¿Qué son los ataques de pirateo de WordPress dirigidos y no dirigidos?
Publicado: 2014-07-08Si ha estado leyendo sobre la seguridad de WordPress y buscando trucos y ajustes de seguridad de WordPress para aplicar a su WordPress o complementos de seguridad de WordPress para protegerlo de los ataques de piratas informáticos, notará que hay dos tipos de ataques, pirateo de WordPress dirigido y no dirigido ataques
¿Cuál es la diferencia entre un ataque de WordPress dirigido y no dirigido y cómo puede proteger su WordPress de ambos ataques? Este artículo explica la diferencia entre estos dos tipos de ataques de pirateo y explica por qué algunos de los ajustes y pirateos de WordPress pueden protegerlo de un tipo de ataque y no del otro, y viceversa.
Ataque de pirateo de WordPress no dirigido
Los ataques de piratas informáticos de WordPress no dirigidos son ataques automatizados y no se lanzan específicamente contra sitios web de WordPress únicamente. Por ejemplo, si los piratas informáticos intentan explotar una vulnerabilidad conocida en una versión anterior de WordPress, no buscan manualmente los sitios web de WordPress, verifican su versión y ven si son vulnerables a dicha vulnerabilidad o no.
En su lugar, utilizan herramientas automatizadas para enviar solicitudes HTTP específicas que se utilizan para explotar la vulnerabilidad a una serie de sitios, normalmente un rango de direcciones IP. Dependiendo de las respuestas HTTP recibidas, la herramienta determina si el sitio web de destino es una instalación vulnerable de WordPress o no.
Proteja WordPress de ataques no dirigidos
Por lo tanto, si oculta su versión de WordPress, o incluso oculta el hecho de que está utilizando WordPress para sus sitios, no estará protegiendo su sitio de ataques de piratería de WordPress no dirigidos. Para proteger WordPress de ataques de piratería no dirigidos, siga las siguientes recomendaciones:
- Mantenga todo su software actualizado; use siempre la versión más reciente y segura de WordPress, los complementos y los temas que usa. Esto también se aplica a MySQL, Apache y cualquier otro software que se ejecute en su entorno web.
- Siempre desinstale y elimine los complementos, temas y cualquier otro componente y archivo innecesarios que no se estén utilizando.
- No use nombres de usuario típicos como admin, administrador y root para su cuenta de administrador de WordPress. Si cambia el nombre de la cuenta de administrador de WordPress.
- Proteja las páginas de inicio de sesión y administración de WordPress agregando una capa adicional de autenticación. Lea Proteger la página de inicio de sesión de WordPress con autenticación HTTP para obtener más información.
- Utilice contraseñas seguras; esto no se aplica solo a WordPress, sino a cualquier otro servicio o sitio web que utilice en línea. Si tiene varios usuarios que usan WordPress, use un complemento para crear políticas de contraseña de WordPress para garantizar que los usuarios usen contraseñas seguras.
Ataque de pirateo de WordPress dirigido
Los ataques de pirateo dirigidos están dirigidos específicamente a sus sitios web y blogs. Hay varias razones por las que su sitio de WordPress podría ser víctima de un ataque dirigido y la razón por la que su WordPress es víctima de un ataque dirigido no es de importancia. Lo importante es comprender lo que sucede en un ataque dirigido para que pueda proteger mejor sus sitios web y blogs de WordPress.
Los ataques dirigidos son más peligrosos que los no dirigidos simplemente porque en lugar de tener un número de herramientas automatizadas escaneando sitios web aleatoriamente, hay un ser humano analizando cada detalle de su sitio web con la esperanza de encontrar algo que pueda ser explotado.
Anatomía de un ataque dirigido a WordPress
Al principio, el atacante utilizará herramientas automatizadas para verificar si su versión de WordPress es vulnerable a alguna vulnerabilidad conocida. Dado que se utilizan herramientas automatizadas, ocultar la versión de su WordPress no ayuda en tales escenarios.
El atacante también intentará determinar qué complementos se están ejecutando en su WordPress y si alguno de ellos es vulnerable a una vulnerabilidad en particular. Una vez más, la mayoría de estas tareas se realizan con herramientas automatizadas.
Los eslabones más débiles en la seguridad de WordPress suelen ser las credenciales. Por lo tanto, utilizando herramientas automatizadas, el atacante intentará enumerar a todos los usuarios de WordPress e incluso lanzar un ataque de diccionario de contraseñas contra WordPress.
Hay muchas otras formas y medios de piratear un blog o sitio web de WordPress y los ataques dirigidos no se aprovechan específicamente de una debilidad de seguridad en WordPress o uno de sus componentes. También podría ser un agujero de seguridad en el software o la configuración del servidor web, etc., pero los tres anteriores son los puntos de entrada de ataques de piratería más comunes.
Proteja WordPress de ataques dirigidos
Hay muchos hacks y ajustes de WordPress que puede aplicar para proteger su WordPress de un ataque de hacking dirigido, como se destaca en la siguiente lista:
- Para empezar, todo lo que se aplica para proteger su WordPress de los ataques de WordPress no dirigidos se aplica también a los ataques dirigidos.
- Asegure y proteja su cuenta de administrador de WordPress
- Habilite WordPress SSL para acceder a su página de inicio de sesión de WordPress y páginas de administración a través de una capa de comunicación encriptada para evitar que sus nombres de usuario y contraseña de WordPress sean secuestrados
- Use un complemento de monitoreo y auditoría de seguridad de WordPress para realizar un seguimiento de todo lo que sucede en su WordPress e identificar cualquier actividad sospechosa antes de que se convierta en un problema de seguridad
- Use los roles de usuario de WordPress para mejorar la seguridad de WordPress al garantizar que cada usuario solo tenga los privilegios mínimos requeridos para hacer el trabajo
- Use el escáner de caja negra de seguridad WPScan WordPress y otras herramientas para escanear y auditar con frecuencia su sitio web de WordPress.
Proteger WordPress de todo tipo de ataques de piratas informáticos
De vez en cuando, puede leer sobre un ajuste de seguridad de WordPress en particular que algunas personas dicen que funciona mientras que otras dicen que no, como ocultar su versión de WordPress. En tal caso, sabemos que ocultar la versión de WordPress no mejora su seguridad, entonces, ¿por qué implementar tal ajuste en primer lugar? Si tiene dudas sobre un ajuste en particular, si el ajuste no afecta el rendimiento de su WordPress y es fácil de implementar, continúe e impleméntelo. ¡Mejor prevenir que lamentar!
Además de los consejos anteriores, hay muchas otras formas de mejorar la seguridad de sus blogs y sitios web de WordPress y protegerlos de ataques de piratería de WordPress dirigidos y no dirigidos. Lo ideal es que te mantengas actualizado suscribiéndote a un blog de seguridad de WordPress donde se publiquen frecuentes trucos, trucos y consejos de seguridad de WordPress.