Wordpress (WP) la plataforma de Content Management System (CMS) más popular del mundo ( 20% del total de sitio en el mundo la utilizan y el 60% de las web con CMS, ver infografía) , ha abierto la posibilidad de que cada cual pueda administrar su propio sitio, editando contenidos e incluso creando nuevas páginas, pero su popularidad la ha transformado a la vez en el blanco favorito de los hackers. Según un estudio de Sitelock, la reconocida empresa a nivel mundial en seguridad, un sitio sufre un promedio de 44 ataques diarios.
Al ser Wordpress una plataforma de código abierto, donde miles de personas alrededor del mundo aportan sus propios desarrollos para plantillas (existen más de 12.000), plugins ( + de 34.000) y otros elementos fundamentales para WP, los sitios se ven expuestos a vulnerabilidades heredadas de dichos elementos.
Como empresa que ofrece servicios de webmaster, soporte y mantención, hemos observado un incremento en las solicitudes por parte de nuestros clientes de asistencia que han sufrido alguna clase de ataque. Suena a Star Wars, pero es una realidad y como tal hay que tomar las medidas necesarias para poder disminuir las vulnerabilidades de nuestro sitio web y evitar vernos en una situación complicada, sin arreglo o muy costosa.
En Goose nos preocupa la seguridad de nuestros clientes por lo que hemos confeccionado un checklist de las 10 medidas básicas para proteger un sitio de mejor manera aumentando de manera considerable su seguridad:
1. Contraseñas más seguras
Un ataque de fuerza bruta es básicamente un programa ejecutándose en un ordenador, que hace pruebas continuas de combinaciones de contraseñas contra una web, hasta que encuentra la correcta.
Para evitar estos ataques, debemos crear contraseñas complejas que combinen mayúsculas, minúsculas y caracteres alfanuméricos.
2. Usuarios más seguros
Al Igual que las claves, los usuarios también deben ser más complejos de descifrar, jamás utilizar ¨admin¨ o ¨administrador, sino que debemos seguir la misma lógica en la medida N.1.
3. Limitar intentos de login
Limitar la cantidad de veces que uno puede intentar ingresar al administrador, evitará que un ataque de fuerza bruta pueda ocurrir. Esta medida aumenta de manera significativa la seguridad del login al administrador de nuestro sitio web.
4. Cambio en la ruta del administrador
Los hackers irán directo a la url wp-admin que viene por defecto en WordPress para intentar entrar, es por ello que debemos cambiar la ruta por una diferente.
5. Instalar un captcha para el login
Otra forma de evitar ataques de fuerza bruta (efectuados con bots) en el login es instalando un captcha. Un bot tendrá dificultad resolviendo ecuaciones matemáticas.
6. Configuración de WordPress y plugins
Cuando un software anuncia una nueva versión de si, ésta se debe en general a que han detectado una vulnerabilidad o falla, la cual ha sido corregida y por lanzan una nueva versión, es por esto que es importante mantener todo actualizado. Por otra parte la mayoría de las infecciones por malware o código malicioso provienen de plugins de mala reputación, desactualizados o mal configurados, hay que mantenerlos actualizados, eliminar los que tu sitio no ocupa o que son innecesarios y reemplazar los de mala calidad.
7. Plantillas piratas
Al hacer uso de un tema o plantilla, no hay que arriesgarse con plantillas gratuitas o de dudosa proveniencia. La cantidad de código malicioso en este tipo de plantillas es descomunal y es uno de los puntos de vulnerabilidad más comunes. Al igual que WordPress y los plugins, los temas también deben mantenerse actualizados para mejorar la salud de tu sitio web.
8. Copias de seguridad
Las copias de seguridad, respaldos o también llamados ¨back ups¨ son fundamentales. Esta es la medida más importante de toda. Deben ser recurrentes y de calidad. Estas deben ser almacenadas en diferentes lugares, serán lo único que te permita recuperar tu sitio ante el peor de los escenarios. En Goose ofrecemos un servicio llamado WEBSAFE que se encarga de este ítem, escríbenos para saber más. Como dicen por ahí el respaldo más caro es el que no se hace.
9. Enfrentar el SPAM
Wordpress en sus inicios era una herramienta para blogs y como tal en su estrcutura permite comentarios tanto en páginas como blogs. Esto representa una puerta de entrada para comentarios SPAM que podrían poner en riesgo tu sitio. Para ello se deben tomar medidas anti-spam para mantener esos comentarios peligrosos a raya.
10. Servidor de buena calidad
Elegir un hosting no es fácil, y muchas veces la decisión para por el precio (el más barato), pero eso no garantiza que sea un servicio fiable. La seguridad, la velocidad, el soporte, son factores fundamentales a analizar a la hora de contratar este tipo de servicios. Un hosting con malas medidas de mantenimiento o seguridad puede infectar a todos los sitios ahí alojados, el tuyo incluido. La caída del servidor puede dejarte sin sitio web por días trayendo consecuencias directas para tu negocio. Por lo tanto hazte asesorar a la hora de elegir un hosting para alojar tu sitio web.
No contar con estas medidas exponen a un sitio web a ser blanco de un ataque en el cual podemos sufrir el robo de información confidencial o delicada de nuestros clientes, sufrir desconfiguraciones en el sitio empeorando la experiencia de navegación de quienes nos visitan , hasta perder por completo todo el sitio sin opciones de recuperarlo y dejando como única posibilidad volver a hacerlo desde la nada.
Te invitamos a usar este check list y ver cómo está tu sitio en términos de seguridad. Esperamos que estas recomendaciones sean de ayuda para hacer ese diagnóstico y tomar las medidas necesarias. Recuerda que en Goose, siempre podremos ofrecer nuestra ayuda y consejo.
Goose Bye!