homefinance blog
Como propietario del sitio web de WordPress, ya sabe que la seguridad juega un papel importante en mantener sus operaciones seguras para hacks y ataques maliciosos. Pero, ¿cómo se piratean exactamente los sitios? ¿Cuál es el proceso por el cual los hackers intentan y a menudo logran destruir los sitios de WordPress con sus ataques? A pesar de que la web ha crecido con saltos y límites en las últimas décadas, mucho no ha cambiado mucho sobre cómo los malos actores rompen los sitios web. Y lo más importante que debe hacer para mantener su sitio y los visitantes seguros es comprender completamente cuáles son estos fideicomisos sin cambios, para que pueda permanecer un paso por delante de ellos.
En esta guía completa, le mostraremos exactamente cómo se piratean los sitios web, que son las señales de que su sitio ha sido pirateado y muchos más. Vamos a ver.
En esta guía
La extensión masiva de los sitios web pirateados
¿Cómo se piratean los sitios? Los 3 caminos principales
Los medios de sitios web tienen mucha actividad
1. Control de acceso
2. Vulnerabilidades de software
3. Servicios e integración de terceros
Protección de su sitio contra pirata
El mejor complemento de seguridad de WordPress para asegurar y proteger a WordPress
La magnitud masiva de los sitios web pirateados en más de 1.200 millones de sitios web (con B) ahora comprende la amplia versión web de hoy. Y si asume un tiempo de carga promedio de sitios web de 3 segundos, le tomaría más de 160 años visitar cada sitio existente, sin descansar por un segundo.
Esta es una red loca de masiva que es completamente imposible para cualquier entidad individual supervisar. Aunque los servicios como la navegación segura de Google intenta advertir a sus usuarios sobre sitios que podrían ser inseguros. Actualmente, ofrecen más de 3 millones de estas advertencias todos los días. En los sitios web escaneados por un complemento de seguridad de WordPress, como iThemes Security Pro, entre el 1-2% de todos los sitios tienen al menos un indicador de compromiso (COI) que revela un intento de piratería actual. Incluso si este porcentaje te parece bastante pequeño, realmente no lo es. Si toma este porcentaje y lo divide en todos los sitios web del mundo, significa que alrededor de 12 millones de sitios están infectados o pirateados por un atacante. Y este es el tamaño de las poblaciones en Los Ángeles y Nueva York en un solo lugar. Dijo que los sitios web siempre serán objetivos grandes para personas con malas intenciones. Y el impacto general de cualquier truco será devastador para su negocio, pero hay buenas noticias. Aunque existe una gran amenaza que es dañina y persistente, nuestra conciencia de nosotros, combinada con el uso de las herramientas adecuadas, ayudará a garantizar que nuestros sitios permanezcan alejados de los ataques. ¿Cómo se piratean los sitios? Las 3 rutas principales en las últimas tres décadas de Internet, vemos que los hacks casi siempre alcanzan tres categorías diferentes:
Control de acceso
Vulnerabilidades de software
Integraciones con terceros
La realidad es que no importa si ejecuta un sitio para una fortuna 500 o una zapatería local, la forma en que los piratas informáticos se acercan a su oficio se verán casi idénticos. Pero lo que difiere es la forma en que cada negocio individual se permite explotar en primer lugar. Las grandes organizaciones a menudo usan la excusa para decir: “Pensé que alguien más está a cargo de la seguridad”. Este tipo de niebla y comunicación incorrecta es común en organizaciones grandes y complejas.
Las pequeñas empresas a menudo creen que son demasiado pequeñas para que cualquier hacker quiera apuntarlos. A menudo están bajo la falsa suposición de que los piratas informáticos no los tocarán. Esto facilita perder de vista cuánta información privada se puede tomar incluso del sitio web más pequeño.
En ambos casos, los piratas informáticos tienen incentivos y herramientas para lograr sus objetivos en áreas donde no hay mucha vigilancia por la seguridad.
Los medios de comunicación de sitios web tienen mucha actividad antes de explorar las especificaciones de cada tipo de hack, para establecer primero una base increíblemente importante de cómo funciona realmente la web. Cada sitio se basa en una serie de sistemas que están interconectados y trabajan juntos. Hay componentes como DNS (servidores de nombres de dominio), el servidor web y la infraestructura que aloja los diversos servidores y los conecta a Internet. Incluso si eso suena relativamente simple, el ecosistema básico es bastante complejo. Muchos de los componentes individuales son proporcionados por proveedores de servicios especializados. Incluso si recibe una serie de servicios diferentes de un solo proveedor de servicios, todavía hay innumerables partes de la ecuación que funcionan solas. Dése a su sitio web como un vehículo de consumo moderno. En el exterior, parece sólido y racionalizado, pero debajo tiene innumerables partes móviles que hacen que todo funcione. Para el propósito de esta guía, no es importante comprender todos los detalles sobre cómo funciona su sitio, pero es importante saber que cada uno de estos componentes individuales afectará la seguridad general de su sitio de WordPress. Y todos tienen el potencial de contribuir a la forma en que está pirateado su sitio.
Obtener contenido de bonificación: una guía de seguridad de WordPress
haga clic aquí
1. Control de acceso Esto se refiere específicamente al proceso de autorización y autenticación. Simplemente dicho, el control de acceso es cómo se conecta a su sitio de WordPress.
Y esto excede solo cómo se conecta al panel de administración de su sitio. Como ya hemos establecido, hay muchos datos de conexión interconectados diferentes que funcionan juntos en el backstage de su sitio, hay seis áreas específicas que debe considerar. ¿Cómo estás: iniciar sesión en el panel de host?
¿Iniciar sesión en el servidor (SSH, SFTP, FTP)?
Iniciar sesión en su sitio?
¿Iniciar sesión en su computadora personal?
¿Iniciar sesión en las plataformas de redes sociales?
¿Almacene las credenciales para el nombre de usuario y la contraseña para cada una de estas variables?
Es demasiado fácil pasar por alto el control de acceso. Sin embargo, cada punto de acceso individual puede dar a los piratas informáticos acceso a todo su ecosistema.
Un hacker también utilizará una serie de tácticas diferentes para obtener acceso a un solo punto inseguro. Piense en ello como un ladrón casero que verifica cada entrada potencial, luego te escabulle (o te engañe) a los hijos de códigos de acceso o claves en el hogar.
Los ataques de fuerza bruta son los más fáciles de lograr y pueden ser el método más efectivo. Con un ataque de fuerza bruta, el hacker intenta adivinar las potenciales combinaciones de nombre de usuario y contraseña en el esfuerzo por conectarse como un usuario creíble del sitio.
Los ataques de ingeniería social están aumentando en popularidad. Un hacker crea páginas de phishing diseñadas para engañar a un usuario que ingresa voluntariamente a la combinación de identificación y contraseña.
Los ataques de secuencia de comandos de sitios cruzados (XSS) y falsificación de solicitudes de sitios cruzados (CSRF) implican la intercepción de las credenciales de conexión de un usuario a través del navegador del usuario. Además, se utilizan ataques del hombre en el medio (MITM). Con esto, un nombre de usuario y una contraseña de un usuario se interceptan fácilmente cuando un usuario trabaja en redes que no son completamente seguras.
Más keylogger de malware y programas que monitorearán a los usuarios seguirán la entrada, luego se los reportarán al hacker que ha infectado al usuario.
Pero independientemente del tipo de ataque cometido, el objetivo del hacker es siempre el mismo: obtienes acceso directo a tu sitio a través de autenticaciones creíbles.
Independientemente del estilo de ataque, el propósito es el mismo: obtienes acceso directo a través del registro. El complemento de seguridad iThems agrega más protección para la seguridad de su usuario. Es por eso que IThems Security ofrece varias capas de seguridad para los usuarios, incluida la autenticación de dos factores, confía en los dispositivos contra el secuestro de la sesión, autentificaciones de contraseña para verificar la identificación de los usuarios y violar la protección de contraseñas. Incluso puede realizar las verificaciones de seguridad del usuario para auditar y modificar rápidamente los elementos más críticos de la seguridad del usuario.
El siguiente nivel de seguridad que agrega Ithemes Security es la protección para la parte más atacada de su sitio, la pantalla de inicio de sesión de WordPress. Ithemes Security ofrece dos tipos de protección de fuerza bruta para rastrear los intentos de conexión no válidos en su sitio. Una vez que un usuario o BOT haya hecho demasiada autenticación consecutiva inválida, se bloqueará y se evitará que haga otros intentos durante un cierto período de tiempo. 2. Vulnerabilidades de software En realidad, la gran mayoría de los propietarios de sitios de WordPress no pueden abordar las vulnerabilidades de seguridad en el software actual sin un parche recomendado por el desarrollador de software. El problema es que muchos desarrolladores no tienen en cuenta las amenazas que presenta el código que escribo en su sitio. Un pequeño error que no afecta visiblemente UX (experiencia del usuario) puede explotarse para que el software haga cosas que no tenía la intención de hacer. Y los piratas informáticos más experimentados consideran esos errores como vulnerabilidades potenciales. Una de las formas más comunes en que hacen esto es el uso de un encabezado post incorrecto o un recurso uniforme (URL) incorrecto para iniciar una serie de ataques diferentes. Éstos incluyen:
Ejecución de código remoto (RCE) que permite la toma remota total del Sitio y el sistema dirigido
Incluyendo archivos remotos/locales (R/LFI) utilizando la entrada proporcionada por el usuario en campos para cargar archivos maliciosos en un sistema
Inyección SQL (SQLI) que manipula los campos de introducir el texto con código malicioso que envía secuencias de ataque al servidor similar al control de activos, las vulnerabilidades de software se extienden más allá del alcance del sitio web. Estas vulnerabilidades se pueden encontrar y explotar dentro de cada tecnología interconectada en la que se basa un sitio web. Y la mayoría de los sitios actuales usan una mezcla de extensiones de terceros, como complementos y temas de WordPress, que son todos los puntos potenciales de intrusión de piratería. Debido a que los complementos vulnerables, los temas y versiones básicos de WordPress son la mayor seguridad de su sitio, IThemes Security va a trabajar escaneando su sitio con Ithemes Security Site Scan, sabrá cada vez que un complemento, un tema básico de WordPress en su sitio es vulnerable y requiere actualización. Y aún mejor … ejecutará automáticamente actualizaciones para usted. El sitio de escaneo está alimentado por la base de datos de vulnerabilidad más completa disponible, por lo que siempre tendrá la última protección. El sitio de escaneo también se integra con Google Safe Browsing para verificar el estado de la lista bloqueada de su sitio y para cualquier malware o archivos sospechosos conocidos. Así es como el sitio de seguridad del sitio de seguridad para proteger su sitio:
Escanee su sitio dos veces al día en busca de vulnerabilidades-plugins, versiones básicas de WordPress, vulnerabilidad WPSCAN para las últimas revelaciones de vulnerabilidad.
Se actualiza automáticamente si una corrección de seguridad está disponible con versiones de gestión, IThemes Security actualizará automáticamente un complemento, un tema o versión basado en WordPress si tiene una vulnerabilidad. Envíe un correo electrónico si el escaneo del sitio detecta la vulnerabilidad: Reciba un informe de correo electrónico si su sitio ejecuta versiones vulnerables de un complemento, temas o núcleo de WordPress.Personalice las direcciones de correo electrónico que reciben los resultados del escaneo.
3. Servicios e integraciones de terceros Eventualmente, existen exploits que tienen lugar a través de servicios e integración de terceros. La mayoría de las veces, tomarán la forma de anuncios a través de una red publicitaria que conduce a ataques publicitarios incorrectos. Estos hacks involucrarán servicios que use con su sitio y alojamiento, incluidas variables como CDN (red de distribución de contenido). Los servicios e integración de terceros garantizan una interconexión suficiente entre las diferentes partes de la experiencia de gestión de su sitio. De hecho, esto es algo que a las personas les encanta de las opciones extensibles del sistema de gestión de contenido, como WordPress, Drupal y Joomla. Pero la interconexión también ofrece puntos que los hackers pueden explotar. Uno de los mayores problemas es cómo los piratas informáticos explotan estos servicios e integraciones de manera que excedan al propietario de los sitios web para controlarlos. Como constructor o administrador del sitio, ha puesto mucha confianza en los proveedores de terceros cuando elige usar una de sus integraciones. Y, por supuesto, muchos son diligentes para garantizar su integración. Pero, como con otras cosas, existe un riesgo inherente. Y es uno que los piratas informáticos siempre tienen los ojos. Una de las formas en que funciona la seguridad de IThemes para proteger el acceso de terceros es con contraseñas seguras para aplicaciones para XML-RPC y la API REST.
Esta actualización permite el uso de la autenticación del nombre de usuario/contraseña para las solicitudes de la API REST, por lo que puede bloquear la API REST (de acuerdo con nuestra recomendación), al tiempo que permite las herramientas externas que usan el resto para conectarse. Protección de su sitio contra pirata El sitio de Seguridad de WordPress es importante. Gran parte de la seguridad del sitio de WordPress es la educación y la conciencia. Y la lectura simple de esta guía lo ha puesto en una mejor posición para asegurar su sitio. En el futuro, hay pasos específicos que debe hacer. Y nuestro objetivo es ayudarlo a tocarlos. Desafortunadamente, solo después de que algo salió mal, muchos propietarios de sitios web finalmente se toman en serio la seguridad. En cambio, ¿por qué no pasar antes del dolor y tomar estos pasos para mantenerse alejado de él? Use los principios de defensa profunda. Esto implica construir capas de seguridad como cebolla. Cada práctica hace que sea más difícil para los hackers ingresar a su ecosistema.
Use las mejores prácticas con los menos privilegiados. Asegúrese de limitar lo que cada usuario de sitio permite hacer.
Cree autenticación con dos factores y autenticación con múltiples factores donde sea que pueda. Esto asegurará aún más los puntos de acceso específicos de los usuarios.
Use un firewall para el sitio web. Esto hará maravillas al limitar cómo los hackers están tratando de explotar las vulnerabilidades de software.
Programe copias de seguridad regularmente. Descargue e instale Backup BackupBuddy WordPress como una solución para ello. De esta manera, si su sitio es pirateado, podrá recuperarlo con unos pocos clics. Obtenga los principales motores de búsqueda. Bing Webmaster Tools y Google Search Console proporcionan informes útiles sobre cómo veo la seguridad de su sitio.
La mejor manera de cubrir estas bases de seguridad como propietario del sitio de WordPress es el uso del iThems Security Pro. Luego comprende que no hay una forma segura de mantenerse 100% segura en cualquier momento. Las herramientas que usa en el entorno de su sitio web reducirán significativamente su riesgo general. Pero la seguridad no es una sola acción o evento. Es una serie de acciones. Y todo comienza con una gran herramienta, como iThemes Security Pro, que lo ayudará a guiarse sobre cómo asegurar mejor su sitio. Ahora que sabe qué hacer y lo que está buscando, sin duda conocerá uno de los escenarios de seguridad que cubrimos en esta guía. Pero ahora, sabrás mejor qué hacer para remediar el problema.
El mejor complemento de seguridad de WordPress para asegurar y proteger a WordPress WordPress actualmente está suministrando más del 40% de todos los sitios web, por lo que se ha convertido en un objetivo fácil para los piratas informáticos con intención maliciosa. El complemento IThemes Security Pro elimina los supuestos de la seguridad de WordPress para facilitar la seguridad y la protección de su sitio de WordPress. Es como tener un experto en seguridad a tiempo completo en personal que monitoree y protege constantemente su sitio web de WordPress.
Obtenga IThemes Security Pro
Kristen Wright
Kristen ha escrito tutoriales para ayudar a los usuarios de WordPress desde 2011. Como directora de marketing aquí en Ithems, se dedica a ayudarlo a encontrar las mejores formas de construir, administrar y mantener sitios web eficientes de WordPress.Además, a Kristen le gusta escribir en el diario (vea su proyecto paralelo, el año de transformación!), Senderismo y acampar, aeróbicos, cocinar y aventuras diarias con su familia, esperando vivir una vida más presente.
