Let's talk!

Tips para conseguir la pagina web perfecta para tu pequena empr

  • click to rate

    Como el CMS más popular del planeta, WordPress permite a miles de diseñadores de sitios web, desarrolladores y dueños de negocios crear y ejecutar sus sitios. Debe su popularidad a su sencillez de uso, sus características y un próspero ecosistema de desarrolladores de complementos y temas, y la comunidad de WP. Sin embargo, hay una otra cara. Esta popularidad es la razón por la cual los piratas informáticos se dirigen a los sitios de WP para lanzar múltiples y comunes ataques de Wordpress. ¿Qué es exactamente un ataque de WP y cuáles son los tipos más comunes de ataques que utilizan los piratas informáticos? Discutámoslos en detalle.

    ¿Qué es un ataque de WordPress?

    Aunque hay muchas formas de atacar los sitios web de WP, cualquier intento que aproveche las debilidades o vulnerabilidades de seguridad en los sitios de WordPress puede denominarse un ataque de Wordpress. ¿Significa esto que WordPress es intrínsecamente inseguro o propenso a sufrir ataques? De nada. Wordpress en sí mismo es seguro. Los sitios de Wordpress tienen vulnerabilidades por el hecho de que los propietarios de sitios de forma frecuente no prosiguen las pautas de seguridad recomendadas para sus sitios.

    Entonces, ¿de qué forma atacan los hackers los sitios web de WordPress? Acá hay cinco de los ataques más frecuentes que los piratas informáticos desatan en los sitios de Wordpress en el mundo entero.

    Los cinco ataques de WP más frecuentes y cómo evitarlos

    Aunque los piratas informáticos han concebido formas nuevas e renovadoras de atacar los sitios de WordPress, estos son los 5 tipos más habituales de ataques de WordPress:

    Ataques de fuerza salvaje

    inyecciones SQL

    Complementos y temas vulnerables

    Phishing y robo de datos

    Script entre sitios (XSS)

    Analicemos cada uno de estos cinco ataques en detalle, así como cómo puede evitarlos.

    Ataques de fuerza salvaje

    Este es probablemente el ataque de malware de Wordpress más simple en el que los piratas informáticos apuntan a su página Aprende más aquí de inicio de sesión de WP. Los ataques de fuerza bruta utilizan bots automatizados que repetidamente procuran adivinar las credenciales para conseguir acceso a las cuentas de los usuarios, en particular a aquellos con derechos de administrador. Una vez que los piratas informáticos ingresan a una cuenta de usuario administrador, pueden tomar el control total de su sitio e producir el máximo daño.

    La mayoría de los usuarios facilitan la entrada de los piratas informáticos al utilizar nombres de usuario enclenques como "usuario123" o "admin" o claves de acceso débiles como "contraseña" o "ciento veintitres mil cuatrocientos cincuenta y seis" que son fáciles de adivinar para los piratas informáticos.

    De qué manera eludir los ataques de fuerza bárbara

    Acá hay algunas medidas que puede tomar para proteger su lugar de WP de los ataques de fuerza bruta:

    Cambie su nombre de usuario de administrador predeterminado de WP de "admin" a algo más exclusivo.

    Haga que las claves de acceso seguras sean obligatorias para todos los usuarios. Una contraseña segura debe tener por lo menos 10 caracteres y debe tener una combinación de letras, números y caracteres singulares (@,$ , _).

    Limite el número de intentos de inicio de sesión en cualquier cuenta a un máximo de 3.

    Implemente la autenticación de dos factores (o 2FA) que implica un proceso de inicio de sesión de dos pasos para todas y cada una de las cuentas de usuario.

    Cambie sus contraseñas de usuario a intervalos regulares.

    Inyecciones SQL

    Este ataque de Wordpress está dirigido a su base de datos de Wordpress usando comandos SQL maliciosos. Mire cualquier sitio web de WP y probablemente contendrá campos de entrada de usuario como formularios on-line, sección de comentarios o barras de búsqueda. Algunos sitios asimismo le dejan ingresar imágenes o documentos.

    Los piratas informáticos aprovechan las vulnerabilidades en estos campos de entrada mediante inyecciones SQL para inyectar sus consultas o declaraciones SQL. A través de ellos, pueden tomar el control de su base de datos de Wordpress y después corromper o hurtar valiosos registros de la base de datos.

    De qué forma eludir el ataque de Wordpress de inyección SQL

    Esto es lo que puede hacer para resguardar su sitio de Wordpress de los ataques de inyección SQL:

    Como las inyecciones de SQL exitosas se facilitan mediante complementos/temas inseguros, asegúrese de instalarlos solo de desarrolladores o empresas confiables.

    Mantenga siempre y en todo momento actualizados sus complementos/temas instalados a sus últimas versiones.

    Valide todas las entradas de los usuarios en formularios o comentarios on-line para asegurarse de que no contengan entradas sospechosas.

    Cambie el nombre o la localización predeterminados de su base de datos de WP, lo que complica que los piratas informáticos accedan a ella.

    Complementos y temas vulnerables

    Los complementos y temas de Wordpress ofrecen una forma conveniente de agregar funcionalidades para crear un sitio de WP simple de usar o diseñar un sitio con la apariencia que escoja. No obstante, los complementos/temas inseguros pueden resultar perjudiciales para los sitios de WordPress, ya que los piratas informáticos aprovechan sus vulnerabilidades para ingresar a los sitios. Con sitios que poseen cientos y cientos de complementos/temas, los piratas informáticos pueden usar estas vulnerabilidades para apuntar a todos los sitios que emplean la misma versión de complemento/tema.

    Para evitar esto, los desarrolladores de los complementos/temas más populares corrigen cualquier error relacionado con la seguridad y lanzan versiones actualizadas para cubrir cualquier brecha de seguridad.

    Cómo evitar plugins y temas frágiles

    Aquí hay algunas medidas que puede tomar para habilitar la protección contra ataques de Wordpress contra complementos/temas vulnerables:

    Instale sus complementos/temas de WordPress solo de fuentes o desarrolladores fiables.

    Actualice sus complementos/temas instalados a su última versión disponible.

    Elimine los complementos/temas inactivos o abandonados que su equipo de desarrollo no haya recibido no actualizado.

    Evite el uso de complementos y temas anulados o pirateados, que a menudo poseen código de malware para inficionar su sitio.

    Limite la cantidad de complementos/temas instalados en su lugar de Wordpress y desinstale los que ya no usa. Además del peligro de seguridad, demasiados complementos asimismo pueden afectar la velocidad de su sitio web.

    Phishing y robo de datos

    Como se mencionó anteriormente, los piratas informáticos no solo desean dañar su lugar de WordPress, sino asimismo procuran robar datos valiosos, como registros de clientes e información financiera de su negocio. Los piratas informáticos procuran hacerse pasar por usuarios "auténticos" y engañar a los usuarios desprevenidos a fin de que se desprendan de detalles esenciales como las credenciales de inicio de sesión o los detalles de la tarjeta de crédito.

    Esto es lo que hace que el phishing sea un género de ataque de WP gravemente perjudicial. Mediante el phishing, los piratas informáticos pueden acceder a cualquier sitio web comercial y mandar mails a su base de clientes. Luego, los clientes del servicio desprevenidos se ven obligados a hacer clic en links que los redirigen a sitios no pedidos que venden productos falsos o ilegales. O, son engañados para que revelen su información personal o efectúen pagos.

    De qué forma eludir el phishing y el hurto de datos

    Aquí existen algunas medidas que puede tomar para eludir el phishing y el robo de datos en su lugar de WordPress:

    Resguarde su sitio de WP habilitándolo para HTTPS a través de un certificado SSL. Los sitios HTTPS encriptan todos y cada uno de los datos trasmitidos entre el sitio web y el navegador del usuario, por lo que los piratas informáticos no pueden explotar los datos aun si son detenidos. Desplazar su sitio a HTTPS asimismo es una parte de una estrategia integral de SEO, ya que los buscadores web como Google favorecen los sitios HTTPS por la seguridad de sus usuarios.

    Instale un complemento de seguridad de WordPress como MalCare o Sucuri que puede detectar cualquier actividad sospechosa en su sitio web y quitar el malware.

    Instale un firewall de sitio web para resguardar su sitio mediante la detección y el bloqueo de solicitudes de IP de fuentes sospechosas.

    Secuencias de comandos entre sitios (XSS)

    Asimismo conocido como XSS, Cross-Site Scripting es otro ataque de Wordpress que aprovecha los sitios frágiles para cargar código JavaScript malicioso que incita a los visitantes del sitio a compartir sus datos o efectuar una acción.

    Los ataques XSS son mucho más peligrosos que otros ataques, ya que pueden dirigirse a los usuarios administradores y conseguir la autoridad para efectuar tareas de alto privilegio. Esto incluye ver o mudar contraseñas de usuario, rastrear información de pago o ver registros de