WordPress es muy popular, eso esta genial porque miles de personas y empresas en todo el mundo se dedican a crear nuevas funcionalidades, temas, servicios etc. Pero esa misma popularidad hace que sea un objetivo muy atractivo ya que se pueden lanzar ataques a gran escala.

En este post quiero mostrarte los diferentes tipos de ataques que puede sufrir tu sitio y como evitarlos.

Ataques de denegación de servicio DDOS

Este tipo de ataque consiste en utilizar una red de miles de ordenadores para bloquear el acceso a una web. Cuando todos esos equipos tratan de acceder a esa web al mismo tiempo el servicio no da abasto y se bloquea.

Este tipo de ataque no debería preocupar a la mayoría de personas o empresas que tenemos una web con WordPress, pero si es posible que recibas un ataque de este tipo si tu web pertenece a algún organismo o grupo que pueda ser objetivo de ataques por el mero hecho de causarle daño: por ejemplo ayuntamientos, partidos políticos etc.

A día de hoy no es necesario ser un experto para lanzar un ataque de este tipo, pues puede ser contratado a ciberdelincuentes por precios inferiores a 100€.

Solución: Una posible solución es utilizar un CDN gratuito como Cloudflare para bloquear estos ataques. Un CDN es una red de servidores distribuidos por varios países que se encargan de servir tu web de forma más rápida y segura. Si tu sitio es atacado el CDN reaccionará bloqueando a los atacantes.

mapa de servidores de Cloudflare una buena herramienta de seguridad en WordPress

Ataque de fuerza bruta a wp-admin

Este otro tipo de ataque pretende saber cual es tu combinación de usuario y contraseña. Para ello simplemente intenta una y otra vez diferentes combinaciones hasta dar con las correctas.

El objetivo de este tipo de ataque no es otro que entrar a tu sistema como administrador. Una vez que lo consigue puede utilizar tu sitio para lanzar ataques, robar datos o cualquier acción que quiera ya que tiene control total.

Solución: este tipo de ataque es el más fácil de combatir. Para ello utiliza una cuenta de administrador diferente del “admin” creado por defecto. Crea también una contraseña fuerte que combine letras mayúsculas, minúsculas y números.

Para bloquear este tipo de ataques te recomiendo utilizar el plugin Limit Login Attempts que limitará el número de intentos de login en tu web.

Otra solución es el plugin BruteProtect que funciona de forma inteligente para detectar los bots que lanzan este tipo e ataque.

Ataque a vulnerabilidades

Este ataque consiste en escanear los plugins, tema y versión de WordPress instalados. Una vez se descubra un agujero de seguridad conocido el atacante puede tomar el control del sitio.

Si tienes curiosidad, puedes hacer un escaneo básico de vulnerabilidades de tu sitio utilizando WPScan.

Una de las vulnerabilidades más sonadas últimamente fue la del plugin Slider Revolution, uno de los más populares y que además viene integrado en muchos temas de pago de la plataforma Theme Forest.

Slider Revolution ha dejado vulnerables a muchas instalaciones de WordPress

Slider Revolution es vulnerable en las versiones anteriores a la 4.2

Solución: Actualiza tu instalación de WordPress, tus plugins y tu tema tan frecuentemente como puedas. Si accedes a tu web cada mucho tiempo puedes instalar el plugin WP Updates Notifier. Este sencillo plugin te mandará un correo cada vez que exista una actualización.

Ataques XSS

Son un tipo de vulnerabilidad que puede estar presente en plugins y temas mal programados. Consiste en infectar un sitio web a través de los campos de los formularios de contacto y comentarios. Si se consigue la infección, el atacante puede capturar datos sensibles de tus usuarios o incluso tomar el control total de tu web.

Solución: Utiliza plugins de desarrolladores reputados sobre todo si manejas información importante de tus usuarios. Y como siempre mantén todos tus plugins y temas actualizados.

Código malicioso oculto

Este tipo de infección viene causada por plugins y temas de pago descargados desde sitios ilegítimos. Lo que puede parecer gratis suele traer algún regalo en forma de código malicioso.

Una vez que lo instalamos puede ser utilizado para mostrar publicidad a nuestros visitantes o infectar otros sistemas. En algunos casos el código malicioso avisará a su creador de que ha entrado a tu sitio y este podrá crear una cuenta de administrador tomando el control de tu web.

Solución: Descarga temas y plugins solamente del repositorio oficial de WordPress o de sitios de empresas conocidas (Woothemes, Elegant Themes, WPMUdev). Evita totalmente descargar nada de redes p2p como Torrent o Ares. Por norma general no instales nada que no te proporcione directamente el propio creador del tema o plugin.

Captura de contraseñas

Si para administrar tu sitio te conectas a una red wifi sin protección o utilizas una conexión de FTP sin cifrar, es posible que alguien pueda averiguar tu usuario y contraseña. Este es quizás un ataque poco común pero no está de más hacer lo posible por evitarlo.

En este vídeo te explican lo fácil que es llevar a cabo este tipo de ataques:

Solución: Evita las redes wifi gratuitas o de cafeterías para administrar tu sitio. Pregunta a tu compañía de hosting si permiten la conexión mediante SFTP y de ser así que te indiquen como configurarlo en tu gestor de FTP.

Spam en comentarios

Poco tiempo después de crear una web empezarán a llegar comentarios basura. Normalmente con publicidad o enlazando a sitios de baja reputación. Es el llamado spam que todo el mundo conoce por ser una molestia también en el correo electrónico.

Pese a no suponer un peligro para tu sitio, si puede suponer una perdida de tiempo si has de borrar todos los comentarios manualmente. Además puede afectar al SEO de tu página si consiguen publicarse y enlazar a sitios penalizados.

Una buena solución es el plugin Anti-spam que se enorgullece de bloquear el 99,99% de estos comentarios sin entorpecer a los usuarios legítimos.

Otro tipo de ataques

Existen otro tipo de ataques más difíciles de combatir:

  • Ataques de día cero: Atacan vulnerabilidades aún no conocidas por el desarrollador del plugin o tema.
  • Vulnerabilidades en el núcleo de WordPress: las versiones antiguas de WordPress tienen agujeros de seguridad que se van revelando con el tiempo.
  • Ataques desde el servidor: si utilizas un hosting compartido es posible que un sitio infectado en tu mismo hosting pueda servir para infectar tu web.

Estos casos solo pueden evitarse instalando algún plugin de seguridad. Yo recomiendo iThemes Security por ser uno de los más potentes y más fácil de configurar. Pero existen otras opciones como Sucuri Security o Wordfence Security. Estos plugins despliegan un arsenal de protecciones para parar todo tipo de ataques.

Consecuencias de una mala seguridad en WordPress

Aunque tu sitio web no sea importante o tenga pocas visitas puede ser objetivo de ataques. Piensa que una vez estés infectado tu sitio puede servir para:

  • Lanzar ataques a otros sistemas
  • Mostrar publicidad y enlaces indeseados
  • Infectar a tus usuarios
  • Capturar datos, cuentas de correo etc.

Además de todo esto Google y otros buscadores pueden marcar tu sitio como peligroso y penalizarte o incluso bloquear el acceso. Por lo que es un asunto a tener en cuenta si tus ingresos y tu imagen vienen de tu sitio web.

Si crees que puedes aportar algo más a esta guía, puedes dejar tu consejo en los comentarios y compartir si te ha parecido interesante 😉