan la vida mirando el código en una pantalla están bastante satisfechas cuando la tecnología hace lo que se supone que debe hacer. Pueden sentir que las actualizaciones, que traen cambios, son una interrupción no deseada. WordPress no es difícil de aprender, pero es lo suficientemente difícil como para que la idea de cambiar preocupe a algunos de sus millones de usuarios.
Las personas que usan WordPress todos los días se acostumbran. Prefieren evitar el cambio por cambiar, por lo que a menudo son reacios a actualizar. Después de todo, ¿por qué alterar lo que funciona?
La respuesta del desarrollador a esto es doble. El software nunca se detiene y tiene que cambiar para mantenerse al día con los cambios en el mundo. Y, lo que es más importante, las actualizaciones corrigen errores que causan vulnerabilidades de seguridad. Un sitio que no se ha actualizado durante algunos meses es casi seguro que es vulnerable. En la sección anterior, hablamos sobre botnets y piratería automática. Lo que buscan esos bots son los sistemas de administración de contenido sin parches. Eventualmente, encontrarán un sitio sin parches y será pirateado.

Yo sabría si hubiera un problema

¿Qué aspecto tiene un sitio web pirateado? En su mayor parte, parece un sitio web que no ha sido pirateado, especialmente para su propietario. Como hemos discutido, los malhechores violan un sitio web porque quieren sus datos, recursos, visitantes o potencial de SEO. Si el propietario del sitio descubre que ha sido pirateado, el mal actor pierde el acceso a esos recursos. Entonces, son astutos. Intentan esconderse.
Si está observando de cerca, es posible que note picos en el uso de ancho de banda o memoria. Si escanea regularmente en busca de malware, es posible que encuentre su código malicioso. Pero si usa el sitio normalmente, es poco probable que vea que algo anda mal.
Tomemos como ejemplo el spam de SEO. Cuando un sitio se ve comprometido, los enlaces a los sitios que el atacante desea promocionar se inyectan en su contenido. Esos enlaces son visibles para Google y pueden ser visibles para los visitantes comunes, pero están ocultos para las personas que inician sesión en el sitio.
Por eso es una buena idea escanear regularmente tu sitio con una herramienta como Sucuri o Wordfence . Detectan código malicioso y te lo hacen saber. Si no escanea, lo más probable es que se entere de un ataque cuando Google comience a advertir a su audiencia que su sitio no es seguro.

SSL mantiene su sitio seguro

Los certificados SSL tienen dos trabajos. Encriptan los datos que viajan a través de la red desde un servidor a un navegador y viceversa. Y los navegadores los utilizan para verificar que están conectados al host que esperan. Eso es todo lo que hacen los certificados SSL. Son una herramienta esencial de seguridad y privacidad, pero no protegen los datos almacenados en el servidor del sitio. Tampoco protegen un sitio de atacantes que buscan explotar vulnerabilidades.

Todos los complementos de WordPress son gratuitos

Este es un mito pernicioso que hace que las personas descarguen complementos infectados con malware. La mayoría de los complementos de WordPress son de código abierto bajo la licencia GPL. Cuando el desarrollador distribuye el complemento, también distribuye el código fuente. Están obligados a hacerlo por la licencia.
A menudo, el software de código abierto es gratuito. No cuesta dinero usarlo. WordPress en sí es de código abierto y gratuito. Pero algunos programas de código abierto no son de uso gratuito . Los complementos premium de WordPress se encuentran en esta categoría: son de código abierto, pero el desarrollador espera que los usuarios paguen una tarifa de licencia para usar el complemento.
Cuando los usuarios pagan la tarifa, obtienen el código fuente, según sea necesario. Pero el código abierto no significa que el desarrollador tenga que dar a todos el código fuente, solo a las personas a las que se distribuye el complemento, las personas que han pagado. Esto es comúnmente mal entendido. Es perfectamente legal tomar el código de un tema premium y regalarlo gratis una vez que lo hayas pagado, pero esto no se recomienda en la comunidad de WordPress, por razones obvias.
Quizás se pregunte qué tiene que ver esto con la seguridad. Los malos actores saben que la gente quiere usar complementos premium sin pagar por ellos. Entonces, toman el complemento, agregan una pizca de malware y lo regalan de forma gratuita. Estos complementos "anulados" o "piratas" contienen puertas traseras y otros códigos maliciosos. Cuando un usuario de WordPress desprevenido instala el complemento anulado, le da el control de su sitio a un atacante. Instalar complementos piratas en su sitio es una mala idea.
Hemos cubierto cinco mitos comunes de alojamiento de WordPress en esta publicación, y hay muchos más que podríamos haber incluido. Si desea ver una publicación de seguimiento que se sumerja en más mitos de alojamiento de WordPress, háganoslo saber en los comentarios.