[Estadísticas de seguridad de WordPress] 4 razones principales por las que los sitios de WordPress son pirateados y cómo prevenirlo
Publicado: 2021-02-22Con el 34 % de todos los sitios web en Internet y una participación de mercado del 60,8 % en el mercado de CMS, WordPress, sin duda, es el sistema de administración de contenido más popular del mundo. Sin embargo, esta inmensa popularidad también tiene un costo.
Año tras año, la seguridad de WordPress siempre ha sido un tema candente. En cuanto al estudio de Sucuri, entre 8.000 sitios web infectados, el 74% de ellos se crearon en WordPress. Wordfence también descubrió que hay hasta 90,000 ataques en sitios de WordPress cada minuto.
Entonces, ¿por qué WordPress es el objetivo principal de los piratas informáticos?
Hay muchas razones por las que los sitios de WordPress son pirateados. En este artículo, nos centraremos en las 4 razones principales junto con las estadísticas reales de piratería de WordPress examinadas a través de varias fuentes. Además, también brindamos algunos consejos útiles sobre cómo garantizar la seguridad de WordPress.
¡Vamos a sumergirnos!
- Alojamiento web inseguro
- Contraseñas débiles
- Sitio de WordPress obsoleto
- Temas y complementos obsoletos o anulados
- Cómo garantizar la seguridad de WordPress
Alojamiento web inseguro
"El 41% de los sitios de WordPress son atacados debido a las plataformas de alojamiento vulnerables".
Al igual que cualquier sitio web, WordPress está alojado en un servidor o servidor web. La mayoría de los propietarios de sitios de WordPress parecen no tomarse en serio la elección del alojamiento web. Por lo general, alojan sus sitios web en un plan de alojamiento compartido, ya que es más asequible. Desafortunadamente, esto resulta ser la presa lucrativa para los atacantes.
Cualquier intento exitoso de piratería en ese servidor compartido puede conducir potencialmente a la vulnerabilidad de su sitio, ya que los piratas informáticos pueden obtener acceso a su sitio a través de ese sitio pirateado.
Contraseñas débiles
Esta es una de las causas más frecuentes de ataques exitosos de fuerza bruta. WP Smackdown demuestra que el 8% de los sitios de WordPress son pirateados debido a contraseñas débiles.
Sorprendentemente, incluso hasta la fecha, las personas todavía usan contraseñas comunes y fáciles de adivinar como "123456" o "contraseña" para proteger sus sitios. NordPass ha resumido el uso principal de contraseñas en 2020 y lo que revelan lo dejará estupefacto.
| Las 10 mejores contraseñas | Números de usuarios | hora de descifrarlo |
| 123456 | 2,543,285 | Menos de un segundo |
| 123456789 | 961,435 | Menos de un segundo |
| Foto 1 | 371,612 | 3 horas |
| contraseña | 360,467 | Menos de un segundo |
| 12345678 | 322,187 | Menos de un segundo |
| 111111 | 230,507 | Menos de un segundo |
| 123123 | 189,327 | Menos de un segundo |
| 12345 | 188,268 | Menos de un segundo |
| 1234567890 | 171,724 | Menos de un segundo |
| Senha | 167,728 | 10 segundos |
Su investigación señaló que los usuarios tienden a establecer números fáciles de recordar o cadenas de letras como sus contraseñas. Además, tienden a reutilizar la misma contraseña para varias cuentas por conveniencia. Lo que más importa son las contraseñas más fáciles de recordar, más vulnerables son a ser descifradas.
Versiones obsoletas de WordPress
Una versión obsoleta de WordPress es una de las principales razones por las que un sitio es pirateado. Un estudio de Sucuri muestra que el 36,7% de los sitios web pirateados tienen versiones desactualizadas.
Las nuevas versiones agregarán funciones más avanzadas y repararán las vulnerabilidades de las antiguas. Sin embargo, algunos usuarios incluso desactivan la función de actualización automática. Según WordPress, solo el 32,2% de los usuarios de WordPress han actualizado sus sitios a la última versión 5.6.
¿Por qué los usuarios se niegan a actualizar sus sitios?
Las principales excusas son:
- Tienden a retrasar u olvidar las notificaciones de actualización debido a su ajetreo (o pereza).
- Les preocupa que la actualización afecte el rendimiento de sus sitios.
Pero sabes que, a veces, la ignorancia te cuesta mucho. El hackeo a la plataforma de blogs de Reuters en 2012 es una lección típica.
Reuters olvidó mantener actualizada la instalación de WordPress, lo que brinda a los piratas informáticos la oportunidad de atacar su sitio. Rellenaron numerosas publicaciones falsas en el sitio web de Reuters, incluida una supuesta entrevista con el líder del ejército rebelde siberiano. En ese momento, Reuters estaba usando la versión 3.1.1 en lugar de la 3.4.1.
Temas y complementos obsoletos o anulados
Muchos propietarios de sitios web han experimentado ataques debido a vulnerabilidades de temas y complementos. Si bien WordPress actualiza instantáneamente su núcleo con parches de seguridad, esa mejora no se aplica a sus complementos.
Según una estadística de WP Scan, hasta 2020 ha habido 21.936 vulnerabilidades de WordPress. Entre ellos, el 52% y el 11% de las vulnerabilidades de WordPress reportadas están relacionadas respectivamente con complementos y temas, mientras que el núcleo de WordPress representa el resto.
Además, en el informe de WordPress de Wordfence 2020, Wordfence enfatizó que el malware de complementos y temas anulados representa una amenaza para la seguridad de WordPress. Tanto WP Scan como Wordfence están de acuerdo en que Cross-site Scripting y SQL Injection son los tipos de vulnerabilidad más populares en los complementos y temas de WordPress.
Vea los 10 temas y complementos más vulnerables enumerados por Wpwhitesecurity (última actualización el 8 de octubre de 2020) y se sorprenderá.
Los 10 complementos más vulnerables: 
En el gráfico anterior, Nextgen Gallery, Ninja Forms y WooCommerce lideran el top 3 con más de 20 vulnerabilidades. Incluso un complemento de seguridad llamado "All In One WP Security & Firewall" aparece en esta lista, lo que significa que los piratas informáticos también pueden atacar los complementos de seguridad.
Los 10 temas más vulnerables: 
El gráfico adjunto muestra que los temas no causan muchas vulnerabilidades en comparación con los complementos. El mayor número de vulnerabilidades es cinco y recae en el tema Echelon y Traveler. Esto se debe a que los temas no implican ampliar la funcionalidad como lo hacen los complementos. Asumen principalmente la responsabilidad de la apariencia de los sitios de WordPress.
Cómo garantizar la seguridad de WordPress
A partir de las alarmantes estadísticas de seguridad de WordPress y los hechos anteriores, hemos concluido 5 soluciones viables para ayudarlo a garantizar su seguridad de WordPress. Lo que tienes que hacer ahora mismo es:
- Invierte en tus alojamientos web
- Crear contraseñas únicas
- Mantén tu sitio actualizado
- Usar complementos de seguridad de WordPress
- Evite el uso de temas y complementos anulados
Invierta en sus alojamientos web
Tienes lo que pagas. Optar por un alojamiento web confiable reducirá significativamente la probabilidad de que su sitio sea pirateado. El alojamiento web de alta calidad no solo admitirá la última versión de PHP y MySQL, sino que también proporcionará escaneos de malware y copias de seguridad periódicas.
Se recomienda encarecidamente un servidor dedicado como la opción de alojamiento más segura. Por supuesto, es bastante costoso, pero es muy útil si su sitio recibe mucho tráfico y contiene datos confidenciales.
Manténgase alejado de las soluciones de alojamiento compartido. Sin embargo, si ya está utilizando un plan de alojamiento compartido, cambie a alojamiento VPS.
Crear contraseñas únicas
Las contraseñas seguras son necesarias no solo para las cuentas de administrador de WordPress, sino también para el alojamiento web, las cuentas FTP y las bases de datos MySQL.
Para crear una contraseña segura, primero debe evitar el uso de números o letras adyacentes comunes, como "1234567" o "abcdef", y caracteres repetitivos, incluidos "abc123" o "111111111".
Además de eso, absténgase de usar las mismas contraseñas para diferentes sitios web. Debe crear una contraseña larga, compleja y robusta con al menos 8 caracteres para cada cuenta.
Una contraseña ideal debe estar mezclada con palabras, números y símbolos, por ejemplo, !wdf34*de5. No olvide restablecer sus contraseñas periódicamente cada 90 días.
Mantenga su sitio actualizado
Para evitar ser el segundo Reuters, lo que tienes que hacer es actualizar tu sitio de WordPress a la última versión. Preste atención a las notificaciones de actualización en su tablero.
Si tiene miedo de que la actualización rompa sus sitios, debe crear una copia de seguridad antes de ejecutar una actualización y probar la actualización en su sitio provisional.
Usar complementos de seguridad de WordPress
La instalación de complementos de seguridad de WordPress es la solución más simple pero efectiva para proteger su sitio de cualquier tipo de ataque, incluido el malware.
Optar por un complemento de seguridad que le permita buscar vulnerabilidades, aplicar contraseñas seguras, bloquear redes maliciosas, implementar un firewall, etc. Existe una amplia gama de complementos de seguridad confiables de WordPress en este campo, entre los que se encuentran Sucuri, Wordfence y BlogVault.
Evite el uso de complementos y temas anulados
Los complementos y temas anulados son la versión pirateada de los premium, que carecen de una función de verificación de licencia. Normalmente, esa función está deshabilitada o eliminada de estos complementos y temas, lo que genera malware potencialmente malicioso.
No podemos negar que los complementos y temas anulados son tentadores, considerando que son gratuitos y fáciles de descargar. Sin embargo, ten en cuenta esta idea: si usas estas copias piratas, no hay arreglos de seguridad, ya que no tendrán actualizaciones disponibles de sus desarrolladores.
Por lo tanto, le sugerimos que descargue complementos o temas originales de sitios web confiables o invierta su dinero en los premium. Piense en ellos a largo plazo, puede proteger su sitio y recibir nuevas funciones o más soporte en correcciones de seguridad.
Conclusión
Este artículo lo ha guiado a través de 4 razones principales por las cuales WordPress es pirateado con cifras reales. Las estadísticas de pirateo de WordPress proporcionadas tienen como objetivo resaltar la importancia de reforzar la seguridad de WordPress.
También hemos presentado consejos útiles sobre cómo evitar posibles ataques a WordPress. “Más vale prevenir que curar”. Debe prestar especial atención a la elección de su alojamiento web, la actualización de su núcleo, complementos y temas de WordPress, así como la creación de contraseñas seguras.
¿Hay alguna estadística de hackeo de WordPress que esperas que compartamos en este artículo pero nos la perdimos? ¿Ha tenido alguna experiencia con la explotación de sitios web? ¡Siéntase libre de compartir con nosotros en la sección de comentarios a continuación!