WordPress es un CMS tan extendido que eso ha hecho que se vuelva el objetivo de muchos hackers y atacantes, es decir, la cuota de mercado de WordPress es tan alta que ahora mismo hay muchos atacantes buscando vulnerabilidades y fallos de seguridad. Esto hace que en WordPress los problemas de seguridad aparezcan muchísimo más rápido que en otras plataformas y CMS, pero también hace que tengamos que ser muy estrictos con la seguridad, ya que el mínimo error o descuido puede provocar un agujero de seguridad por el que pueden atacarnos. ¿Quieres saber qué es un malware en WordPress y cómo debes protegerte? En este post de Online Zebra te contamos todo lo que debes saber para evitar estos temidos ataques.
Contenidos
- 1 ¿Qué es malware?
- 2 ¿Cómo entra un malware a tu página web?
- 3 Cómo proteger tu web de ataques de malware
- 3.1 1. No utilices el prefijo wp_ para la base de datos
- 3.2 2. No utilices el usuario admin para acceder a WordPress
- 3.3 3. Utiliza una contraseña fuerte
- 3.4 4. Usa siempre la última versión de WordPress
- 3.5 5. Actualiza los plugins instalados
- 3.6 6. Actualiza el tema activo
- 3.7 7. Descarga plugins y temas de sitios seguros
- 3.8 8. Protege el archivo de configuración de WordPress
¿Qué es malware?
Malware significa «software malicioso». Es un término que engloba cualquier software dañino que los hackers utilizan para obtener acceso no autorizado o dañar tu sitio web de WordPress. Puede afectar negativamente a tu sitio de muchas maneras y supone un grave riesgo de seguridad tanto para ti como para los visitantes de tu sitio web. Si el malware está presente en tu sitio web, normalmente lo sabrás. Podrías notar señales como:
- El rendimiento de tu sitio web se ha ralentizado.
- Los visitantes de tu sitio web ven un error de «Presente sitio contiene malware».
- Hay archivos o scripts desconocidos en tu servidor.
- Tus páginas están desfiguradas o llenas de enlaces dañinos.
- No puedes iniciar sesión.
- Tu sitio web genera ventanas emergentes no deseadas.
Aunque todos estos problemas pueden tener múltiples causas, si observas uno o más de ellos, merece la pena investigar la posibilidad de que el malware haya infectado tu sitio.
¿Cómo entra un malware a tu página web?
Seguramente muchos de los que escribáis blogs usáis WordPress, ya que quizás, es la plataforma más famosa para la edición de blogs que existe en la red. Y normalmente, el software y las aplicaciones más usadas en la red, son las que más “enemigos” suelen tener, debido sobre todo a que un ataque a estos gigantes de internet tiene muchas más repercusión.
El malware puede instalarse en los sitios de WordPress de muchas maneras. Normalmente, un hacker o un bot explotan alguna vulnerabilidad de seguridad. Por ejemplo, si no tienes medidas de seguridad para evitar repetidos intentos de inicio de sesión incorrectos, o si tu contraseña es débil, un hacker puede acceder a tu sitio. Entonces pueden instalar el malware mediante un ataque de fuerza bruta. Esto ocurre cuando un bot recorre cientos de combinaciones de nombre de usuario y contraseña en tu página de inicio de sesión hasta dar con la correcta.
Los plugins y temas desactualizados también son vulnerabilidades de seguridad que los hackers pueden explotar. Las redes de bots buscan en Internet sitios web con estas vulnerabilidades y las utilizan para instalar malware.
El malware también puede infiltrarse en tu sitio web a través de enlaces de phishing. Puede ocurrir si haces clic accidentalmente en un enlace de phishing en un correo electrónico o visitas un sitio web comprometido. Al hacerlo, puedes descargar inadvertidamente software malicioso en tu ordenador. Éste puede llegar a tu servidor de WordPress.
Cómo proteger tu web de ataques de malware
Muchos dicen que WordPress NO es seguro, pero esto realmente es mentira. Simplemente, como decíamos anteriormente, estamos hablando del CMS más utilizado del mundo y, por lo tanto, es normal que le encuentren más vulnerabilidades. Pero eso no quiere decir que haya más, sino que se encuentran de forma más “fluida” y regular.
Desde Online Zebra, hemos hecho una recopilación de recomendaciones para proteger al máximo tu WordPress, para que puedas ver cuáles de estas acciones puedes hacer para estar mucho más protegido.
1. No utilices el prefijo wp_ para la base de datos
Desde el primer momento de la instalación de WordPress tienes que especificar una serie de información que tienes que introducir para que WordPress se comunique con la base de datos.
La mayoría de esa información te la facilita tu proveedor de alojamiento, como el nombre de la base de datos, el usuario y contraseña de la misma. Pero sí hay una decisión que tomar: decidir el prefijo de las tablas que se crearán para WordPress. Por defecto, en esta pantalla el prefijo ofrecido es wp_, de manera que tus tablas quedarán tal que wp_options, wp_comments, wp_posts, etc.
Y, por supuesto, esto es algo que todo hacker sabe, y es información gratuita que damos a cualquier posible atacante, que sabe que si no haces una instalación segura las tablas de WordPress – que son estándar – tendrán esos nombres completos si no cambias el prefijo.
2. No utilices el usuario admin para acceder a WordPress
Otra de las decisiones que tenemos que tomar durante la instalación de WordPress es el nombre del primer usuario para acceder a la administración de nuestra web, usuario que por defecto tendrá permisos totales de gestión de la misma.
Durante años WordPress ha ofrecido un nombre de usuario por defecto que, por supuesto, no debes utilizar. Así que en el momento de elegir el nombre de tu primer usuario para acceder a WordPress no elijas aquellos nombres comunes para esta tarea, como admin, Admin, root, etc., ya que son los primeros que comprobará un hacker que quiera tomar posesión de tu web.
3. Utiliza una contraseña fuerte
Es fundamental que seas consciente de que cuanto más fácil de recordar (para ti) sea una contraseña, también será más fácil que los sistemas automáticos de acceso por fuerza bruta de los atacantes la consigan.
WordPress, en sus últimas versiones, incorpora un generador de contraseñas seguras y te «sugiere» utilizarlas. Ésta será siempre la mejor opción. Puedes, no obstante, saltarte esa recomendación y poner una contraseña sencilla, e insegura, pero estarías cometiendo el principal y más importante error de seguridad de todos los posibles.
Actualmente es innecesario utilizar contraseñas fáciles, pues todos los navegadores ofrecen la posibilidad de recordarlas por ti en tu ordenador. Así que usa siempre contraseñas seguras, que contengan letras en minúsculas, mayúsculas, números y caracteres especiales.
4. Usa siempre la última versión de WordPress
Si hay algo peligroso es trabajar en red con software obsoleto o no suficientemente actualizado. Los hackers suelen atacar principalmente sitios con versiones antiguas, no actualizadas, pues suelen ser más vulnerables al no incorporar la suficiente protección a tipos de ataque conocidos.
Afortunadamente, WordPress ofrece un sistema de actualizaciones automáticas, tanto para el mismo núcleo de WordPress como para plugins y temas.
5. Actualiza los plugins instalados
WordPress es seguro, y es normal que así sea porque hay una gran comunidad que se ocupa de su mantenimiento, desarrollo y crecimiento, pero no pasa lo mismo con los plugins.
Por muy utilizado que sea un plugin, muchas veces detrás hay un único programador que, por razones obvias, no dispone de los recursos ni el tiempo necesarios para tener siempre su plugin al día.
Es por ese motivo que la principal vía de entrada de ataques a una instalación WordPress es en su mayoría a través de plugins sin actualizar.
6. Actualiza el tema activo
Igualmente importante es usar siempre una versión actualizada del tema activo, pues los hackers saben que no se suelen cambiar muy a menudo, lo que les da tiempo para aprender de su código e inventarse modos de hacerte la vida más complicada e incluso meterte en problemas.
Si usas un tema del directorio oficial, de nuevo, WordPress te avisará de las actualizaciones. Y si utilizas un plugin que hayas adquirido en otro sitio deberás estar pendiente de las noticias de su creador para actualizarlo cuando haya novedades.
7. Descarga plugins y temas de sitios seguros
El sitio más seguro para descargar plugins y temas es el directorio oficial, en cuyas direcciones tienes versiones actualizadas, comprobadas y seguras de los últimos desarrollos. Son los temas y plugins que puedes instalar desde el instalador incluido en tu WordPress.
Por supuesto, nunca descargues plugins y temas de las redes P2P como Torrent o eMule, suelen estar todos infectados de virus y malware.
8. Protege el archivo de configuración de WordPress
El archivo de configuración de WordPress, el fichero wp-config.php, contiene información muy sensible sobre tu servidor. Por este motivo es vital protegerlo de miradas ajenas y, por supuesto, de modificaciones no deseadas.
→ Te recordamos que en Online Zebra, como Agencia de Marketing Online conocemos a la perfección todos los tips que debes seguir para que tu sitio de WordPress no sufra ningún malware. Si quieres más información en profundidad sobre cómo proteger tu página web de WordPress contacta con nosotros.
0 comentarios