Con frecuencia, veo a clientes preocupados por sus sitios WordPress en cuanto a la seguridad y, es normal, hoy en día tener una web WordPress en Internet conlleva una gran responsabilidad, tiempo, dinero y mucho esfuerzo cuanto menos.
Cuando hablamos de ciberseguridad todos pensamos en que detrás de la pantalla existe un mundo lleno de piratas informáticos o seres súper malignos de otro planeta dispuestos a triturar tu sitio web o negocio en cuestión de segundos.
Aunque a veces la realidad supera a la ficción, lo cierto es que sin darnos cuenta, en muchas ocasiones les dejamos la puerta de casa totalmente abierta y con las llaves puestas en la puerta del coche para que entren y se muevan como les plazca con total libertad.
Hoy en día existen muchas formas de vulnerar las medidas de protección básicas por diferentes motivos.
En ocasiones, una mala gestión de nuestros plugins, las actualizaciones en nuestra web, las medidas de seguridad del alojamiento o incluso, puede ser que tú mismo seas la causa de ello y aún peor, que no lo sepas.
Si eres de a los que les preocupa que los “malos” no puedan romper, acceder (y un sinfín de acciones más) tu web, ¡quédate unos minutos y ponle freno!
¿Qué son los bugs?
Cuando escuchas a un amigo o al desarrollador de tu web utilizar la palabra bug, no se refiere al término inglés de insecto, sino a que tu sitio web usa plugins o versiones antiguas de WordPress que tienen fallos de programación y lo utilizan los "malos" para modificar tu página web en WordPress.
En sí mismo, esto no es algo negativo, ya que el hecho de que se encuentren bugs hace que la herramienta mejore cada día, tenga nuevas funciones, consuma menos, se realicen mejoras a nivel de seguridad, etc.
Piensa que, como todo a lo largo de la vida, nada permanece fijo e inmóvil, las aplicaciones también crecen con el tiempo.
Sin embargo, esto a su vez puede convertirse en algo peligroso ya que pueden poner en riesgo la información privada de tu sitio o conceder accesos no autorizados a terceras personas. A veces puedes detectarlo en el mismo momento en el que se producen porque lo ves a través de la pantalla pero en otras ocasiones, te lo reportan tus clientes o usuarios.
En WordPress encontrarás bugs principalmente en los ficheros del core, en tu tema y sobre todo en los plugins. No es de extrañar al ver que más del 70 % de los sitios WordPress han visto su seguridad comprometida a causa de los plugins.
Te pongo un ejemplo real, hace unos días en el área de soporte de Webempresa recibimos consultas de diferentes clientes donde nos reportaron que sus web WordPress estaban caídas sin haber hecho ellos ningún cambio.
Al acceder, efectivamente, veíamos que las páginas WordPress no cargaban indicando el conocido error de conexión con la base de datos.
En este momento, el equipo de sysadmins entró en acción y comenzó a investigar cada caso para ver si había algún tipo de similitud o causa común entre todos ellos.
Encontraron un patrón que se repetía en todos los casos reportados por los clientes.
El fichero de configuración de WordPress wp-config.php quedaba vacío y los dos grandes sospechosos de estos sucesos eran unos ficheros llamados installer.php y installer-backup.php en la cuenta de hosting del cliente.
Al revisar estos dos ficheros, comprobaron que ambos tenían relación con el plugin Duplicator y se utilizan principalmente para temas de copias de seguridad en WordPress.
Pues bien, el bug de este plugin era que mediante estos ficheros php, aunque no le indicases la copia de seguridad, el programa ; al no tener ninguna seguridad extra para acceder desde el navegador de forma pública, cualquier persona que conociera la ruta podía generar este fallo en tu sitio WordPress y por tanto, originar ese error en la base de datos.
Los chicos de Wordfence lo reportaron en su web de forma detallada (en inglés).
Como te puedes imaginar, es un problema grande porque este plugin tiene ni más ni menos que más de 10.000.000 de descargas, más de 1 millón de descargas activas y un rating de 5 estrellas en el repositorio de WordPress, ¡ni en las películas de zombies hay una plaga tan grande!
Con el fin de que no hubiera más afectados, decidieron tomar medidas de seguridad urgentes a nivel de servidor aplicando reglas personalizadas a nivel de Firewall, bloqueando el uso de estos ficheros hasta que el desarrollador del plugin realice una corrección en el plugin y lo suba al repositorio de WordPress.
Al mismo tiempo, prepararon un programa para autorreparar lo que el bug había roto de forma automática en base al patrón de búsqueda que habían encontrado.
Con ello, se aseguraron que no hubiera ningún afectado más en todos los servidores y que los malos ya no pudieran aprovecharse de ese defecto en ningún sitio WordPress alojado en Webempresa.
¿Cómo puedo mejorar la seguridad en mi WordPress?
Para mantener tu WordPress seguro, fuera alcance de los malos, no hace falta ser un gran experto en la materia, te recomiendo que sigas estas recomendaciones que son las mínimas que debes de cumplir en tu sitio web:
- Mantén todos tus plugins y tema actualizados.
- Actualiza WordPress a la última versión.
- No instales plugins que no sean compatibles con tu versión o tengan más de 2 años de antigüedad.
- Activa https en tu sitio WordPress.
- Realiza copias de seguridad.
Si eres de los que te apasionan estos temas, te sugiero que eche un vistazo a estos enlaces de nuestro blog:
¿Qué es un backup y cómo hacerlo en mi web WordPress?
Activar SSL (https) en WordPress
WP Doctor para WordPress toma el pulso a 50.000 webs
Recuerda que si estás alojado en nuestro Hosting, dispones también de una herramienta que actualmente está en desarrollo llamada WPCenter.
La encontrarás en tu panel de Hosting cPanel y está dedicada a la gestión y mantenimiento de WordPress.
Medidas proactivas en el Hosting
Lo sé, te estarás preguntando: ¿cómo protegieron los administradores todas las webs WordPress alojada en todos los servidores ante una plaga de tal magnitud?
Como ya te adelantaba, crearon unas reglas de seguridad personalizadas en el Firewall del servidor conocido como WAF y las replicaron por todos los servidores de Webempresa con el fin de erradicar el bug del plugin Duplicator.
WAF (Web Application Firewall) es una abreviación en inglés que significa firewall para aplicaciones web y como te puedes imaginar, su función diaria es la de vigilar todo el tráfico que entra y sale de tu web WordPress y rechaza todo tipo de peticiones procedentes de personas que sean sospechosas o que intenten traer algo malicioso en tu web.
Esto lo consigue a través de una serie de reglas.
Para que te hagas una idea más visual, es el segurata que vigila todo lo que entra y sale de tu web.
Es muy importante que sepas que no todos los proveedores de Hosting toman estas medidas de seguridad y antes de contratar un plan de Hosting asegúrate de que te ofrecen este tipo de seguridad.
En Webempresa usamos ModSecurity que está integrado con el panel de administración del Hosting cPanel.
Una de las ventajas que tiene ModSecuriy es que además de vigilar y bloquear el tráfico no deseado en tu web puedes añadir listas de reglas realizadas por otros proveedores como COMODO o Atomic con el fin de darle seguridad adicional a tu web además de las reglas que tu mismo crees.
Éstas permiten bloquear una gran cantidad de ataques a tu web, es decir, previenen a través de listas actualizadas de reglas y al mismo tiempo bloquean, ¡están bien adiestradas!
En Webempresa tenemos muchísimas reglas personalizadas propias de seguridad, continuamente implementamos nuevas reglas en todos nuestros servidores para que puedas dormir tranquilo todas las noches. ;)
La seguridad empieza desde casa
¿Estoy protegido en casa? ¿Usas la misma contraseña tanto para acceder al banco como al Facebook?, ¿accedes a tus cuentas bancarias desde cualquier red de Internet?
Si tu respuesta a algunas de estas preguntas es un sí, me apuesto unas cervezas contigo a que no usas una conexión de Internet totalmente segura y cifrada que evite que te puedan captar o robas datos en tu red, escribes todas tus contraseñas manualmente y son fáciles de adivinar y lo más importante, estoy seguro que tu ordenador, dispositivo o móvil no están securizados correctamente.
Podríamos escribir varios artículos sobre estos temas pero me temo que mucha información quedaría en el aire. En este caso, desde Webempresa te queremos enseñar a cómo protegerte usando una herramienta que a la vez te ayuda con todos estos temas, revisa nuestro CiberProtector
CiberProtector es una nueva aplicación para hacer tu vida online más segura y protegida sin necesidad de ser informático o tener grandes conocimientos de sistemas. Está disponible para Windows, macOS, IOS y Android.
Te permite, en un solo programa, disponer de seguridad en todos tus equipos, el uso de una conexión de Internet totalmente segura a través de VPN y un gestor propio de contraseñas para que no tengas que volver a introducirlas, ¡ya no hay excusa para estar protegido!
Conclusiones
En mi opinión, todas las medidas de seguridad son importantes: desde las que aplicamos como usuarios a nuestros sitios WordPress, como las que se implementan dede el propio servidor y las que están relacionadas con nosotros mismos.
Es cierto que no hay nada seguro al 100% en internet, pero aplicando los consejos que comparto contigo en este artículo conseguirás en un alto porcentaje reducir la posibilidad de que los malos entren y manipulen tu sitio WordPress.
Es muy importante que estos tres pilares estén equilibrados, sobre todo, la parte de medidas de seguridad que te aporte tu proveedor de Hosting.
Elegir un buen hosting no es fácil, pero sea cual sea tu decisión, asegúrate de que cumpla unos mínimos estándares de seguridad o mañana puede salir un nuevo bug a través de unos de tus plugins y comprometer tu negocio o la información de tus clientes. O peor aún, puedes despertarte y ver que tu web está sin servicio.
¡No te la juegues y dedica unos minutos a repasar la seguridad de tu WordPress!