Miles de sitios de WordPress que potencialmente utilizan un complemento vulnerable: aquí le mostramos cómo mantener su sitio seguro
Publicado: 2024-05-06En marzo de 2024, se descubrió una vulnerabilidad crítica en el complemento de WordPress WordPress Automatic. Disponible en el mercado de Code Canyon, WordPress Automatic es un raspador de contenido automático que recupera artículos, videos, productos, imágenes y otros tipos de contenido de fuentes externas y vuelve a publicar ese contenido en su sitio web automáticamente.
La firma de investigación Patchstack descubrió la vulnerabilidad, que hizo posible que actores maliciosos utilizaran ataques de inyección SQL para tomar el control total de los sitios web vulnerables. Todo tipo de sitios web, desde tiendas de vaporizador hasta blogs personales, eran vulnerables al ataque si utilizaban una versión sin parche del complemento.
Aunque el complemento fue parcheado rápidamente, algunos propietarios de sitios web no instalaron el parche porque desconocían la gravedad del problema. Reseñas recientes de usuarios sobre el complemento automático de WordPress sugieren que al menos algunos sitios web se perdieron por completo debido a la vulnerabilidad.
Ningún sitio web es completamente inmune a la piratería, y WordPress –que impulsa alrededor del 43 por ciento de todos los sitios web del mundo– es un objetivo prioritario para los actores maliciosos.
Sin embargo, aquí están las buenas noticias: cuando un sitio web es pirateado, generalmente no es porque un hacker haya atacado ese sitio específicamente. Con mayor frecuencia, los sitios web son pirateados porque ejecutan temas o complementos de WordPress vulnerables que se han descubierto mediante el uso de escáneres automáticos.
En otras palabras, si su sitio no tiene una vulnerabilidad conocida que se pueda encontrar fácilmente con un escáner y explotar por medios automatizados, los piratas informáticos normalmente seguirán adelante.
Teniendo esto en cuenta, puedes mantener tu sitio de WordPress bastante seguro simplemente siguiendo algunas prácticas de seguridad de sentido común. En esta guía, explicaremos exactamente lo que debe hacer para minimizar el riesgo de que un complemento inseguro cause la desaparición prematura de su sitio.
Actualice su tema y complementos rápidamente
Cuando inicias sesión en WordPress, siempre verás una notificación en la barra lateral si hay actualizaciones disponibles para el tema o los complementos de tu sitio. En algunos casos, un complemento con una actualización pendiente incluso mostrará un mensaje en la parte superior de la página. Si su sitio tiene una gran cantidad de complementos, es posible que vea notificaciones de actualización casi cada vez que inicie sesión y, en ocasiones, puede tender a postergar la descarga e instalación de esas actualizaciones. Sin embargo, lo hace bajo su propio riesgo, porque nunca se sabe cuándo una actualización puede incluir una solución para un problema de seguridad crítico.
El complemento automático de WordPress se actualizó inmediatamente cuando se notificó a su creador sobre la falla de seguridad. Sin embargo, según se informa, un acuerdo de confidencialidad impidió que el creador del complemento discutiera la falla hasta que Patchstack la hiciera pública. Por ese motivo, algunos usuarios ignoraron la actualización.
Mantenga copias de seguridad completas del sitio y de la base de datos
Cada vez es más común que los servidores web ofrezcan copias de seguridad completamente automáticas de sitios web y bases de datos, lo cual es excelente para la seguridad. Si su sitio web es pirateado, tener una copia de seguridad disponible significa que puede restaurar el sitio a su estado anterior, a veces con un solo clic. Si su proveedor de alojamiento no ofrece este servicio, varios complementos de WordPress pueden hacer el trabajo por usted. Sin embargo, es importante mantener una biblioteca de copias de seguridad de varios momentos diferentes en el tiempo. Si su sitio web es pirateado, puede pasar un tiempo antes de que se dé cuenta.
Considere ejecutar un complemento de seguridad
Si su sitio web es su negocio, no hay excusa para no tener algún tipo de solución de seguridad. Un complemento de seguridad puede monitorear automáticamente los intentos de acceso y bloquear a los usuarios que parezcan maliciosos. Algunas redes de distribución de contenidos también ofrecen este servicio. Un complemento de seguridad también puede monitorear los archivos y el código sin formato de su sitio y notificarle si algo ha cambiado inesperadamente. Si de repente comienzan a aparecer nuevos archivos en su servidor, es probable que su sitio haya sido pirateado.
Obtenga sus temas y complementos de una fuente confiable
El repositorio de WordPress es siempre el lugar más confiable para encontrar temas y complementos para su sitio. Debido a que todo lo que hay en el sitio web WordPress.org es gratuito y de código abierto, todos los complementos y temas que contiene son supervisados por una gran comunidad de voluntarios de WordPress. Sin embargo, en muchos casos, es posible que necesites funciones que no están disponibles en un tema o complemento gratuito y, en este caso, tendrás que pagar por un software premium. Asegúrese de que alguien haya auditado el código y haya declarado que es seguro.
Eliminar temas y complementos no utilizados
Cada tema y cada complemento instalado en su sitio web de WordPress debe tratarse como un potencial agujero de seguridad porque eso es exactamente lo que están haciendo los piratas informáticos: examinan constantemente cada fragmento de código de WordPress existente y buscan vulnerabilidades para explotar. Cada vez que eliminas un tema o complemento de tu sitio, estás eliminando un posible punto de entrada. Revise los complementos y temas de su sitio y elimine todo lo que no esté utilizando. También es una buena idea revisar tus complementos activos y asegurarte de que realmente los necesitas todos.
Encuentre reemplazos para complementos abandonados
¿Ha pasado un tiempo desde la última vez que vio una notificación de actualización para un complemento en particular? Si es así, es posible que desees consultar el registro de cambios del complemento para determinar cuándo se actualizó por última vez. A menos que la funcionalidad de un complemento sea extremadamente simple, el autor debe considerarlo abandonado si no se ha actualizado en más de un año. En este caso, debe buscar un complemento que proporcione la misma funcionalidad y que aún esté actualizado activamente. Los agujeros de seguridad pueden acechar en complementos antiguos durante mucho tiempo antes de ser descubiertos, y si el autor ya no actualiza un complemento que tiene un agujero, la vulnerabilidad nunca se solucionará.
Contrate a un desarrollador para auditar complementos y temas antiguos
Supongamos que su sitio web tiene un complemento de misión crítica que el desarrollador abandonó y ya no se actualiza. En ese caso, usted está solo cuando se trata de garantizar que el complemento sea seguro y no tenga vulnerabilidades. En este caso, sería una muy buena idea contratar a un desarrollador y hacer que esa persona audite el complemento por usted. El mantenimiento del complemento puede convertirse en un gasto continuo hasta que encuentre un reemplazo.