3 Razones por las que los sitios web de WordPress están pirateados + Cómo asegurar el tuyo

Si está ejecutando un sitio web con WordPress, tiene un riesgo mucho mayor de ser pirateado. WordPress controla alrededor del 27% de los sitios web del mundo y tiene alrededor del 59% de la cuota de mercado del sistema de gestión de contenido (CMS) del mundo.


WordPress no es utilizado únicamente por bloggers o webmasters sin experiencia.. Las siguientes compañías principales usan WordPress para impulsar sus sitios web:

  • Bloomberg
  • BBC America
  • MTV News
  • Estación de juegos
  • Disney
  • Variedad
  • Sony Music

Según la compañía de seguridad de sitios web de Internet Sucuri, WordPress representó el 83% de las infecciones de CMS registradas en 2017, frente al 74% en 2016. ¿Por qué los sitios web de WordPress son tan populares entre los piratas informáticos? Para empezar, la plataforma es famosa por tener toneladas de vulnerabilidades derivadas principalmente de su programación de código abierto.

Luego, WordPress tiene una participación tan grande en el mercado, lo que hace que sea mucho más rentable para los hackers apuntar a la plataforma. Más de 75 millones de sitios web usan WordPress, por lo que está listo para la piratería.

Desafortunadamente, gran parte de por qué WordPress es tan popular para hackear es por sus usuarios. Los usuarios de WordPress cometen muchos errores cuando crean un sitio web, y estos errores provocan que el sitio web sea pirateado. Estas son las tres razones principales por las que los webmasters de WordPress son pirateados, y luego qué puede hacer para asegurar su sitio web.

Falla n. ° 1: eligió un proveedor de alojamiento de calidad inferior

Obtienes lo que pagas y numerosos hosts de sitios web “baratos” también escatiman en muchas características que son esenciales para proteger su sitio web adecuadamente. Los piratas informáticos lo saben y se dirigen a hosts de sitios web de calidad inferior y a sitios web alojados en ellos..

Los proveedores de alojamiento de sitios web de calidad inferior generalmente exhiben los siguientes rasgos:

  • Proporcione copias de seguridad solo una vez a la semana, o ninguna copia de seguridad
  • No es compatible con las últimas versiones de MySQL o PHP
  • No escanee en busca de malware
  • No ofrezca un firewall o protección DDoS
  • No proporcione protección de directorio
  • Tener una garantía de tiempo de actividad del 99,9% o inferior (los mejores proveedores deben ser del 99,99% o mejores)

Si el host de un sitio web es deficiente en un área u ofrece características inferiores en al menos un plan de servicio, entonces considere todo el host deficiente.. Incluso si los piratas informáticos no pueden hackear su sitio web directamente, aún pueden causar estragos en su servidor web, lo que finalmente afecta su rendimiento. Lea más sobre los mejores servicios de alojamiento de sitios web aquí.

Hosting pirateado

Falla n. ° 2: instaló temas o complementos defectuosos

De acuerdo con WP Template, aproximadamente el 29% de los hacks provienen de un tema inseguro y el 22% proviene de complementos vulnerables. La plantilla o el complemento pueden estar desactualizados o programados por alguien que no sea consciente de la seguridad. Los hackers aprovecharán cualquier vulnerabilidad que puedan encontrar para intentar hackear su sitio web.

En 2015, por ejemplo, se descubrió una vulnerabilidad importante en la aplicación WP Slimstat 3.9.5 que dejó más de 1 millón de sitios web susceptibles de ser pirateados. La vulnerabilidad permitió a los ciberatacantes descifrar la clave secreta del complemento y realizar inyecciones SQL que permitieron a los piratas informáticos hacerse cargo de los sitios web.

Otra vulnerabilidad importante se encontró en la popular aplicación de fotos TimThumb en 2012. Una vulnerabilidad en la función de “cambio de tamaño de imagen externa” permitió a los piratas informáticos inyectar código PHP en servidores web. El desarrollador de la aplicación incluso admitió que se había convertido en una víctima de piratería debido a la aplicación defectuosa y finalmente dejó de desarrollarla.

Si estos ejemplos de vulnerabilidades no son alarmantes, tenga en cuenta que También debe lidiar con temas y complementos que son distribuidos por hackers y sitios web de malware. Dado que WordPress es de código abierto, cualquiera puede crear y distribuir software para WordPress. Por lo general, se hacen pasar por aplicaciones útiles y, en muchos casos, proporcionan la funcionalidad prometida. Los programas también incluyen código adicional que permite a un hacker penetrar en su sitio web o usarlo para propagar malware, redirigir a los usuarios a sitios web y más.

Falla n. ° 3: eres un vago como administrador

Otra razón común por la que los sitios web de WordPress son pirateados es que los administradores del sitio web están eludiendo sus responsabilidades y no mantienen sus sitios web lo más seguros posible. Esto implica algo o incluso todo lo siguiente:

  • No usar contraseñas seguras
  • Error al proteger el directorio wp-admin
  • No actualizar WordPress regularmente
  • No actualizar los temas o complementos regularmente
  • Otorgar permisos de archivo incorrectos a cuentas de usuario
  • Usando FTP estándar sobre SFTP o SSH

Los primeros cuatro son los déficits más comunes para los administradores.. Usan una contraseña débil o no actualizan WordPress, sus temas o complementos regularmente. Las actualizaciones periódicas aseguran que obtenga la última versión, que a menudo incluye actualizaciones de seguridad.

Menos comunes, pero aún problemáticos, son los permisos de archivos y el uso inseguro de FTP. Si los permisos de archivo o directorio no están configurados correctamente, entonces los piratas informáticos pueden obtener acceso de lectura y escritura a su sitio web. Además, si utiliza FTP estándar a través de SFTP o SSH, está solicitando ser pirateado, ya que el FTP estándar envía contraseñas sin cifrar a su servidor web. Si los piratas informáticos están olfateando el sitio web, pueden robar sus contraseñas.

La guía básica para evitar la mayoría de los hacks de WordPress

Si está buscando evitar que su sitio web de WordPress sea pirateado, hay varios pasos que puede seguir para protegerse. La mayoría son pasos simples, pero requieren una acción consistente de tu parte.

Mejor práctica n. ° 1: elija un alojamiento de calidad

Esto no es solo un cliché. Demasiados servidores de sitios web ofrecen características deficientes para ganar dinero rápido mientras te dejan en gran medida desprotegido. Busque un proveedor que proporcione copias de seguridad diarias, protección antivirus y contra malware, las últimas versiones de PHP y MySQL, protección anti-DDoS y directorios seguros como características estándar para todos los planes..

alojamiento de calidad

Además, considere elegir un host que ya sea conocido por estar optimizado para WordPress. Eso no significa que ofrezca un autoinstalador o que sea compatible con WordPress. Significa que proporcionan personalizaciones de WordPress junto con herramientas y personal de soporte que tienen conocimiento para ayudarlo a construir y proteger su sitio web..

La opción más obvia para el alojamiento optimizado para WordPress sería WordPress.com. Ofrece planes de alojamiento de WordPress gratuitos y de pago. Para obtener más información, consulte nuestra revisión experta o visite su página de precios.

Otros proveedores que incluyen hosting optimizado para WordPress incluyen:

  • Hostinger
  • Ve papi
  • iPage
  • Hosting InMotion
  • SiteGround

Nuestro artículo sobre el mejor alojamiento de sitios web para WordPress muestra más ejemplos.

Práctica recomendada n.º 2: tenga cuidado con los complementos y temas que instale

primero, desea instalar y ejecutar la menor cantidad posible de complementos de WordPress para reducir la cantidad de riesgos potenciales para su sitio web. Elimine o deshabilite cualquier complemento en su backend de WordPress que no necesite para su sitio web.

próximo, solo instale complementos y temas de fuentes confiables. Del mismo modo que no descargaría automáticamente un programa ni abriría un archivo adjunto de correo electrónico de una parte desconocida, debe mantenerse alejado de los complementos y temas de fuentes que no son bien conocidas..

WordPress.org es el último directorio de complementos seguros. Todos los complementos enumerados en su sección Complementos generalmente se prueban exhaustivamente y se consideran seguros. Choose Plugin es otra fuente de complementos que sirve como base de datos de los complementos de WordPress disponibles. También le brinda información que puede ayudarlo a determinar si un complemento es seguro, incluida la última actualización, calificación, descargas totales, instalaciones activas y más.

Además, hay muchas formas de probar sus complementos y temas antes de instalarlos. Instale Plugin Check y Theme Check en su sitio web para buscar regularmente temas y complementos defectuosos. Sucuri ofrece una base de datos de complementos con vulnerabilidades conocidas que debe considerar verificar antes de instalar un complemento sospechoso.

Al instalar complementos o temas, hay algunas cosas a tener en cuenta antes de descargar. Si encuentra algo de lo siguiente sobre un complemento, busque uno diferente:

  • Un historial de problemas, seguridad u otros
  • Incompatibilidad con la versión actual de WordPress
  • Actualizaciones poco frecuentes o no se han actualizado en mucho tiempo
  • Un gran porcentaje de malas críticas
  • Falta de soporte o documentación
  • Informes de hosts que prohíben el complemento

Mejor práctica # 3: Tómese en serio sus deberes administrativos

Si no se toma en serio sus deberes como administrador, ¿por qué molestarse en crear un sitio web? Simplemente contrate a alguien más para hacer el trabajo. Si desea mantener su sitio web seguro, debe hacer todo lo siguiente:

  • Use contraseñas seguras y cámbielas regularmente. No los uses para nada más.
  • Actualice regularmente sus WordPress, temas y complementos a la última versión.
  • Proteja sus directorios de WordPress y habilite los permisos correctos en todos los archivos y directorios.
  • Nunca use FTP estándar para cargar archivos.
  • Oculte su página de inicio de sesión y el número de versión de WordPress, y desactive el complemento y el editor de temas.

Además, como un paso adicional, deshabilite los informes PHP para su sitio web. Los temas y los complementos brindan información en errores que pueden ser explotados. Al deshabilitar los informes, bloquea aún más su sitio web contra posibles amenazas.

Estos no son pasos únicos para tomar. Son tareas regulares que debe realizar varias veces al año, si no al menos mensualmente.

¿Qué es lo peor que puede pasar? No quieres averiguarlo!

Algunos de ustedes probablemente piensen que ser pirateado no es gran cosa o que su sitio web no es lo suficientemente importante como para ser pirateado. Pensé lo mismo en 2010. Desafortunadamente, ese año descubrí por las malas qué puede pasar cuando su sitio web de WordPress es pirateado..

Mi sitio web fue pirateado y utilizado para distribuir malware. Mi proveedor tenía una política estricta sobre los sitios web que propagaban malware, por lo que el mío fue desconectado. Todos mis archivos se borraron y mis copias de seguridad se eliminaron del sistema. Casi cuatro años de trabajo que había realizado en el sitio web desaparecieron en cuestión de horas..

Cuando no puede asegurar su sitio web, corre el riesgo de perder su sitio web junto con su reputación. Personalmente, perdí un cliente importante, pero fue una valiosa lección aprendida. Al tomarse el tiempo para proteger su sitio web ahora contra ataques informáticos, protegerá los datos de su sitio web, así como su reputación ganada con tanto esfuerzo.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map