El pasado mes de noviembre, más de un millón de clientes de WordPress gestionado por GoDaddy fueron partícipes de una brecha que podría haber expuesto sus direcciones de correo electrónico, claves SSL privadas y contraseñas de administrador. Al parecer, el atacante pudo operar sin ser detectado dentro de sus redes durante dos meses enteros.

WordPress tiene una larga historia de ser un objetivo muy rico y deseable para los exploits. Por ejemplo, una red de bots utilizó servidores de WordPress comprometidos para atacar a otros en 2018. Esto se debe a que el software se basa en la ejecución de una serie de scripts PHP, que es un lugar popular para los hackers. El gran número de componentes diferentes, incluyendo plug-ins, temas y otros scripts, hacen que sea difícil prevenir posibles infecciones o compromisos. Este sitio enumera otras numerosas vulnerabilidades que se han encontrado, sobre todo en versiones antiguas de WordPress.

Además, hay que tener en cuenta el error humano. Muchos sitios de WordPress están ejecutando versiones antiguas que podrían estar atrasadas con respecto a varias versiones importantes, lo que lleva a que las vulnerabilidades de seguridad queden sin parchear. Además, algunos administradores no tienen experiencia en seguridad operativa de TI o simplemente están sobrecargados con otras responsabilidades y no pueden dedicar el tiempo suficiente a implementar las medidas de seguridad necesarias para garantizar la seguridad de un sitio de WordPress.

Exploremos cómo puede configurar y mantener la seguridad de su sitio web en WordPress.

Consejos para mantener la seguridad de su sitio de WordPress

En primer lugar, asegure su nombre de usuario y contraseñas de WordPress. La literatura online está llena de numerosas malas elecciones de contraseñas de administrador que los operadores de sitios han hecho. No utilices el nombre "admin" en tu cuenta porque muchos ataques de fuerza bruta comienzan utilizando este nombre, ya que es muy común. En su lugar, elige algún nombre aleatorio para administrar tu cuenta. Además, utiliza MFA para proteger todos tus inicios de sesión en WordPress.

Actualiza tu WordPress y PHP a las últimas versiones. Para WordPress, esta v 5.9.1. PHP tiene una variedad de versiones y actualizaciones. (Mi proveedor de alojamiento se encarga de ambas cosas automáticamente por mí, lo que debería ser el caso del tuyo también).

Reduzca el número de plug-ins, temas y otros extras instalados. En pocas palabras, estos pueden aumentar su superficie de ataque.

Habilite el acceso SSL/HTTPS a su sitio para cifrar las comunicaciones. Asegúrese de que su proveedor de alojamiento también lo soporta.

Haga copias de seguridad periódicas del contenido de su sitio. WordPress dispone de una sencilla función de exportación que creará un archivo XML que deberá almacenar fuera de línea.

Instale un complemento de seguridad especializado para WordPress, como Wordfence. Tómese el tiempo necesario para entender las características de seguridad, así como los informes que se producen, y asegúrese de actuar sobre la información y sus implicaciones. Puede encontrar una lista más amplia de plugins de seguridad en el sitio web de WordPress, donde puede ver si la herramienta ha sido probada con la última versión de WordPress, la última vez que se actualizó el plugin y el número de usuarios que han descargado el software.

Manténgase al día con las últimas vulnerabilidades de WordPress. A veces puede ser difícil rastrearlas, pero aquí hay un par de recursos. En primer lugar, tanto Plugin Vulnerabilities como el blog de Wordfence informan con frecuencia sobre exploits y ataques de día cero que sus propias redes de instrumentación han descubierto. Además, una reciente herramienta semiautomatizada desarrollada por el investigador Krzysztof Zajac puede escanear varias áreas débiles en busca de posibles problemas.

Como puedes ver, hay docenas de consejos y recursos disponibles que pueden ayudarte a asegurar tu sitio web de WordPress. En cualquier caso, no deberías utilizar WordPress sin hacer uso de estos pasos, aunque vayas añadiendo poco a poco medidas de seguridad individuales.