Vulnerabilidades en Wordpress, ¿cómo hacer tu CMS más seguro?

Por Sarah Santiago.

El 28% de Internet funciona con WordPress. Así de rotunda es la estadística que arroja CodeinWP, y todo apunta a que el uso de este CMS seguirá en aumento.

Paralelamente, surge un fenómeno que no debería dejar indiferente a nadie: solo en marzo de 2017 las webs con WordPress sufrieron 35 millones de ataques por fuerza bruta, esto es, el método de ataque más común en esta plataforma.

Se basa en descifrar el nombre de usuario y la contraseña para entrar dentro del sitio. Dado que WordPress (por defecto) no limita el número de intentos de loguearse, los atacantes crean bots que prueban millones de combinaciones que terminan por saturar el sistema. Pero esto no es todo.

Puede que estés pensando que tu página web, que funciona con WordPress, goza de unos datos de acceso seguros, por lo que difícilmente pueden atacar tu sitio por fuerza bruta. Lo cierto es que también debería preocuparte otros vectores de ataque muy utilizados como la inclusión remota de archivos, inyecciones SQL, ataques XSS (cross-site scripting) y la inyección de malware. Palabras que posiblemente no te digan mucho, pero que en resumen evidencian que hay que hacer algo para que tu CMS sea más seguro.

5 pasos para aumentar la seguridad de tu WordPress

Hay muchas formas de proteger tu página web. Las que encontrarás en las siguientes líneas son las más básicas, las que puedes llevar a cabo ahora sin tener que tocar una sola línea de código y sin la ayuda de un experto en materia de ciberseguridad.

Sin embargo, es necesario reseñar que los aspectos que vamos a tratar son elementales, y los ataques que se suceden a diario son cada vez más complejos. Se puede reforzar aún más la seguridad de un sitio web, así como de una aplicación web. Es muy recomendable hacerlo cuando tu actividad de negocio depende de que tu WordPress esté disponible de forma ininterrumpida para tus clientes o potenciales clientes.

Por ejemplo, si gestionas un blog corporativo o tienes un e-commerce en WordPress (Woocommerce) no da una imagen de confianza si la web está caída durante un tiempo porque está sufriendo un ataque, o si al entrar en el sitio sale en la pantalla contenido que no tiene nada que ver con lo que ofreces.

Veamos qué pasos realizar para mejorar la protección de tu WordPress.

1. Utiliza credenciales (nombre de usuario y contraseña) de acceso difíciles de descifrar

Si tu usuario para entrar en WordPress es “admin” no tardes mucho en cambiarlo. Es una credencial que viene por defecto cuando se crea o instala un sitio en este CMS. Dicho de otra manera, es un dato que los atacantes ya conocen sobre tu acceso si no lo cambias cuanto antes. Se puede hacer desde la parte de Usuarios del Panel de Administración, creando un nuevo usuario con un nombre poco común, y atribuyéndole permisos de Administrador (lo que te permitirá borrar el usuario “admin”).

En el caso de la contraseña, lo mejor es que recurras a un generador de contraseñas para crearla y que ésta incluya todo tipo de caracteres. Será imposible de recordar a no ser que la apuntes en una libreta o bien que la guardes a través de un gestor de contraseñas como LastPass (lo más recomendable para almacenar todas las contraseñas de tus cuentas).

Para despistar aún más a los atacantes, también es recomendable cambiar la URL de acceso a tu WordPress, es decir, la página que tecleas cada vez que quieras entrar al panel de control. Normalmente, esta URL es http://[nombredelaweb].com/wp-admin/ o /wp-login.php/.

El cambio se puede hacer de dos maneras: en una en la que necesitas tocar los archivos de configuración del .htaccess (modo difícil); y la otra manera consta de instalar un plugin de WordPress para hacer el cambio (modo fácil). Con el plugin WPS Hide Login podrás cambiar la URL de acceso en unos minutos.

En este punto, también resulta interesante añadir una capa extra de seguridad a través de un plugin que le proporcione a tu web el doble factor de autenticación. Para quienes no están familiarizados con este tipo de protección, se trata de añadir un requisito de acceso en el que se pide una contraseña que se envía al smartphone en forma de mensaje para asegurarse que solo el propietario del sitio tiene acceso a esa clave.

2. Actualiza WordPress, así como los Plugins y temas (aunque no los uses)

Cada vez que una empresa de software descubre que su producto tiene una brecha de seguridad, lanza una actualización para evitar que afecte a los usuarios. Esto lo hemos visto en el caso del famoso ataque de WannaCry, que a pesar de que afectó a equipos con Windows y no a páginas webs, muchas víctimas podían haber evitado el disgusto instalando la actualización de seguridad que lanzaron los de Redmond prácticamente tres meses antes de que el ransomware afectara a equipos de todo el mundo.

Entre otras cosas, el WannaCry puso en evidencia la dejadez de los usuarios en lo que se refiere a actualizar equipos. Por eso, la mejor manera de evitar la procrastinación en estos temas es tomando conciencia de su importancia.

Tu sitio web es vulnerable a ataques cuando dejas de actualizar para obtener la última versión de WordPress, los plugins y temas que estén instalados en él, independientemente de si están activados o no. De hecho, si tienes instalados plugins y temas que no utilizas, ni tienes expectativa de ello, lo mejor es eliminarlos para tener menos recursos que actualizar. Por eso, no pases por alto los avisos de actualización que aparecen en el Panel de Control.

3. No descargues nada de sitios no oficiales

En realidad este es un consejo que todo usuario debería aplicar a todo tipo de descargas que realiza por Internet. Habitualmente, la descarga de archivos de sitios no oficiales es la puerta de entrada a malware que, en ocasiones, no se manifiesta de forma inmediata. Dicho de otra manera, infectas tu sistema sin saberlo.

En el caso de WordPress, resulta tentador descargar temas y plugins de sitios de poca confianza, dado que los que más recomiendan los expertos son los de pago. Ahora bien, piensa que si se trata de tu negocio, todo lo que descargues de sitios oficiales es, al fin y al cabo, una inversión segura.

En este punto, también es conveniente que antes de instalar un plugin en tu web, leas las críticas y opiniones de los usuarios. De esta manera, también evitarás el uso de herramientas que no se ha comprobado previamente su fiabilidad. Ten en cuenta que WordPress no comprueba si los plugins o temas que se ofrecen desde su plataforma están 100% libres de vulnerabilidades. De ahí la importancia de escoger recursos ampliamente conocidos.

4. No compartas servidor y configura los permisos

Los alojamientos gratuitos o compartidos son opciones que terminarán saliéndote caras. Por una parte, algunas empresas de hosting ofrecen espacio para alojar tu web a cambio de la inserción de publicidad en tu página. Una imagen muy contraproducente para tu negocio, aún cuando tienes no tienes muchas visitas.

Por otra parte, los servidores compartidos también están totalmente desaconsejados. El bajo precio de este tipo de servicio guarda relación con la alta tasa de incidencias por la sobresaturación de los servidores. Lo mejor es que elijas tu propio servidor con un servicio técnico disponible, que sea capaz de proporcionarte el espacio de almacenamiento que necesitas, acorde al volumen de datos que transfieres al mes.

Otro aspecto a tener en cuenta son los permisos de acceso a tu servidor. Este se puede dar a tres niveles: permiso para leer, para escribir y para ejecutar archivos. Este último, es el permiso de mayor autoridad, por lo que pocos deberían tenerlo.

Si tienes personal que ha de acceder a tu servidor, puedes configurarlo de tal manera que quede restringido el acceso, modificación y/o ejecución de determinados archivos y carpetas. Plugins como Content Control te ayudan a ver el directorio de archivos y carpetas del servidor y los permisos de cada usuario para así, poder modificarlos.

5. Realiza copias de seguridad

En ciberseguridad esta norma es básica. Es la única forma de evitar que algunos ataques tengan nefastas consecuencias, como el del gusano ransomware, ya que este virus encripta el contenido de un equipo y bloquea el acceso a cambio de un rescate. A veces, la mejor solución pasa por formatear todo sabiendo que tienes una copia reciente de tus archivos y libre de infección.

Hay plugins con los que puedes programar copias de seguridad de tu CMS de WordPress, o incluso hacerlas tu mismo para que se guarden en local. BackUpWordPress es una de ellas, pero hay muchas más con opciones que se ajustan a tus necesidades. Tener tus copias de seguridad al día es una tranquilidad que no cuesta nada.

[Imágenes | iStock]

Sarah Santiago es Relaciones Públicas y Responsable de Social Media en Open Data Security. La misión vocacional de esta periodista es la de acercar el mundo de la ciberseguridad a individuos y organizaciones. Su convicción de que estamos viviendo unos tiempos apasionantes en el entorno digital, queda reflejado en los contenidos que habitualmente crea y comparte en el blog y redes sociales.