Prevenir ataques a las web realizadas con WordPress (DDoS – Fuerza Bruta)

El incremento incesante de sitios web realizados con el gestor de contenidos más popular del momento, WordPress, ha sido gracias en parte, a su gran versatilidad y facilidad de gestión por cualquier usuario sin necesidad de tener conocimientos en desarrollo web.

Más del 30% de las webs en línea en todo el mundo, están gestionadas con Wodpress, lo que se ha convertido en un atractivo para los Hackers de todo el mundo.

Es abiertamente conocido que WordPress siempre ha mostrado vulnerabilidades que versión tras versión ha ido tapando, mejorando la seguridad de su sistema continuamente.

Ingenuamente, podemos pensar que nuestra página web no es de gran relevancia y que nunca será pirateada, gran error, pues todos los sitios son vulnerables, ya que los ataques suelen dirigirse de forma anónima a cualquier domino.

Pero, ¿cuáles son los principales ataques que se dirigen a las webs realizas con wordpress y cómo evitarlos?

  1. Plantillas (Temas) y plugins sin actualizar

WordPress se compone de Temas y plugins que completan las funcionalidades de los sitios web. Disponen de un sistema de aviso para detectar todos aquellos que no están actualizados. Es esencial para mantener la seguridad es actualizar todos los plugins y temas a su última versión.

Además, la mayoría de las actualizaciones suelen ser por cuestiones de seguridad que podrían poner en peligro tu web, salvo cuando hay un cambio de versión mayor en WordPress, que entonces obliga a cambiar ciertos códigos en algunos plugins y temas.

Una de las ventajas  de usar plugins de pago, es el hecho que el desarrollador está pendiente de nuevos ataques o “exploits” y actualizar su producto para solucionarlos, algo que con los temas y plugins gratuitos no siempre es así.

Por lo tanto, tener actualizado tu versión de wordpress, tema y plugins, es una medida fundamental para prevenir ataques.

 

  1. Datos de acceso débiles (usuarios y contraseñas)

Y quién no puso en sus inicios el usuario admin para wordpress. Este mismo, es uno de los primeros que se usan para los ataques de fuerza bruta en el momento de iniciar sesión.

Elegir un nombre de usuario adecuado y una contraseña fuerte que incluya diversos tipos de caracteres, así como mayúsculas y minúsculas y caracteres especiales.

Otra medida de seguridad para prevenir este tipo de ataque, es cambiar la url (tudomino.com/wp-admin) a una menos previsible. Para ello hay plugins que te permiten personalizar esta ruta de acceso.

Limitar los intentos de acceso y añadir un captcha es una medida añadida que puede ayudar a ponérselo más difícil aún a los hackers.

 

  1. Inyecciones en la base de datos

Este tipo de ataque ha ido aumentado últimamente para hacker los sitios web realizados por diferentes tipos de CMS (Joomla, WordPress, prestashop, drupal…). En este tipo de ataques las medidas que podemos aplicar con más limitadas, ya que no siempre dependen de la persona que gestiona el sitio web.

Sin embargo, se pueden tomar algunas medidas para prevenir. En primer lugar, no dejes nunca el prefijo wp_ que viene de serie en la instalación de un wordpress, se debe cambiar siempre.

Otro aspecto fundamental, es que tu proveedor de hosting realice copias de seguridad tanto del contenido como de la base de datos.

Que alguien puede inyectar datos en tu base de datos es de lo peor que puede ocurrir, y sin copia de seguridad es casi imposible limpiar la base de datos de este código malicioso.

Como medida añadida, puedes utilizar el archivo htacces de tu hosting como firewall.

 

Avisos de seguridad de Google

Estos son los tres tipos principales de ataques. Cómo es de esperar, Google también trabaja para mantener la seguridad de los sitios web, y nos hemos encontrado con casos, en que, si tu web ha sido infectada, y Google lo ha detectado, te califica tu sitio web como no seguro, y un aviso con una página en rojo, que asusta a cualquiera, creando una desconfianza del usuario / cliente, sobre tu sitio web.

Para ello es fundamental que tengas una cuenta en Google Webmaster Tools para gestionar ahí tus webs y poder tener avisos de seguridad e incluso instrucciones de cómo solucionar intrusiones. Además, Google ya te avisa incluso de cuando tienes que actualizar WordPress.

Luego, en su mismo panel puedes avisarle a Google de que tu sitio está limpio y quitará, tras comprobarlo, el molesto aviso.

Einatec, cuenta con el servicio de mantenimiento de sitios web, ya sean realiazados en WordPress o Prestashop, etc. En dónde cuidamos de tu sitio web para que esté siempre actualizado, tengas una copia de seguridad de tu sitio web diaria, y si lo necesitas, mantener o actualizar el contenido de tu página web, así como asistencia técnica.

Ponte en contacto, y te informaremos con más detalle sin compromiso.