4 ataques comunes de WordPress (y cómo evitarlos)

Debido a que actúa más del 40% de la web, WordPress es un objetivo popular para los ataques.Si un hacker logra ingresar a un solo sitio de WordPress, puede tener la clave para millones de otros, incluido el suyo.Parte del mantenimiento del sitio de manera segura es comprender los riesgos.Como propietario de un sitio, puede parecer un tema desalentador.Sin embargo, una vez que sepa lo que enfrenta, puede tomar las medidas necesarias para defender su sitio.En este artículo, discutiremos la importancia de asegurar su sitio de WordPress y exploraremos cuatro de las mayores amenazas contra él.Durante el curso, compartiremos complementos, mejores prácticas y técnicas que pueden ayudarlo a proteger su sitio de cada peligro específico.¡Vamos a empezar!
La importancia de asegurar su sitio está aumentando los ataques cibernéticos de WordPress, los especialistas en la prevención de fraude Arkose Labs informaron un aumento del 20% de los ataques digitales en 2020. Durante este período, Arkose Labs también registró el más alto nivel de ataques con hocico con hocico , con 1.300 millones detectados en total. Los hackers siempre presentan nuevas estrategias. Incluso hay evidencia que sugiere que los ciberdelincuentes están tratando de usar la pandemia para su ventaja. El FBI informó un aumento del 300% de los delitos cibernéticos desde el comienzo de la epidemia Covid-19. WordPress es mantenido por un equipo de desarrolladores de alta experiencia que trabajan duro para asegurarse de que la plataforma sea segura. Sin embargo, es bastante común que los propietarios de sitios web usen una serie de complementos de WordPress y terceros. Esto agrega código adicional a su sitio, lo que significa más brechas potenciales que un hacker podría explotar.
Si un ciberdelino se las arregla para acceder a su sitio, puede hacer estragos. Podrían dañarlo con contenido inapropiado, eliminar datos importantes o fraude a sus clientes. Si no ha creado una copia de seguridad, puede encontrar que un hacker ha eliminado todo el sitio, dejándole desesperadamente recuperar su contenido. Esta actividad maliciosa podría conducir a la pérdida de confianza de los clientes, conversiones e ingresos. También existe la posibilidad de que su sitio se incluya en la lista negra de motores de búsqueda. Si esto sucede, su contenido desaparecerá de las páginas con los resultados del motor de búsqueda (SERP) y su tráfico orgánico probablemente disminuirá. Incluso si logra recuperar su sitio web, reparar su motor de búsqueda puede ser difícil. Echemos un vistazo a cuatro de las amenazas más populares. 1. Una fuerza bruta ataca un ataque de fuerza en bruto es cuando un hacker intenta forzar su entrada al tablero usando cientos o incluso miles de contraseñas y nombres de usuario conocidos. Los ataques de fuerza bruta son un método popular de intrusión en todas las plataformas. Sin embargo, pueden ser particularmente problemáticos para WordPress.
Por defecto, todos los administradores de WordPress tienen el mismo nombre de usuario (“Admin”). Si no cambia este nombre de usuario automático generado, los hackers brutos ya saben la mitad de su inicio de sesión, solo adivine su contraseña. Para proteger su sitio contra los ataques de las fuerzas brutas, es importante usar un solo nombre de administrador y seguir las mejores prácticas de contraseña. Esto incluye el uso de al menos ocho caracteres, más una mezcla de letras, números y símbolos de mayúsculas y mayúsculas. También es inteligente evitar expresiones ordinarias, especialmente aquellas que frecuentemente se asocian con contraseñas, como “LetMein” o “Contraseña”. También le sugerimos que evite cualquier palabra que se refiera a su sitio web, empresa, ubicación o detalles personales. Para fortalecer su contraseña, puede ayudarlo a usar un generador. El generador de contraseñas aleatorias sólidas y lastPass son dos opciones populares:
Alternativamente, puede crear una contraseña desde el tablero de WordPress. En su área de administración, simplemente explore a los usuarios> todos los usuarios y seleccione su perfil y luego, en la administración de su cuenta, puede hacer clic en Establecer una nueva contraseña para generar una contraseña aleatoria:
También es una buena idea limitar el número de intentos de conexión en su sitio, utilizando un complemento como los intentos de conexión recargados. Esto puede evitar que los robots atacen su página de conexión con miles de contraseñas en rápida sucesión.

2. Los ataques de WordPress con la inyección de SQL ataques de inyección SQL son cuando una persona intenta acceder a la junta de WordPress mediante la inyección de la consulta SQL maliciosa. La base de datos MySQL de su sitio web ejecutará este código, y el hacker puede obtener la entrada en su sitio. Los ciberdelincuentes pueden iniciar ataques de inyección SQL a través de cualquier sección de su sitio que reúna la información de los usuarios. Esto significa que algo tan inofensivo como un formulario de contacto, una sección de comentarios o un cuadro de búsqueda podría poner la base de datos en peligro. Idealmente, cada campo de entrada en su sitio se configurará en válida y desinfectará de forma segura las entradas de todos los usuarios antes de redirigirlos a la base de datos. Este proceso garantiza que su sitio solo acepte datos válidos. Sin embargo, si estos campos de entrada no están configurados correctamente, los piratas informáticos pueden usarlos para inyectar código malicioso. MySQL es vulnerable a los ataques de inyección, por lo que es importante mantener el software actualizado. También debe tratar su inicio de sesión de MySQL con el mismo cuidado que WordPress Password.

El uso de un nombre de base de datos único puede hacer que sea más difícil identificar la base de datos para hackers. Si está utilizando CPANEL, puede cambiar el nombre de la base de datos de WordPress utilizando la herramienta PhPMyAdmin. Muchos ataques de inyección también se dirigen a temas y complementos que permiten a los visitantes introducir. Esta es otra razón para revisar cuidadosamente todos los temas y complementos antes de agregar a su sitio y actualizar regularmente el software de terceros. 3. Scripting de sitios cruzados (XSS) Un ataque de secuencias de comandos de sitios cruzados (XSS) ocurre cuando un hacker carga JavaScript malicioso en su sitio web de WordPress. Los ataques XSS generalmente están diseñados para recopilar datos de sus clientes, lo que puede ser particularmente desastroso si su sitio administra información confidencial, como los detalles de pago. Un ataque XSS exitoso también puede redirigir a sus visitantes a otro sitio web elegido por Hacker, causando reducir su web tráfico. Incluso puede afectar su reputación, especialmente si el ataque dirige a sus clientes a un sitio web o spam malicioso. Puede proteger su sitio contra los ataques XSS utilizando un firewall de aplicación web (WAF) como el complemento de Wordfency. Este firewall en el nivel de solicitud filtra las solicitudes maliciosas antes de que tengan la oportunidad de llegar a su sitio:
Después de la activación de Wordfency, puede configurar su firewall navegando en Wordfency> Firewall.

4. DDOS WordPress Attales (servicio de negación distribuido). Los ataques distribuidos de denegación de servicio (DDoS) a menudo están en la primera página de títulos, porque muchas organizaciones de alto perfil han sido víctimas. Esto incluye pesas pesadas como Netflix y Amazon. Un ataque DDoS tiene lugar cuando los piratas informáticos bombardean un servidor con solicitudes. Finalmente, el servidor se vuelve abrumado e incluso puede atascarse. Un WAF puede identificar solicitudes sospechosas y evitar que accedan a su sitio web. La interfaz del programa de aplicación (API) de la transferencia de estado representativa (REST) ​​ofrece a los desarrolladores flexibilidad para usar WordPress con otras tecnologías. Sin embargo, las piezas maliciosas de terceros pueden usar el resto como parte de sus ataques DDoS. Si su sitio web no usa activamente la API REST, le recomendamos que lo deshabilite con un complemento, como desactivar la API REST WP. Del mismo modo, mientras que XML-RPC es útil para activar pingbacks y trackbacks, los piratas informáticos podrían usarlo como parte de sus ataques DDoS. Si no usa XML-RPC, puede deshabilitarlo utilizando un complemento como Disable XML-RPC-API:
Su proveedor de alojamiento también puede ayudarlo a proteger su sitio contra ataques DDoS. Algunos proveedores de alojamiento de WordPress, como WP Engine, incluso ofrecen herramientas de atenuación DDOS. Conclusión WordPress es uno de los sistemas de gestión de contenido más populares (CMS) del mundo. Desafortunadamente, esta popularidad hace que su sitio de WordPress sea un objetivo principal para todo tipo de ataques cibernéticos. En este artículo, discutimos cuatro de los tipos más comunes de ataques de WordPress y cómo mantener su sitio seguro. Esto incluye: ataques de fuerza bruta. Este es el momento en que un hacker usa técnicas sofisticadas para adivinar su inicio de sesión. Puede proteger su sitio contra ellos siguiendo las mejores prácticas para las contraseñas y utilizando un generador de contraseñas como LastPass.
Ataques de inyección SQL. Un hacker puede inyectar interrogatorios maliciosos SQL a través de cualquier campo de introducción del usuario. Puede hacer que la base de datos sea más difícil de acceder cambiando su nombre predeterminado.

Scripting de sitio cruzado (XSS). Los delincuentes cibernéticos pueden cargar código JavaScript malicioso en su sitio web de WordPress. Aquí, puede ayudar a usar un WAF, como WordFency Plugin.
Ataques distribuidos de denegación de servicio (DDoS). Los terceros maliciosos pueden intentar abrumar a su servidor con solicitudes. Puede evitar estos ataques deshabilitando las API innecesarias y optando por un proveedor de alojamiento de WordPress administrado seguro, como WP Engine.