mantenimiento-seguridad-web-wordpress

Mantenimiento de seguridad de una web WordPress

Hoy en día la mayoría de páginas web se realizan con la plataforma WordPress ya que es un CMS que permite fácilemnte tener una buena base para empezar una página web, tanto si el que lo usa es un particular para su blog o para que una empresa de creación y diseño de páginas web lo use para agilizar y abaratar los costes.

El hecho de que sea la herramienta numero uno para la realización de páginas web, hace que también sea el sistema más atacado por los hackers.

 

¿Qué interés tiene un hacker en infectar mi web?

Esta es la gran pregunta de todos nuestros clientes que acuden a nosotros cuando tienen una web infectada nos hacen.

Cuando os imaginéis a un hacker infectando vuestra web, no os imaginéis a un chaval con una sudadera negra con la capucha puesta, en la habitación de casa sus padres, con un portátil lleno de pegatinas.

La mayoría de infecciones de malware a una web WordPress son producidos por un spider (un software mailicoso) para encontrar una vulnerabilidad por la que pueda «colarse» y infectar tu web.

Básicamente infectan tu web para:

Robo de información:

Robo de información personal

  • Contraseñas de accesos
    • Podrán acceder a otros servicios ya que la mayoría de gente utiliza una o dos contraseñas para todos los servicios
  • Contraseñas de emails
    • Una de las más usadas es enviar emails en vuestro nombre. Habitualmente se envían emails reclamando una factura e incluyen un archivo también infectado para multiplicarse directamente en equipos PC
    • Tenemos clientes que han perdido miles de € porque clientes suyos han aceptado realizar un pago a una cuenta o con bitcoins pensando que era un pago a cuenta de los contratos que tenían en curso
  • De redes sociales
    • Muchas veces secuestran un usuario para reclamar una recompensa para liberarlo, amenazando con publicar información que perjudique la identidad digital de la persona o empresa
  • Sistemas de pago y servicios bancarios
    • Esta vertiente cada vez es más difícil de conseguir ya que la mayoría de sistemas de pago tienen sistemas de seguridad, pero aún se escuchan casos
  • Contactos
    • Robo de datos de contacto para múltiples finalidades, especialmente el chantaje

Robo de propiedad intelectual:

  • Documentos de proyectos
  • planos
  • ofertas
  • listados de clientes o proveedores

Podéis imaginar en cada caso que pueden hacer con eso

«Reclutamiento» para generar más infecciones

Al lograr infectar un conjunto de equipos con un malware, controlados por un centro de control, usan tu web para lograr generar más infecciones a mayor escala. Entre los casos más comunes encontramos:

  • Envío de correo SPAM masivo… en tu nombre!
    • Esto es muy peligroso porque los servidores de internet te van a poner en la lista negra de spammers y tus emails llegarán a los destinatarios como spam
  • Minería de bitcoins
    • Para lograr beneficios con bitcoins existe la minería de bitcoins, que requiere una enorme capacidad de trabajo. Si se tiene multitud de webs/servidores infectados, logran tener CPUs gratis para trabajar para ellos
  • Romper contraseñas
  • Atacar ordenadores

¿Cómo se infecta una página web hecha con WordPress?

Estos son los frentes que tienes que tener siempre protegidos:

Contraseñas

– Siempre usa contraseñas fuertes, que utilicen 12 caracteres entre los que haya minúsculas, mayúsculas, números, símbolos
– Eres de los que utiliza una misma contraseña para muchos servicios distintos? Los hackers lo saben y, lograda una contraseña saben que tienen una llave para abrir muchas puertas diferentes… mucho cuidado!
– Recuerda que los navegadores pueden recordar por ti las contraseña, por lo que no pienses que vas a tener que escribir cada ver esa contraseña tan difícil de recordar
– Recuerda que esto afecta a cuentas de email, usuario de tu WordPress, usuario de tu CPanel o Plesk u otro panel de hosting

Web desactualizada

Este es la gran puerta de entrada. Tener una web desactualizada permite a los hackers localizar vulnerabilidades sabidas en plugins y plantillas desactualizados y así poder infectar tu web.

Entonces te preguntarás ¿Sirve darle al botón de actualizar todo siempre que WordPress me avise que hay una actualización disponible?
Si… y no: Si, esa es en si la solución, pero no porque en muchas ocasiones al actualizar se crean incompatibilidades entre distintas partes y la web se cae, muestra una pantalla en blanco o deja de funcionar una de las partes de la web.
Es por eso que las actualizaciones las tiene que hacer un profesional.
Con nuestro servicio de mantenimiento completo, te despreocupas del todo, si tras una actualización algo deja de funcionar, lo arreglamos.

Plugins gratuitos, plantillas «Premium», y páginas web de descarga de plugins «piratillas»

Plugins gratuitos:
Muchas veces estos plugins quedan abandonados por falta de tiempo y recursos de su creador

Plantillas Premium:
Las más populares son las más atacadas. además estas plantillas tienen la mala costumbre de tener mil funcionalidades que no necesitas y eso quiere decir tener miles de líneas de código. Cuanto más código más posibles vulnerabilidades.

SEO SEO, ya no te veo

Además, si no te das cuenta de que tu web está caida (por culpa de la cahcé puedes estar un tiempo viendo la web normal cuando en realidad está caída), Google puede

¿Cómo proteger una web hecha con WordPress?

Lo más importante es hacer un mantenimiento de tu página web y tenerla siempre actualizada, pero esto no siempre es tan facil como puede parecer.

Actualizaciones WordPress

WordPress tiene un sistema de actualizaciones muy completo y fácil de gestionar, pero hay un problema: los plugins y plantilla son de terceras partes.

Esto implica que muchas veces estos no «se entienden» entre ellos de forma que es muy posible que cuando actualices uno de ellos deje de ser compatible con otro que no dispone de actualización, y la web entera o una parte de esta, deje de funcionar.
Algo similar pasa con WordPress. Cuando sale una actualización de WordPress, a veces alguno de los plugins que puedas tener instalados, o la plantilla, puede que no esté actualizado para ofrecer compatibilidad ocn la nueva versión, y esto provoque el mismo resultado anterior, que la web deje de funcionar

Por este motivo es importante que el mantenimiento de una web realizada en WordPress lo haga un profesional. Nuestro servicio de mantenimiento utiliza procesos seguros que garantizan no dejar la web inoperativa.

Antivirus, Firewalls y otros sistemas para frenar ataques

Es importante implementar en una web Wordpres uno o varios sistemas para controlar a los atacantes:

  • Escaneo de la web en busca de archivos infectados con malware
  • Seguimiento del código en busca de vulnerabilidades conocidas para adelantarse a un ataqui, y poder parchear el problema antes de ser infectado
  • Firewalls y otros sistemas para frenar ataques de fuerza bruta, intentos de login administrador…

Más cosas a tener en cuenta

Todo lo anterior no va a servir de nada si dejamos abierta la puerta de la casa, o la dejamos con la llave puesta.
De la misma forma, si usas una contraseña fácil, un usuario dévil, van a poder entrar en tu web y eso es muy peligroso.
Estos son algunos de los consejos a seguir:

  • Usa contraseñas de más de 12 caracteres, entre los que tienen que haber mayúsculas, minúsculas, números y símbolos
  • Nunca uses usuarios como «Admin», «Administrador», «Administrator»
  • Tampoco (y esto es poco conocido) no uses nombres de usuario con el mismo nombre de tu dominio o nombre de empresa

 

Conclusión:

Lo ideal es dejar a una empresa experta en mantenimiento y seguridad que lleven tu pagina web, ya que no solo es un tema muy complejo si no que está en constante evolución, y los riesgos que se corren por tener una página web WordPress insegura pueden salirte muy caros.

Share this post

Share on facebook
Share on google
Share on twitter
Share on linkedin
Share on pinterest
Share on print
Share on email