Protección de su sitio web de WordPress contra ransomware

WordPress es el CMS más popular del mundo. Y si bien esto suele ser algo bueno, también puede convertir a WordPress en un objetivo para el software malicioso que busca un amplio alcance.

Desafortunadamente, debido a que los ataques cibernéticos se han vuelto más grandes y más escalables a lo largo de los años, a largo plazo a menudo no se trata de "si" sino de "cuándo" las empresas en línea serán atacadas. Y los éxitos muy publicitados de los recientes ataques de ransomware significan que es probable que esta tendencia continúe.

Dicho esto, hay muchos pasos que puede seguir para que su sitio web sea mucho menos vulnerable a los ataques comunes.

Comprender el riesgo

El ransomware es un software que un atacante instala en su servidor o en su computadora después de usar un exploit para obtener acceso. Una vez instalado, el software a menudo se ejecutará automáticamente, ya sea inmediatamente o después de permanecer inactivo por un tiempo.

Hasta hace un par de años, los ataques de ransomware generalmente se dirigían a las estaciones de trabajo de Windows. Sin embargo, en 2017, los analistas comenzaron a registrar un aumento en los casos de ataques a sitios web de WordPress.

Una vez que el software se ha ejecutado, el ransomware utiliza un potente cifrado para bloquear todos sus archivos y negarle el acceso. En cambio, lo que queda es una interfaz que exige el pago de un rescate, generalmente en bitcoins imposibles de rastrear, para desbloquear los archivos.

Pagando el rescate

Varias empresas de alto perfil, e incluso ciudades, se han visto afectadas en todo el mundo en los últimos años. En junio, Lake City en Florida pagó un rescate de $500,000 dólares a los piratas informáticos que habían tomado el control de sus sistemas informáticos.

Pero pagar el rescate no garantiza que los piratas informáticos descifren sus datos. E incluso si lo hacen, pueden dejar atrás partes del software para cifrar sus archivos nuevamente en una fecha posterior.

En algunos casos, el software crea un archivo .php que contiene una interfaz que se supone que desbloquea archivos cifrados. Sin embargo, este archivo no funciona, e incluso si obtiene acceso, necesitará un desarrollador de WordPress experto para reparar todo el código roto.

Mantén todo actualizado

Mantener WordPress y todos los temas y complementos actualizados con las últimas versiones es la forma más sencilla de proteger su sitio web contra el ransomware. Estas actualizaciones contienen, entre otras cosas, los últimos parches de seguridad de los desarrolladores.

Los piratas informáticos buscan constantemente vulnerabilidades para explotar. Una vez que se han identificado, los desarrolladores lanzan parches para solucionar los problemas. Las versiones desactualizadas de WordPress presentan una gran vulnerabilidad, ya que no se habrán desarrollado para resistir las últimas amenazas de seguridad.

También debe verificar regularmente que las versiones de PHP y MySQL de su host estén actualizadas. Una buena agencia de WordPress se encargará de mantener todo actualizado por ti, para que no tengas que preocuparte.

Protéjase contra ataques de fuerza bruta

Un ataque de fuerza bruta, como su nombre lo indica, es un ataque sencillo en el que un bot intenta obtener acceso a su sitio web utilizando cientos de combinaciones de nombre de usuario y contraseña por minuto hasta que lo hace bien.

La naturaleza contundente de estos ataques los hace relativamente fáciles de prevenir al prohibir las direcciones IP que intentan acceder a su sitio varias veces con detalles de inicio de sesión incorrectos. Pero sin esta simple capa de protección, los bots pueden intentar obtener acceso continuamente hasta que lo logren.

Limit Login Attempt Reloaded es un complemento que le permite limitar la cantidad de intentos de inicio de sesión, tanto a través de la página de inicio de sesión como de las cookies.

Establecer seguridad de acceso fuerte

Por obvio que parezca, usar palabras cortas y fáciles de adivinar (o, peor aún, 'contraseña') como contraseña hará que su sitio de WordPress sea increíblemente vulnerable.

Pero incluso las contraseñas seguras que se han utilizado durante demasiado tiempo o para demasiadas aplicaciones diferentes pueden volverse vulnerables. Recomendamos utilizar un generador de contraseñas como 1Password para crear y almacenar de forma segura contraseñas únicas y seguras para cada inicio de sesión.

Alternativamente, puede agregar autenticación de 2 factores a su inicio de sesión de WordPress usando Google Authenticator. Esta capa adicional de seguridad se puede habilitar por usuario, lo que permite que los roles de usuario con menos privilegios continúen iniciando sesión con una contraseña.

Instalar certificados SSL

Los certificados SSL garantizan que todos los datos que se transmiten entre su computadora y su navegador estén encriptados, lo que dificulta mucho más que los piratas informáticos intercepten la conexión.

Los proveedores de alojamiento de WordPress administrado como WP Engine incluyen la instalación y renovación automáticas de certificados SSL con todos sus planes de alojamiento.

Cambiar el prefijo de la base de datos de WordPress

WordPress usa un prefijo de base de datos predeterminado, y el uso de este prefijo hace que su sitio web sea vulnerable a los ataques de inyección SQL. Esto se puede evitar cambiando el prefijo wp- predeterminado por otra palabra.

Si ya instaló WordPress con el prefijo predeterminado, no se preocupe. Hay una serie de complementos que aún pueden permitirle cambiarlo; solo asegúrese de hacer una copia de seguridad de todo primero, en caso de que algo salga mal.

Desactivar la edición de archivos

Si los piratas informáticos lograron acceder a su panel de administración de WordPress, podrán editar cualquier archivo que forme parte de su instalación de WordPress.

Establecer una fuerte seguridad de acceso es, por lo tanto, la primera línea de defensa. Sin embargo, al desactivar la edición de archivos, los piratas informáticos no podrán modificar ninguno de sus archivos, incluso si obtienen acceso a su tablero.

Esto se hace restringiendo completamente el archivo theme-editor.php y eliminando la opción de edición de temas del CMS.

Medidas Adicionales

Las medidas de seguridad adicionales incluyen seguir siempre las pautas de desarrollo de mejores prácticas descritas en el Codex de WordPress. Idealmente, también debe realizar una revisión por pares de su código, ya que esto ayuda a mejorar la calidad general y puede eliminar cualquier error o vulnerabilidad pasado por alto.

También debe verificar que todos los formularios en su sitio web estén protegidos contra inyecciones de SQL y secuencias de comandos entre sitios, y desactive XMLRPC.

Una forma sencilla de mejorar la seguridad de acceso es evitar que los hackers conozcan tus nombres de usuario, ya que esto significa que solo tienen que encontrar tus contraseñas para acceder. Puede hacerlo eliminando al usuario con el nombre 'admin' y restringiendo los puntos finales predeterminados de WP-JSON para ocultar todos los demás nombres de usuario.

También puede proporcionar una capa adicional de seguridad a su servidor ejecutando una aplicación como Sucuri, que busca vulnerabilidades continuamente.

Haga una copia de seguridad de su sitio web con regularidad

Una de las razones principales por las que muchas empresas terminan pagando el rescate a los piratas informáticos es que no tenían buenas copias de seguridad, lo que significa que el costo del rescate sería menos costoso que perder todos sus datos.

Y con las copias de seguridad, cuantas más tengas, mejor. Los ataques de ransomware también pueden cifrar sus copias de seguridad si están almacenadas en una unidad local. Puede hacer una copia de seguridad de sus datos en el servidor, pero las copias de seguridad fuera del sitio que se almacenan en una ubicación separada son aún más seguras.

Los hosts administrados de WordPress generalmente ofrecen copias de seguridad del lado del servidor como parte de sus planes de alojamiento.

Conclusión

Si bien es posible que no pueda detener definitivamente todos los ataques, especialmente si su empresa es el objetivo, hay una serie de pasos que puede seguir para asegurarse de que su sitio web no se destaque como una presa fácil para los piratas informáticos.

La escala y la sofisticación del ransomware están creciendo todo el tiempo, pero los piratas informáticos, como la mayoría de los delincuentes, también son oportunistas, y asegurarse de que su sitio web sea menos vulnerable que la mayoría sigue siendo la mejor manera de mantener sus datos seguros.

Si desea analizar la seguridad de su sitio web de WordPress y cómo se puede mejorar, póngase en contacto con nosotros.