Los 5 ataques de WordPress más comunes y cómo prevenirlos

Publicado: 2023-04-19

¿Le preocupa que los piratas informáticos ataquen su sitio web de WordPress? Desearíamos haberle dicho que no se preocupara, pero la verdad es que los sitios web de WordPress son atacados constantemente por piratas informáticos. Esto se debe principalmente a su popularidad, ya que WordPress impulsa un tercio de todos los sitios web en Internet.

Si bien WordPress en sí mismo es una plataforma segura de creación de sitios web, no funciona solo. Necesita complementos y temas para ejecutar un sitio de WordPress. Los complementos y los temas a menudo desarrollan vulnerabilidades que los piratas informáticos aprovechan para piratear un sitio web.

Una vez que tienen acceso a su sitio web, ejecutan todo tipo de actividades maliciosas, como robar información confidencial, estafar a los clientes y mostrar contenido ilegal. Mientras tanto, su sitio puede ser marcado con una advertencia en los resultados de búsqueda o puede ser incluido en la lista negra de Google, o incluso ser suspendido por su proveedor de alojamiento web. Todo esto conduce a una pérdida de visitantes e ingresos.

Si bien los desarrolladores de WordPress mantienen la plataforma segura, los propietarios de sitios de WordPress también deben tomar medidas por su cuenta. En este artículo, discutimos los ataques más comunes en los sitios de WordPress y las medidas preventivas que puede tomar contra ellos.

TL; DR: Si le preocupa que los piratas informáticos ataquen su sitio web de WordPress, puede tomar medidas de protección del sitio web de inmediato. Puede instalar nuestro complemento de seguridad de WordPress MalCare. Escaneará y monitoreará su sitio todos los días y bloqueará a los piratas informáticos para que no intenten ingresar.

[lwptoc skipHeadingLevel=”h1,h3,h4,h5,h6″ skipHeadingText=”Reflexiones finales”]

¿Por qué WordPress es un objetivo popular para los piratas informáticos?

WordPress es una plataforma de creación de sitios web que permite a cualquier persona crear sitios web sin saber codificar. Además, WordPress es gratuito.

Como resultado, la plataforma está impulsando más de 1300 millones de sitios activos en la actualidad.

La desventaja de todo esto es que los sitios web de WordPress están más dirigidos que los sitios web creados en cualquier otra plataforma.

Ahora hay varias formas en que los piratas informáticos pueden ingresar a su sitio. Lo hemos reducido a los 5 más comunes. Explicaremos qué sucede y cómo puede proteger su sitio de WordPress contra esto.

Los 5 ataques más comunes en los sitios web de WordPress

1. Complementos y temas vulnerables

Un sitio de WordPress se crea utilizando tres elementos: la instalación principal, los temas y los complementos. Los tres elementos tienen el potencial de hacer que un sitio sea vulnerable a los ataques.

Durante muchos años, no ha habido ninguna vulnerabilidad importante en el núcleo de WordPress. Es mantenido por un equipo de desarrolladores altamente experimentados y calificados. Trabajan arduamente para garantizar que la plataforma sea completamente segura para que no tenga nada de qué preocuparse allí.

Sin embargo, los complementos y temas de WordPress son creados por desarrolladores externos y tienden a desarrollar vulnerabilidades de WordPress con bastante frecuencia.

Cuando los desarrolladores descubren alguna vulnerabilidad, la solucionan rápidamente y lanzan una versión actualizada.

actualización de wordpress

Usted, el propietario del sitio, debe actualizar a la última versión y su sitio estará seguro. Es importante instalar dichas actualizaciones de seguridad inmediatamente. Esto se debe a que cuando los desarrolladores publican una actualización, también publican los motivos de la actualización. Por lo tanto, la vulnerabilidad se anuncia al público.

Esto significa que los hackers ahora saben que existe una vulnerabilidad. También saben que no todos los propietarios de sitios actualizan sus sitios inmediatamente. Entonces, una vez que descubren que un complemento o tema es vulnerable, programan bots y escáneres para rastrear Internet y encontrar sitios que los estén utilizando. Saber exactamente cuál es la vulnerabilidad les facilita la explotación, la intrusión y la inserción de malware como wp feed malware, etc.

Cómo proteger su sitio contra complementos y temas vulnerables

  1. Solo use temas y complementos confiables que se encuentran en el repositorio de WordPress o en mercados como ThemeForest y Code Canyon.
  2. Revise su lista de complementos regularmente y conserve solo los que usa. Elimina los que no necesites o estén inactivos.
  3. Escanee su tema con regularidad e idealmente, debe mantener solo el tema que está utilizando activamente.
  4. Nunca use temas y complementos pirateados. Por lo general, contienen malware que infectará su sitio web.
  5. Asegúrese de reconocer todos los complementos y temas en su sitio. A veces, los piratas informáticos instalan sus propios complementos y temas que tienen puertas traseras instaladas en el sitio web. Esto les da un acceso secreto a su sitio.

2. Ataques de fuerza bruta

Para iniciar sesión en su sitio de WordPress, debe ingresar sus credenciales de inicio de sesión, es decir, un nombre de usuario y una contraseña.

Muchas veces, los propietarios de sitios de WordPress usan nombres de usuario y contraseñas que son fáciles de recordar. Muchos usuarios de WordPress conservan el nombre de usuario predeterminado 'admin'. Las contraseñas comunes incluyen 'contraseña123' o '1234567'.

Los piratas informáticos son muy conscientes de esto y atacan la página de inicio de sesión de los sitios de WordPress.

página de inicio de sesión de wordpress

Crean una base de datos de nombres de usuario y contraseñas de uso común. Luego, programan bots para apuntar a sitios de WordPress e intentan diferentes combinaciones presentes en su base de datos.

Si sus credenciales de inicio de sesión son débiles, los bots tienen muchas posibilidades de adivinarlas e ingresar a su sitio. ¡Esto se conoce como 'ataques de fuerza bruta' y se estima que tienen una tasa de éxito del 10%!

Cómo proteger su sitio contra la fuerza bruta

Hay un par de pasos que puede seguir para proteger su sitio contra ataques de fuerza bruta:

  1. Por defecto, su nombre de usuario de WordPress es admin. Puede cambiarlo de administrador a algo más exclusivo.
  2. Utilice una contraseña segura de WordPress. Sugerimos usar una frase de contraseña en combinación con números y símbolos como Birdsofafeather123$.
  3. Utilice credenciales únicas que no haya utilizado en otros sitios web.
  4. Limite el número de intentos de inicio de sesión en su sitio. Esto significa que un usuario de WordPress solo tendrá posibilidades limitadas de ingresar las credenciales correctas, como 3 intentos o 5 intentos. Después de esto, deberán usar la opción 'Olvidé mi contraseña'. Puede instalar nuestro complemento de seguridad MalCare en su sitio e implementará automáticamente esta protección de inicio de sesión para usted.
  5. Utilice la autenticación de dos factores en la que un usuario de WordPress debe ingresar sus credenciales junto con una contraseña de un solo uso que se genera en sus teléfonos inteligentes o se envía a su dirección de correo electrónico registrada.

3. Ataques de inyección

Casi todos los sitios web tienen un campo de entrada como un formulario de contacto, una barra de búsqueda del sitio o una sección de comentarios que permite a los visitantes ingresar datos. Algunos sitios web también permiten a los visitantes cargar documentos y archivos de imagen.

Por lo general, estos datos se aceptan y se envían a su base de datos para ser procesados ​​y almacenados. Estos campos necesitan una configuración adecuada para validar y desinfectar los datos antes de que vayan a su base de datos. Esto asegurará que solo se acepten datos válidos. Si faltan estas medidas, los piratas informáticos lo explotan e ingresan un código malicioso.

Tomemos un ejemplo de un sitio de WordPress que tiene un formulario de contacto. Idealmente, este formulario debe aceptar un nombre, una dirección de correo electrónico y un número de teléfono.

Formulario de contacto
  1. El campo de nombre debe aceptar solo letras del alfabeto.
  2. El campo de dirección de correo electrónico debe aceptar un formato de dirección de correo electrónico válido, como [email protected].
  3. El campo del número de teléfono debe contener solo dígitos.

Ahora, si estas configuraciones no están en su lugar, un pirata informático puede insertar scripts maliciosos como:

 String userLoginQuery = "SELECT user_id, username, password_hash FROM users WHERE username = '" + request.getParameter("user") + "'";

Este es un código que ordenará a la base de datos que ejecute ciertas funciones. De esta manera, los piratas informáticos pueden ejecutar scripts maliciosos en su sitio que pueden usar para obtener el control total de su sitio.

Los ataques de inyección más populares en los sitios de WordPress incluyen ataques de inyección SQL y Cross-Site Scripting.

Cómo proteger su sitio web contra ataques de inyección

  1. Muchos ataques de inyección provienen de temas y complementos que permiten la entrada de visitantes en su sitio. Sugerimos usar solo temas y complementos confiables. Luego, mantenga sus complementos y temas actualizados siempre.
  2. Controle las entradas de campo y los envíos de datos. Esto es técnico y requeriría la asistencia de un desarrollador.
  3. Utilice un cortafuegos de WordPress. Si ha instalado MalCare en su sitio, instala automáticamente un sólido firewall para defender su sitio contra los piratas informáticos.

4. Phishing y robo de datos

Los visitantes interactúan con su sitio web de diferentes maneras. Algunos de ellos solo leen las publicaciones de su blog, otros se comunican con usted a través de su contacto, y así sucesivamente. Si ejecuta un sitio de comercio electrónico, muchos visitantes compran artículos de su sitio web. Esto significa que deben iniciar sesión en su sitio web e ingresar la información de la tarjeta de crédito.

Cuando alguien ingresa la información de la tarjeta de crédito en su sitio, transfiere y almacena la información en el servidor de su sitio. Esta información puede ser interceptada mientras se transfiere. Además, los datos de la tarjeta de crédito pueden ser robados.

También pueden entrar en su sitio web y hacerse pasar por usted. Envían correos electrónicos o redirigen a los visitantes a otros sitios web y los engañan para que revelen datos personales e información de pago.

Cómo proteger su sitio contra el phishing y el robo de datos

  1. Utilice un certificado SSL. Esto cifrará los datos que se transfieren desde y hacia su sitio. Incluso si un pirata informático lo intercepta, no puede usarlo ya que no podrá descifrarlo. Consulte nuestra guía sobre el uso de SSL y HTTPS. También eliminará la advertencia de sitio no seguro de WordPress en su sitio.
  2. Use un complemento de seguridad de WordPress para recibir alertas si hay alguna actividad sospechosa en su sitio web. El complemento también bloqueará los intentos de pirateo.

5. Robo de galletas

¿Ha notado que cuando inicia sesión en un sitio, su navegador solicita 'recordarme' o 'guardar contraseña'? Esto se hace para que no tenga que ingresar sus credenciales de inicio de sesión cada vez que desee acceder a un sitio web. Puede optar por permitir que el navegador guarde sus datos de inicio de sesión.

nombre de usuario y contraseña

Los navegadores pueden guardar dichos datos gracias a las cookies. Las cookies son pequeños fragmentos de datos que registran la interacción de un visitante con un sitio web. Por ejemplo, si ejecuta una tienda en línea, su sitio puede rastrear el viaje de un cliente, como qué producto buscó y qué compró. Estos datos se utilizan en análisis y también los anunciantes adaptan los anuncios a las preferencias del visitante. Ahora, las cookies también pueden almacenar datos bancarios e información personal.

Si un pirata informático puede robar las cookies de su sitio web, puede acceder a datos confidenciales de su negocio y sus visitantes. Pueden explotar estos datos para llevar a cabo sus actos maliciosos, como defraudar a los clientes utilizando la información de su tarjeta de crédito.

Puede leer más sobre esto en nuestra guía fácil sobre el robo de cookies y el secuestro de sesiones.

Cómo proteger su sitio del robo de cookies y el secuestro de sesiones

  • Cambie sus claves y salts de WordPress con regularidad. Las claves y las sales proporcionan un cifrado seguro de la información almacenada en las cookies del navegador. Esta medida es de carácter técnico. Recomendamos utilizar la función de refuerzo de WordPress de MalCare para cambiar sus claves y salts. Desde el panel de control de MalCare, acceda a Seguridad > Fortalecimiento de WordPress > Cambiar claves de seguridad y salts de WordPress.
endurecimiento del sitio malcare
  • Aquí también, recomendamos instalar un certificado SSL para proteger los datos de su sitio web.

Eso nos lleva al final de los ataques de WordPress más comunes. Antes de terminar, nos gustaría mostrarle algunas medidas de refuerzo de WordPress que harán que su sitio sea más fuerte contra este tipo de ataques.

¿ Cómo fortalecer su sitio de WordPress contra los ataques ?

Si bien puede tomar medidas específicas para proteger su sitio web contra ciertos ataques, existen algunas medidas generales de seguridad que puede implementar en su sitio para una mejor protección. Estas se llaman medidas de endurecimiento de WordPress. Lo hemos explicado brevemente aquí, pero puede leer nuestra guía detallada sobre el endurecimiento de WordPress para obtener explicaciones más detalladas.

1. Deshabilitar el editor de archivos

WordPress tiene una función que le permite editar archivos de temas y complementos directamente desde el tablero. Muchos propietarios de sitios web no necesitan esta función, la utilizan principalmente los desarrolladores. Pero si un pirata informático ingresa a su panel de administración de wp-admin, puede insertar código malicioso en su tema y archivos de complemento. Por lo tanto, si no necesita esta función, puede desactivarla.

2. Deshabilitar las instalaciones de complementos o temas

Cuando los piratas informáticos pueden acceder a su sitio, instalan sus propios complementos o temas. Estos complementos y temas suelen ser maliciosos y contienen puertas traseras. Esto les da a los piratas informáticos una entrada secreta a su sitio.

Además, como mencionamos, los temas y complementos vulnerables son una de las principales causas de sitios pirateados. Si tiene varios usuarios en su sitio web, es posible que instalen un complemento o un tema que no sea seguro. Esto puede abrir su sitio a los piratas informáticos. Si desea evitar esto, puede deshabilitar las instalaciones de complementos y temas en su sitio.

Si no instala regularmente complementos y temas en su sitio, puede desactivar la opción de instalación.

3. Limitar los intentos de inicio de sesión

Como mencionamos anteriormente, puede limitar la cantidad de oportunidades que tiene un usuario de WordPress para ingresar las credenciales de inicio de sesión correctas para ingresar al sitio. Esto elimina el riesgo de ataques de fuerza bruta.

4. Cambio de claves y salts de seguridad

Las claves y las sales cifran la información almacenada en su navegador. Entonces, incluso si un pirata informático logra robar sus cookies, no puede descifrarlo. Sin embargo, si un pirata informático accede a estas claves y sales, puede usarlas para descifrar las cookies. Cambiar regularmente sus claves y sales puede ayudar a evitar el robo de cookies.

5. Bloqueo de la ejecución de PHP en carpetas desconocidas

Solo hay ciertos archivos y carpetas en su sitio de WordPress que ejecutan código. Otras carpetas solo almacenan información, como su carpeta Cargas que almacena imágenes y videos.

Sin embargo, cuando un pirata informático obtiene acceso a su sitio web, inserta código php en carpetas aleatorias o incluso crea sus propias carpetas.

Puede bloquear dicha actividad deshabilitando las ejecuciones de PHP en carpetas desconocidas.

La implementación de estas medidas requiere experiencia técnica. No recomendamos hacerlo manualmente. Es mucho más seguro y fácil usar un complemento como MalCare que le permite hacer esto con solo unos pocos clics.

endurecimiento del sitio malcare

Con eso, estamos seguros de que su sitio web de WordPress está seguro y protegido contra piratas informáticos.

Pensamientos finales

¡Los piratas informáticos tienen una multitud de formas de ingresar a su sitio de WordPress y crean otras nuevas muy a menudo!

Debe tomar sus medidas de seguridad para proteger su sitio web y asegurarse de que sea seguro contra ataques de hackers.

Recomendamos usar nuestro complemento de seguridad MalCare para proteger su sitio de WordPress. Bloqueará el acceso de piratas informáticos y bots maliciosos a su sitio. Puede estar seguro de que su sitio está siendo monitoreado y protegido.

¡Evite ataques con nuestro complemento de seguridad MalCare !