Infecciones de malware comunes en WordPress… y como prevenirlas
La seguridad de un sitio construido con WordPress es un asunto serio. El uso de las vulnerabilidades en la arquitectura de WordPresss ha conducido a comprometer la seguridad de muchos servidores. La extensibilidad de WordPress aumenta su vulnerabilidad; plugins y temas incluyen agujeros, lagunas, backdoors, listos para ser explotados para quien los descubra (o maliciosamente colocados allí), entre otros problemas. Al encender tu equipo de cómputo puedes convertirte en el vendedor más exitoso de viagra sin aún saberlo.
En el núcleo principal de WordPress todos los problemas son directa y rápidamente abordados. El equipo de WordPress está enfocado al mantenimiento y la integridad de la aplicación. Sin embargo, no podemos decir lo mismo de los plugins y temas donde existen grandes problemas de seguridad.
La idea de estas líneas no es que incorpores una gran cantidad de seguridad en tu WordPress. En su lugar, queremos señalar los puntos donde debes estar alerta y tener cuidado. ¿A qué hackeos son particularmente vulnerables los usuarios de WordPress? ¿Cómo se meten en esos problemas? ¿Qué peligro representan para un sitio WordPress? En este artículo cubriremos backdoors, descargas dirigidas, pharma hack y redireccionamientos maliciosos.
En los últimos dos años, el malware en internet ha crecido alrededor de 140%. Al mismo tiempo, la popularidad de WordPress se ha disparado como plataforma de blogs y manejo de contenidos. Esa popularidad tiene un precio: se convierte en un objetivo primario de los desarrolladores de malware. ¿Por qué? Es simple, garantiza el máximo impacto. La popularidad es buena, pero lo hace vulnerable.
¿Qué hace a WordPress vulnerable?
La respuesta es simple. Versiones no actualizadas de WordPress, conjuntamente con vulnerabilidades en plugins y temas, multiplicados por su popularidad como manejador de contenidos, y añada el usuario final para crear la mezcla que producirá un sitio web vulnerable.
Vamos parte por parte.
El primer problema lo representan las versiones no actualizadas de WordPress. Cada vez que una versión nueva de WordPress es liberada, los usuarios ven un mensaje difícil de evitar, pero aún así muchos usuarios logran ignorarlo. Las vulnerabilidades del núcleo principal del script raramente son un problema. Existen, una prueba puede encontrarse en las versiones 3.3.3. y la 3.3.4. El equipo de WordPress se ha vuelto extremadamente eficiente al liberar parches de seguridad, de manera que el riesgo sea minimizado, tomando en cuenta que los usuarios actualizan su versión de WordPress instalada. Eso, desafortunadamente, es un gran problema. Los usuarios de WordPress ignoran el mensaje. Y no es sólo cosa de inexperiencia o usuarios casuales de internet que no actualizan. El problema también se da en usuarios experimentados.
Las vulnerabilidades en plugins y temas es otro problema. El repositorio de WordPress tiene más de 20,000 plugins y crece rápidamente. Los plugins varían en calidad, algunos de ellos tienen agujeros de seguridad, mientras otros no están actualizados a las versiones nuevas de WordPress. Además, toma en consideración todos los temas y plugins que no se listan en el repositorio, incluyendo productos comerciales que son distribuidos como Warez en algunos sitios y que vienen ya modificados maliciosamente.
Y luego, tenemos la popularidad. WordPress es popular, sin lugar a dudas. Más de 700 millones de sitios usan WordPress. Esta misma popularidad significa que si un hacker logra afectar un sitio WordPress, tiene el potencial de afectar millones. No tienen porqué afectar sitios que utilizan la versión actual de WordPress, pueden simplemente buscar versiones anteriores catalogadas ya como inseguras.
Finalmente, y el punto más importante, que enfrentan los usuarios de WordPress son ellos mismos.
Por alguna razón, la percepción entre los usuarios de WordPress es que la parte más difícil de crear su sitio es pagarle a alguien para que haga el sitio y una vez «arriba», hecho ya el sitio, todo está finalizado, no se requiere ninguna acción futura adicional. Quizá ese era el caso hace algunos años, pero no no lo es ahora.
Lo amigable de WordPress puede proporcionar esta sensación falsa de seguridad tanto entre los usuarios y los desarrolladores. Aunque consideramos que esa percepción ha empezado ya a cambiar. Todo sitio, incluyendo WordPress, requiere un trabajo continuado de actualización y vigilancia. El dueño de un sitio o webmaster que no tenga esto en mente tendrá sin duda problemas en un corto o mediano plazo.
¿Qué hace a WordPress vulnerable? La respuesta es simple. Versiones no actualizadas de WordPress, conjuntamente con vulnerabilidades en plugins y temas, multiplicados por su popularidad como manejador de contenidos, y añada el usuario final para crear la mezcla que producirá un sitio web vulnerable.
Vulnerabilidades más comunes en un sitio WordPress
- Scripts no actualizados
- Mal manejo de usuarios y password
- Mala adminsitración
- Servidores con poca seguridad
- Carencia de conocimiento en el funcionamiento de un sitio web
- Pobres o nulos recursos para mantenimiento de un sitio
Sin duda, un poco de tiempo y educación serán necesarios para remediar estos problemas y conservar tu sitio WordPress lo más seguro posible. Esto significa que no sólo los webmasters expertos en WordPress deben ser re-educados, sino asegurarse que los clientes usuarios directos de los sitios también deben serlo.
Ataques más comunes de malware en WordPress
Existen miles de tipos de malware y de infecciones en la internet en nuestros días. Afortunadamente, no todos afectan a WordPress. Algunos de los ataques de malware que más afectan a WordPress son:
Backdoors
Básicamente un backdoor es utilizado para generar un acceso no autorizado con características de administrador a un WordPress. Este tipo de ataque es extremadamente peligroso ya que pueden generar contaminación en todos los sitios WordPress de un servidor a partir del acceso a un sitio pobremente administrado y protegido.
Drive-by downloads
Este tipo de ataque busca descargar un script malicioso a la máquina de tus visitantes. Eso por lo general lo logra insertando un código de inyección en tus páginas. Este ataque por lo general se genera por sitios con scripts no actualizados, datos comprometidos de acceso al administrador o FTP, y mediante inyección SQL.
Pharma hacks
Este tipo de ataque saca ventaja de vulnerabilidades en WordPress, ocasionando que los motores de búsqueda, principalmente Google, muestren anuncios de productos farmacéuticos conjuntamente con sus listados légitimos. Es un hackeo dificil de detectar ya que no afecta a las páginas que muestra el sitio comprometido. Este tipo de malware está catalogado también como SPAM y ocasiona que tu sitio sea catalogado en Google como sitio comprometido o peligroso.
Redireccionamiento malicioso
Un redireccionamiento de este tipo re-dirige al visitante de tu sitio a un sitio malicioso. Este tipo de ataques ha crecido exponencialmente y representa una gran proporción en los ataques web.
Un redireccionamiento puede ser generado por ti, a propósito, y no ocasionar ningún problema. Otro tipo de redireccionamiento puede ser efectivamente malicioso pero llevarte a un sitio sólo para promocionar algo. Y el más peligroso, re-direccionarte a un sitio que te hará que tu computadora descargue un software malicioso.
Conclusión
Como puedes ver, cuatro tipos de ataques causan grandes estragos en muchas instalaciones de WordPress al día de hoy. Con un poco de conocimiento y cuidado, podrías evitar evitar que esto suceda. Lo más importante de todo: conserva tu sitio WordPress actualizado, así como tus temas y plugins (Ten precaución con los temas gratuitos!).
Algunos consejos prácticos
- No utilices cuentas genéricas. Conoce quienes entran a tu WordPress.
- Protege tus directorios para que los atacantes no puedan usarlos en contra tuya. Elimina la ejecución PHP.
- Conserva un respaldo fresco. Nunca sabes cuando lo vas a necesitar.
- De preferencia, conectarte vía SFTP o SSH a tu servidor.
- Evita servidores no protegidos. Contrata un proveedor profesional de hospedaje.
- Tu software debe estar actualizado. Todo. (Clientes FTP, navegadores, antivirus, etc).
- Quita lo que no uses. Usuarios FTP, accesos a WordPress, etc.
- No tienes porqué escribir contenido en tu sitio como administrador, y ningún usuario de contenido requiere permisos de administrador.
- Si no sabes lo que haces, contrata un webmaster o empresa de hospedaje que te apoye.
- Filtrado de IPs, autenticación de doble factor y passwords fuertes darán como resultado un acceso seguro.
Por alguna razón, la percepción entre los usuarios de WordPress es que la parte más difícil de crear su sitio es pagarle a alguien para que haga el sitio y una vez «arriba», hecho ya el sitio, todo está finalizado, no se requiere ninguna acción futura adicional. Quizá ese era el caso hace algunos años, pero no no lo es ahora.