¿Qué es la seguridad en WordPress?
La seguridad de WordPress es un conjunto de medidas y soluciones implementadas para proteger un sitio web WP del acceso, uso, modificación, destrucción o interrupción no autorizados.
Los procedimientos y protocolos que salvarán tu sitio web de los ciberdelincuentes van más allá de tu sitio web, se extienden a tus servicios de alojamiento web.
Algunas soluciones son estándar (de uso obligatorio), y otras son más avanzadas.
Algunas soluciones «avanzadas» son de uso obligatorio cuando se trata de sitios web que utilizan datos sensibles o necesarios para cumplir distintas normas (por ejemplo, en la banca).
Todas las soluciones son cada vez más importantes a medida que el listón de la seguridad sube más y más.
Lo que hace una década estaba permitido, ahora puede considerarse una mala práctica o totalmente inaceptable.
Principales mitigaciones del riesgo
La Mitigación de Riesgos es la identificación, evaluación y priorización de los riesgos, además de la adopción de medidas para reducir dichos riesgos.
Alrededor del 41% de los ataques a WordPress están causados por vulnerabilidades en la plataforma de alojamiento de WordPress, el 52% de los ataques se producen a causa de plugins.
El 61% de los sitios web WordPress infectados presentan versiones desactualizadas del núcleo de WP.
Esto es sólo la punta del iceberg.
Aunque las empresas de alojamiento de WordPress están informadas de los graves riesgos de seguridad, les sigue resultando difícil proteger los sitios web de sus clientes si éstos siguen ejecutando versiones obsoletas y, por tanto, vulnerables del núcleo de WordPress y, en particular, de sus plugins y temas.
Los riesgos potenciales pueden controlarse totalmente o, al menos, mitigarse parcialmente con las siguientes estrategias:
- Utilizar un alojamiento WP seguro
- Utilizar la última versión publicada de PHP y las últimas versiones de MySQL
- Activar SSL/HTTPS
- Utilizando la última versión del núcleo de WP
- Utilizar plugins y temas actualizados y seguros de fuentes fiables
- Realizar análisis de seguridad periódicos de WordPress
- Utilizar nombres de usuario y contraseñas seguros para todas las cuentas
- Instalar un cortafuegos específico para WP
- Registrar la actividad de los usuarios
- Hacer una copia de seguridad de tu sitio web WP
Lista de comprobación de seguridad de WordPress
Deben tomarse medidas específicas para aplicar las estrategias mencionadas y emprender otras acciones para mejorar tu seguridad.
Ésta es tu lista de comprobación de seguridad para WordPress (cubre los temas principales, pero no está completo)Ten en cuenta que todo lo que figura en la lista debe ser accesible para que te avisen en caso de riesgos potenciales.
¿Estás utilizando la última versión de PHP?
Utilizar la última versión de PHP para tu sitio web WordPress no sólo es la columna vertebral de la seguridad de tu sitio web, sino también de su velocidad, rendimiento y funcionalidad.
Las versiones actualizadas de PHP parchean los riesgos de seguridad y disminuyen la probabilidad de que pirateen tu sitio web.
¿Hay actividades específicas que deban registrarse?
Debes tener acceso a la lista completa de personas (incluidos desarrolladores, clientes, usuarios del sitio web e ingenieros devops), aplicaciones, servicios de terceros y software que tienen acceso al sitio web y al panel de control del alojamiento.
Implementa un sistema de registro que rastree las actividades en el sitio web, para tener información sobre quién se conectó al sitio web, desde dónde y a qué hora. Los registros de accesos y errores también son útiles para controlar y mitigar los riesgos de seguridad.
¿Hay alguna forma de garantizar la seguridad de los plugins y temas de WP?
Ten siempre información sobre las funcionalidades específicas que utilizan los plugins y temas, y mantenlas actualizadas.
Confirma que los plugins y temas son publicados por empresas de confianza y que reciben mantenimiento, están actualizados y son seguros.
Utiliza soluciones de terceros que te informen en caso de que se ejecute un plugin inseguro (con vulnerabilidad descubierta) en tu sitio.
¿Hay alguna funcionalidad no utilizada que esté activa?
Todas las funcionalidades activas que no se utilicen deben desactivarse.
Cuantas menos funcionalidades activas pero no utilizadas haya instaladas en el sitio web, menor será el riesgo de que el sitio web sea pirateado.
¿Tiene tu personal prácticas analíticas de seguridad?
Incluso con las recientes soluciones técnicas que automatizan todas las tareas manuales de seguridad y supervisión, las organizaciones siempre tienen personas detrás de cada aspecto, desde la realización de los negocios hasta la interacción con los clientes.
Precisamente por eso las personas suelen ser los eslabones más débiles de la seguridad de cualquier empresa.
Si organizas cursos de formación para explicarles cómo podría infiltrarse un atacante en tu empresa, aumentarás su concienciación y así minimizarás la posibilidad de que caigan en trampas comunes.
Algunos temas a tratar son los correos electrónicos de phishing y los peligros de las unidades USB y los archivos adjuntos a los correos electrónicos.
¿Realizas sesiones de pruebas orientadas a la seguridad?
De vez en cuando, el equipo técnico debe sentarse junto y centrarse en todas las partes del sitio web, en busca de zonas de desgaste.
Estas sesiones de prueba resultan beneficiosas, ya que tu personal es quien mejor conoce tu aplicación y probablemente conozca los puntos débiles.
Aconsejamos invitar a un pentester externo para que compruebe la seguridad de tu sitio.
¿Te aseguras de que tu personal utiliza cuentas separadas?
Compartir una cuenta de usuario hace difícil comprender quién está utilizando el servicio o identificar quién ha realizado una acción determinada.
Esto hace que sea mucho más difícil reconocer cuándo una parte externa se ha apoderado de una cuenta.
También hace más difícil eliminar el acceso a una cuenta cuando los empleados dejan la empresa, abriendo esa cuenta a posibles abusos.
Análisis de seguridad de WordPress
Antes de idear una estrategia o solución para los riesgos de seguridad de un sitio web, el primer paso, y el más difícil, es localizar todos los aspectos vulnerables a mano.
Realizar un análisis de seguridad de WordPress requiere una serie de procedimientos y procesos estándar.
Incluido:
Definir el alcance de la exploración
Es esencial identificar todos los activos que forman parte del sistema de información de tu organización.
Puedes hacerlo con tu registro de activos, con columnas adicionales para amenazas y vulnerabilidades, para mantener un repositorio centralizado de activos, vulnerabilidades, riesgos y medidas correctoras.
Procedimiento estándar de formación
Construye un procedimiento de escaneado de vulnerabilidades claro y estructurado, con políticas fijas y una estrategia de aplicación.
El procedimiento estándar implica la frecuencia con la que debes realizar escaneos, el tipo de escaneos que necesitas, las soluciones de software y los pasos a seguir una vez finalizado el escaneo.
Hay dos tipos de análisis que puedes realizar según las necesidades de tu sitio web WordPress.
Exploración de vulnerabilidades de la red: exploración del hardware y el software que forman parte de la red, sus canales de comunicación o equipos de red.
Esto incluye concentradores, conmutadores, cortafuegos, enrutadores, servidores web, clusters, etc.
Escaneado de vulnerabilidades basado en aplicaciones – escaneado Sitios de WordPress para detectar vulnerabilidades en el sistema.
Iniciar la exploración, analizar los resultados y canjearlos
Después de escanear tu sitio web WP, las herramientas de escaneo de WordPress generarán automáticamente una lista de prioridades, pero es esencial comprobar si hay falsos positivos o falsos negativos antes de redimir.
Tras la fase analítica, tu prioridad es la redención.
Aspectos de seguridad específicos de WordPress
Cuando tu sitio web es tu negocio, prestar atención a la seguridad de WordPress es tu principal responsabilidad.
WordPress es de código abierto y se actualiza con regularidad.
Pasar por alto las actualizaciones de WordPress podría ser una de las principales causas de futuros problemas de seguridad.
Esto incluye plugins, temas y widgets que pueden necesitar actualizaciones individuales para evitar que se queden obsoletos.
Otros aspectos de seguridad específicos sonUna Capa de Software Segura (SSL), el certificado permite el uso de HTTPS para encriptaciones y autenticaciones.
Esto resulta crucial si tu sitio web implica que los usuarios se registren.
En ese escenario, estás tratando con datos personales que deben ser protegidos. Es una solución imprescindible para infundir confianza a los usuarios de tu sitio web.
Como herramienta de exploración de seguridad, los principales candidatos en este campo son Wordfence y Sucuri.
Estos líderes del sector son plugins de seguridad para WordPress que incluyen el escaneado de seguridad como una de sus técnicas para mantener seguro tu sitio web WordPress y diagnosticar vulnerabilidades.
Las características de cualquiera de las dos soluciones también permiten una instalación segura de WordPress, la creación de copias de seguridad, la gestión de cortafuegos, la exportación de informes, etc.
Otras herramientas de análisis de seguridad de WordPress son (por orden) WebARX, WPScan Shield Security, Tinfoil Security, SQLmap, WPScan, Google Safe Browsing, etc.
Aunque difieren ligeramente en sus procesos, el objetivo colectivo de cada escáner es diagnosticar vulnerabilidades en tu sitio web WordPress.