Entradas Etiquetadas :

wordpress

wordpress ataques prestigia seguridad
Los ataques más comunes en WordPress y cómo defenderse
1020 680 Prestigia

Es un hecho ampliamente conocido que WordPress domina la escena mundial del Sistema de Gestión de Contenido (CMS). La cantidad de sitios web que se ejecutan en WordPress supera con creces a los de su competencia, totalizando aproximadamente un tercio de todos los sitios conocidos.

WordPress es, desafortunadamente, el ganador indiscutible también en términos de ataques, donde incluso nosotros hemos reportado vulnerabilidades. Recientes investigaciones revelan que, en WordPress, un 90% de los usuarios solicitan limpiezas de malware (mientras que solo el 4% de los usuarios de Joomla o Magento lo hacen).

WordPress toma la mayor parte del peligro, pero, ¿qué tipos de ataques son los más comunes? conocer más sobre los tipos de ciberataques más utilizados, puede ayudar a los usuarios de sitios web de WordPress a prepararse para ellos.

Ataques comunes a WordPress

Con ese fin, echemos un vistazo a los ataques de WordPress más comunes en 2020, así como a protegerse contra ellos:

  • Cross-Site Scripting: El ataque Cross-Site Scripting (XSS para abreviar) es un ataque de inyección en el que los atacantes insertan código malicioso en un sitio web. Una vez que esa pieza de código maliciosa se encuentra en el sitio web, se puede usar de varias maneras. El hacker puede tomar las cookies de sesión y hacerse pasar por un usuario, acceder a API que se conecta a otras aplicaciones, propagar malware y más. Dicho esto, se aprovecha más comúnmente para redirigir a los usuarios a sitios web donde el atacante puede robar sus datos.
  • Inyección SQL: Al igual que un ataque XSS, la inyección de SQL implica la inserción de una cadena de código malicioso en un sitio web. El atacante lo hace al agrupar consultas hacia la base de datos, aprovechando parámetros vulnerables. La diferencia entre los dos, radica en la utilidad, XSS encuentra su propósito en enviar usuarios involuntarios a sitios web maliciosos, mientras tanto, un ataque de inyección SQL tenderá a apuntar a la base de datos del sitio web objetivo, permitiendo modificaciones y acceso no autorizado a los datos.
  • Ataques de Fuerza bruta: Para los atacantes que se esfuerzan por encontrar tu nombre de usuario y contraseña, los ataques de fuerza bruta son una herramienta bastante útil. Es una idea bastante sencilla, simplemente intentar averiguar el usuario y contraseña correcto a través de prueba y error hasta que lo haga correctamente. Como puedes esperar, este método requiere miles de intentos para obtener resultados, como tratar de adivinar una palabra en la que alguien está pensando revisando cada palabra que existe y, naturalmente, los atacantes utilizan programas para hacer este proceso mucho más rápido, pero aun así lleva mucho tiempo.

Denegación de Servicio: Una táctica de los cibercriminales muy común, es un ataque DDoS (denegación de servicio distribuida) y sirve para poner tu sitio web fuera de servicio temporalmente. El plan es enviar tanto tráfico que tu sitio no pueda atender todas las solicitudes que recibe, interrumpiendo el servicio. El atacante emplea un grupo (a veces masivo) de equipos infectados de malware (denominado botnet) para lograr esto. Pueden llevar a cabo el ataque por una variedad de razones, que van desde financieras hasta simples derechos de fanfarronear en Internet.

Medidas a tomar para evitar que tu WordPress sea atacado

Mantener tu sitio web de WordPress seguro no es una tarea compleja, todo comienza con una comprensión de cómo funcionan ciertos ataques y qué puedes hacer para evitarlos. La publicación anterior debería ser más que suficiente para preparar tu sitio web WordPress, aunque también recomendamos nuestro post sobre la importancia de tener nuestros plugins actualizados.

Por último, desde Prestigia Seguridad, somos especialistas en Seguridad en sistemas WordPress, ofrecemos servicios de hacking ético a tus sistemas para protegerlos y consultoria a pymes en seguridad, no dudes en preguntarnos para saber los servicios que puedan proteger a tu compañía de un ciberataque.

Mantenimiento técnico equipo informático
El mantenimiento técnico de tu proyecto: no te la juegues
1024 682 Prestigia

Sí, te la juegas. Algunos clientes tienen pánico a los costes fijos. No escatiman en gastos para el lanzamiento de su proyecto, pero luego no acaban de entender la necesidad del mantenimiento técnico posterior. Y, aunque siempre avisamos, en ocasiones no reaccionan hasta que es tarde y ya han sufrido un ataque. Entonces te llaman angustiados. Y descubren que la intrusión se podría haber evitado actualizando sus sistemas, o implementando un parche de seguridad de su proveedor de software, o con la última versión del core de su CMS o de los plugins que utiliza su Web.

¿En serio?

Sí, en serio. Un plugin de WordPress y un Drupal antiguo fueron los causantes de la filtración de los Papeles de Panamá, la mayor de la historia del periodismo.

La realidad es que el mantenimiento técnico incluye muchísimas cosas que a simple vista no se ven, como copias de seguridad, monitorización del servidor, protección ante ataques, seguridad del proyecto web, actualización del servidor o de los componentes… Ya lo dice el refrán: Más vale prevenir que curar.

Por eso hoy os hablamos de la importancia del mantenimiento técnico y del mantenimiento web, fundamentales para garantizar la seguridad de tu empresa en internet.

Dos tipos de mantenimiento: web y técnico

Mantenimiento web: Tener nuestro proyecto web actualizado quizás parece una tarea sencilla. Muchos de los gestores de contenidos disponen de funciones de actualización automática o semiautomática cuando lanzan nuevas versiones o corrigen fallos de seguridad. Sin embargo, una mala configuración nos puede dejar desprotegidos, como comentábamos hace poco en nuestro post sobre los mejores plugins de seguridad para WordPress.

No sólo es de vital importancia mantener el software actualizado sino que, además, se deben realizar otras tareas asociadas para comprobar que nuestro proyecto funciona correctamente. Por ejemplo: revisar los registros de errores del servidor web para detectar fallos en nuestro proyecto web, revisar el consumo de ancho de banda para optimizar imágenes o detectar linkbuilding negativo, entre otras muchas.

Con el uso mayoritario de gestores de contenidos open source como WordPress, Joomla, Drupal, la seguridad web se ha convertido en el talón de aquiles de estos CMS. Así, tener una buen mantenimiento web – no solo del core y los plugins – es la primera defensa a la hora de tener protegido nuestro proyecto.

Mantenimiento técnico: Se refiere sobre todo a la parte física de nuestro proyecto, que en los casos de empresas pequeñas suele ser únicamente el servidor. Sin embargo, en proyectos más complejos también incluye el firewall, los balanceadores de carga, switches, routers y el resto de componentes de conectividad a la red.

Este mantenimiento gestiona la monitorización del servidor, las copias de seguridad tanto de ficheros como de las bases de datos, la correcta actualización del software de los servidores y sus componentes y, en el caso de componentes de hardware, su firmware siempre que aparezcan nuevas versiones, se detecten fallos o agujeros de seguridad.

El verano pasado, por ejemplo, se detectó un fallo de seguridad que afectaba a 500.000 routers conectados a la red, que permitía controlarlos de forma remota. Los fabricantes reaccionaron sacando nuevos firmwares para los dispositivos pero, en muchos casos, depende del administrador de sistemas o de la empresa encargada del mantenimiento implementar estas actualizaciones.

Los routers domésticos son usados habitualmente por los ciberdelincuentes ya que conocen las contraseñas predeterminadas de los fabricantes, y los usuarios no cambiamos o actualizamos estas contraseñas. Es importante cambiar la contraseña del router y usar claves seguras para aumentar nuestra seguridad.

El ataque con ransomware más grave sufrido el año pasado en España, lo padeció Telefónica. Una infección masiva de sus sistemas y ordenadores de escritorio que se podría haber evitado (o al menos minimizado) si todos los equipos hubiesen estado actualizados a las últimas versiones.

Mantenimiento técnico y web: cuando lo barato sale caro

Él “mientras todo funcione no se toca” ya no vale. Es de vital importancia contar con una política de mantenimiento acorde con nuestros proyectos, que revise los sistemas operativos del servidor, se actualicen siguiendo un calendario programado y de forma inmediata cuando que se detecten fallos de seguridad que puedan ser usados por ciberdelincuentes.

El informe de Kaspersky Lab de diciembre de 2017 indicaba que las medianas y pequeñas empresas han tenido que pagar una factura media de 74.000 euros por cada incidente de seguridad. Ahí es cuando entiendes que lo barato te puede salir caro.

¿Estás seguro de que tus servidores y proyectos web están actualizados? Si necesitas revisar tu mantenimiento web y técnico, podemos ayudarte.

Wordpress plugins seguridad
Plugins de seguridad: qué son y cuáles son los mejores para WordPress
1024 546 Prestigia

La semana pasada os hablamos en el blog sobre la importancia de tener en cuenta factores vinculados a la seguridad a la hora de escoger un hosting web. Una vez tu alojamiento es seguro, hay que poner el ojo en la seguridad del propio CMS. Para ello serán necesarias una serie de medidas de seguridad, como instalar los mejores plugins de seguridad.

Teniendo en cuenta que WordPress es el gestor de contenidos más usado a nivel mundial, hoy ponemos el foco en los plugins de seguridad para este CMS.

Los plugins son un elemento necesario y de un valor añadido para que la seguridad de tu web sea inquebrantable. Sin embargo, es muy importante recordar que un plugin sin actualizar es una fuente de riesgo. De hecho, suelen ser la principal vía de ataques a páginas desarrolladas con WordPress. Por lo tanto, el primer consejo en relación a cualquier plugin que tengas instalado en tu CMS es que lo tengas siempre actualizado.

Cabe matizar, sin embargo, que si el plugin que tienes instalado es de pago y no está activado, debes estar atento a las notificaciones del WordPress o en web del desarrollador porque habitualmente las actualizaciones no se realizan de forma automática.

5 plugins de seguridad gratis para tu WordPress

1. All in One WP Security & Firewall. Es uno de los más completos porque incluye firewall, antivirus y un auditor de seguridad. De esta forma, por ejemplo, protege los permisos de los ficheros, busca código malicioso o bloquear ataques de fuerza bruta, entre otros aspectos. Es 100% gratuito, pero dispone de una versión más completa de pago que mejora la detección y protección.

2. iThemes Security. Ofrece hasta 30 formas distintas de proteger tu página web de ataques y hackers que intentan acceder a tu web a través de cualquier error o agujero de seguridad. La versión de pago aumenta considerablemente las funcionalidades de autenticación, escaneo de ficheros y defensa de nuestro CMS.

3. Sucuri Security. Se encarga de realizar una auditoría y análisis de malware a fin de reforzar la seguridad del CMS, monitorización en blacklist de las conexiones, notificaciones de seguridad. La funcionalidad de Firewall solo se incluye en la versión premium.

4. BulletProof Security. Tiene versión gratis y de pago y aunque no es el plugin más fácil de usar, incluye muchas funcionalidades con alto nivel de protección. Cuenta con medidas anti spam, firewall y escáner de malware, entre otras.

5. WordFence. Con más de 2 millones de instalaciones, es el plugin más utilizado por la comunidad de usuarios de WordPress. Detecta posibles virus y malware, analiza el tráfico de tu web en tiempo real para detectar rápidamente cualquier peligro y actúa como firewall. Por cierto, también tiene una función de cacheo que hará que la velocidad de carga de tu web sea mayor. La versión de pago, mejora los tiempos de respuesta ante incidencias, tiene una reglas de protección más eficientes y dispone de bloqueo de trafico a nivel geográfico.

Cualquiera de estos 5 plugins de seguridad para WordPress será un plus para la seguridad de tu página web. La correcta configuración del plugin es fundamental, la mayoría de términos y opciones de configuración son técnicas y para eso necesitarás seguramente ayuda profesional. Configurar erróneamente un Firewall puede bloquear las visitas de posibles clientes. Una incorrecta configuración en los ficheros genera fallos de seguridad que pueden ser usados por hackers para infectar la web.

Uno de los últimos clientes que nos vino a Prestigia Seguridad tenía el problema de tener dos plugins de seguridad, incorrectamente configurados y que eran incompatibles (se pisaban mutuamente). Es decir, a veces lo que abunda sí daña.

Por tanto, si no sabes qué plugin de seguridad de WordPress es el mejor para tu página web, contacta con nosotros y te ayudaremos a proteger tu web, no sólo con el mejor plugin de seguridad, sino también con otras medidas especiales para proteger tu CMS y tu servidor WEB.

¡Que la seguridad no sea tu talón de Aquiles!

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.