¿Por qué quieren atacar mi WordPress?

Blog de Cristian Cascante / Desarrollador Web / Diseñador UI

¿Por qué quieren atacar mi WordPress?

Si nunca te has formulado esta pregunta, puede ser el momento de reflexionar y preguntarse, ¿por qué alguien querría atacar mi página web?
Mucha gente piensa que su pàgina web no es lo suficiente importante como para ser atacada, pero la realidad no es así, tu página puede ser atacada y con más motivo si hablamos de WordPress.

Puede que tras esta pregunta te venga otra de manera inmediata, ¿es WordPress seguro? Ya te adelanto que sí, WordPress es seguro, pero para que lo sea hay conocer sus debilidades y reforzarlas.

WordPress es el gestor de contenidos más utilizado en Internet y este es el principal motivo por el cual es el más atacado. Lo mismo ocurre con los Servidores Amazon y lo mismo ocurrió cuando los Mac se popularizaron y dejaron de ser ordenadores para un pequeño grupo de profesionales selectos. Al crecer y ser populares, los virus llegaron también a los sistemas de Steve Jobs.

La popularidad de WordPress junto a un mal uso, es la causa principal de que tu página web pueda ser hackeada.

Pero todavía no he respondido a la pregunta principal de este post, ¿Por qué quieren atacar mi WordPress?

Tu página web puede ser atacada por varios motivos, pero casi siempre será para conseguir otro fin mayor:

  • Redireccionamiento a otra web,
  • Phishing,
  • Ordenadores zombie,
  • Ataques coordinados,
  • Etc…

 

Y cómo lo consiguen?

Principalmente los ataques de este tipo son ataques de tipo masivo, atacan de manera indiscriminada a un conjunto de direcciones web. Miles, con la esperanza de encontrar alguna vulnerabilidad en alguna de ellas.

– Software sin actualizar (cada nueva actualización revela los fallos de la anterior versión, eso es aprovechado a diario por los hackers).
Cuando digo software me refiero al conjunto de programas que hace posible que tu web funcione, WordPress, cada plugin que tengas instalado y el propio servidor donde se aloja tu web  web (versión de Apache, MySQL, MariaDB, Nginx, PHP, …).

– Configuraciones por defecto que no son modificadas. Por ejemplo, en WordPress es prioritario cambiar la puerta de acceso por defecto si no quieres tener allí miles de peticiones de boots intentando entrar por la puerta principal a través de ataques por fuerza bruta (ataques por diccionario que usan combinaciones de nombres de usuario y contraseñas débiles). A modo de ejemplo: la puerta de acceso al panel de control de WordPress es tupaginaweb.com/wp-admin, si alguien accede ahí y averigua la contraseña de administrador, podrá hacer lo que quiera, no solamente en tu web, si no ya en el mismo servidor.

La solución pasa por ocultar este acceso: tupaginaweb.com/puertasecreta.

– No tener instalado un Firewall  ni sistema de monitorización.

– Malas Políticas de seguridad: contraseñas débiles, demasiados administradores,…

Si consigues controlar estos aspectos es muy probable que no tengas ningún problema con los ataques de tipo masivo, que son los que realmente nos deben preocupar porque son los que vamos a recibir a diario.

Para controlar todo esto hay múltiples herramientas, yo personalmente uso iThemes Security combinado con otras medidas de seguridad:

  • Creo un repositorio GIT (control de versiones) para administrar el proyecto.
  • Creo un entorno local para desarrollo.
  • Sincronizo el entorno local con GitHub y éste con el servidor para desplegar código.
  • Desactivo FTP (en el caso que esté configurado) para forzar todas las subidas mediante repositorio y protocolo SSH.
  • Desactivo la posibilidad de instalar plugins en la web de producción. (define(‘DISALLOW_FILE_MODS’, ‘false’);)
  • Doy de alta la web en CloudFlare, un proxy que proporciona una capa de seguridad contra bootsmalware, ataques DDos, oculta la IP del servidor, …)
  • Instalo en WordPress el plugin de seguridad iThemes Security  y aplico las reglas de seguridad anteriormente dichas.
  • Creo un sistema de copias de seguridad de archivos y datos con copias periódicas y fuera del servidor. Personalmente me gusta usar Amazon S3 para almacenarlas.
  • Activo Monitorización de actividades de iThemes Security, (accesos no permitidos, cambios en los archivos,…).
  • Mantengo y actualizo periódicamente WordPress y sus plugins.

 

Ahora ya deberías entender porqué tu WordPress puede ser atacado y qué deberías hacer para evitar ser hackeado, ya sea aplicando tu mismo las medidas de protección o contratando los servicios de un profesional.

Cristian Cascante

No Comments

Reply