¿Cómo se piratean los sitios de WordPress (y qué hacer en esto)

Tener el sitio de WordPress Piratat es una de las pesadillas más grandes para cualquier propietario del sitio. De un momento a otro, su sitio está cerrado. El tráfico se derrumba y toda la energía, el esfuerzo, el tiempo y el dinero que pone en su sitio está a punto de perderse por completo. Sin embargo, encontrar y remediar el problema es un trabajo duro, no tan difícil como ganar confianza de la audiencia o eliminar el sitio de las listas de spam negro. Aunque el pirata nunca es agradable, es mucho más común de lo que piensas. WordPress Ascension pintó un gran ojo en la parte posterior del CMS y lo convirtió en un objetivo favorito para los piratas informáticos.
Solo en 2012, se rompieron más de 170,000 sitios de WordPress, un número que probablemente sea mucho más grande hasta ahora. Para salvarlo de esta experiencia desagradable, en este artículo analizaremos las razones por las cuales los piratas informáticos están dirigidos a los sitios de WordPress, las formas más comunes en que obtienen acceso y qué medidas puede tomar para protegerlo. Esta es una lectura obligatoria para cualquier propietario del sitio web de WordPress, ¡así que tenga en cuenta! ¿Por qué a alguien le gustaría piratear su sitio web de WordPress?

Especialmente los propietarios de sitios web más pequeños a menudo se consideran un objetivo poco probable para los piratas informáticos.
Después de todo, ¿por qué a alguien le importaría tu pequeño blog? ¿Qué podrían tener los piratas informáticos de su compromiso? Sin embargo, cuando se trata de ser pirateado, el tamaño del tráfico o la popularidad no son factores decisivos. Los intentos de piratería son una cuestión de oportunidad. Lo primero que debe comprender es que no se trata de su sitio en particular o de usted personalmente. La mayoría de los sitios están rotos solo porque es posible. Solo en casos raros, los piratas informáticos tienen una cierta razón para ir a un sitio en particular. Sin embargo, esto es especialmente cierto para las grandes corporaciones, como Sony. Para los mortales simples como nosotros, la mayoría de las veces los piratas informáticos van a nuestros sitios porque les ofrecemos una apertura, sin saberlo. Por lo tanto, no se trata de lógica o si tiene sentido piratear su sitio. No importa cuán pequeño o insignificante tenga tráfico, siempre es un objetivo viable. La mayoría de los ataques de piratería están automatizados como una de las principales razones por las cuales los piratas informáticos no diferencian entre sitios de diferentes tamaños es que los ataques casi siempre se realizan automáticamente. Si cree que alguien ha escrito la dirección de su sitio en una barra de navegador y buscó bien hasta que encontró algo, está totalmente equivocado. Este tipo de enfoque sería completamente no económico desde el punto de vista de un hacker.
En cambio, como los motores de búsqueda, los piratas informáticos usan robots para rastrear la red. Sin embargo, en lugar de indexar el contenido, sus robots huelen las vulnerabilidades conocidas. La automatización del proceso permite a los piratas informáticos atacar varios sitios simultáneamente y, por lo tanto, aumentar drásticamente sus posibilidades de éxito. Ahorros de escala en las mejores condiciones. Por lo tanto, si su sitio está roto, probablemente apareció en el radar de un script automático, no porque alguien conscientemente decidiera atacarlo. ¿Qué hay para ellos? Sin embargo, la pregunta sigue siendo: ¿por qué alguien haría este esfuerzo? ¿Qué obtienen de esto? Por supuesto, si ejecuta un taller web que procesa mucha información financiera, como los números de tarjetas de crédito, este sería un objetivo sensible para los piratas informáticos. Sin embargo, si su sitio no contiene secretos gubernamentales u información bancaria de otras personas, ¿por qué estarían interesados ​​en su sitio? Bueno, incluso en esos casos, pirata su sitio podría traer beneficios a las personas con malas intenciones de diferentes maneras:
Las descargas de descargas de manejo pueden usar su sitio para infectar las computadoras de sus visitantes con malware, como puertas traseras, herramientas de seguimiento clave, ransomware, virus u otro software malicioso para capturar información que puedo usarlas en sus propias ganancias.
Las redirecciones, a veces, los piratas informáticos redirigirán a los visitantes a su sitio a otros sitios web que generen ingresos afiliados para ellos.
Los recursos del sistema, otra posibilidad es hacerse cargo del servidor y usar el hardware para enviar correos electrónicos de spam, realizar ataques de referencia de servicio bruto y más. Por supuesto, esto pondrá fácilmente su servidor, y el sitio, en una lista negra o aumentará su costo de alojamiento si se basa en el uso. Como puede ver, su sitio es interesante para los piratas informáticos, independientemente de su tamaño o popularidad. Por lo tanto, el propietario de cada sitio es una posible víctima.
¿Cómo se piratean los sitios de WordPress?
Ahora que sabemos por qué las personas están tratando de piratear sitios de WordPress, para ver las formas más comunes en que logran hacerlo. Según una infografía de la plantilla de WP, estos son los puntos de entrada más comunes en los sitios de WordPress:
El 41% son pirateados por vulnerabilidades de su plataforma de alojamiento
29% por medio de un tema inseguro

22% por un complemento vulnerable
8% debido a contraseñas débiles
Como puede ver, el primer punto de entrada suele ser el proveedor de alojamiento. Esto no significa necesariamente que su sitio haya sido dirigido directamente. También es posible que otro sitio en un tono de alojamiento haya sido pirateado y destruya a los demás en este proceso.
Lo alarmante es que más de la mitad de todos los trucos exitosos vienen a través de temas y complementos de WordPress. Esta parte, por lo tanto, merece una atención especial y hablaremos de ello más detalles a continuación. El resto de los sitios sufren una protección de contraseña insuficiente, lo que los hace vulnerables a los ataques de fuerza en bruto. Aunque el ocho por ciento no parece largo, tenga en cuenta que estamos hablando de cientos de miles de sitios web. Aunque solo un pequeño porcentaje de ellos tiene información de conexión débil, este número todavía se reduce a miles de sitios vulnerables. De acuerdo, ahora sabemos lo que hace WordPress vulnerable, ¿qué podemos hacer en esto? Cómo mantener su sitio seguro
La seguridad de WordPress tiene que ver con la proactividad. Sabes lo que se dice, un gramo de prevención merece un kilogramo de curación, especialmente en la web. Según la información anterior, estas son algunas de las formas más efectivas de evitar su sitio web de WordPress. Elija un proveedor de host de alta calidad, una cosa que debería ser clara de las estadísticas es que la calidad de su proveedor de alojamiento tiene un gran impacto en la seguridad de su sitio. Por lo tanto, elegir un proveedor de renombre que brinde prioridad a la seguridad debe estar a la vanguardia de su lista de medidas para evitar el pirata de su sitio.
Además de aceptar las últimas versiones PHP y MySQL, esto significa que deberían realizar al menos malware regular y copias de seguridad diarias. (¡Este último incluso me guardó mi tocino una vez, solo puedo enfatizar este punto!) Para nosotros, como usuarios de WordPress, también es una buena idea ir con un proveedor de host especializado en ejecutar la plataforma basada en la plataforma y ofrecer una optimizada entorno para WordPress, así como personal con conocimiento. Puede encontrar una prueba de empresas de alojamiento de Toppress aquí. Además, si puede, manténgase alejado de las soluciones de sombra pura para evitar problemas de “vecino malo” como se mencionó anteriormente. Perfine Regular Reserve Niños incluso si los pasos mencionados en esta lista fortalecerán seriamente la seguridad de su sitio. No hay 100% Garantizar que no será pirateado de todos modos. Esto no se debe a que WordPress sea implícitamente incierto (lejos de esto), sino porque cualquier cosa conectada a Internet siempre está en peligro, sin importar cuán bajo sea el nivel de amenaza. Por lo tanto, aunque es bueno esperar lo que es mejor, también es importante prepararse para lo que es peor y para los propietarios de sitios web, eso significa respaldo. Si ya tiene un anfitrión de calidad, deben encargarse de este lado para usted y también mantener la copia de su sitio en una ubicación segura. Para todos los demás y para aquellos que desean ser más seguros, implementar una solución de respaldo confiable es una necesidad y tiene muchos que elegir:
Duplicador
Ascendente

WordPress de respaldo en Dropbox
BackupBuddy (pagado) VaultPress (pagado)
Codeguard (pagado)
BlogVault (pagado)
Elija uno y configúrelo ahora. Voy a estar esperando. No es serio, hazlo ahora. Reforzar su autenticación junto al entorno de alojamiento, las contraseñas débiles y la información de conexión también son responsables de una buena cantidad de hacks. Esto es especialmente cierto para los ataques de la fuerza bruta en los que los piratas informáticos ejecutan un script que ingresa contraseñas aleatorias y nombre de usuario hasta que uno esté en forma. No importa cuán estúpido suene, ¡funciona! Mire las peores contraseñas el año pasado y comprenderá por qué. Como primera línea de defensa, siga las siguientes buenas prácticas para la información de inicio de sesión de WordPress:
Cambie sus contraseñas con frecuencia (en serio, ponga un recordatorio en su calendario ahora)
Evite usar el nombre de usuario del administrador (que fue predeterminado en versiones anteriores de WordPress y, por lo tanto, a menudo se dirige primero)
Cree una contraseña segura (ya sea por un servicio externo o mediante el medidor de energía de contraseña incluido en WordPress)
Obligó a otros usuarios a hacer lo mismo que las contraseñas seguras
Almacene las contraseñas en un lugar seguro como LastPass
Además, puede mejorar su seguridad de autenticación con los siguientes métodos:
Limite las pruebas de inicio de sesión-plugins, como la solución de seguridad de bloqueo e inicio de sesión, le permite limitar el número de pruebas de conexión de una sola dirección IP dentro de un tiempo determinado. Perfecto para mantener los ataques con fuerza cruda.
Use la autenticación de dos pasos: agregue un segundo nivel de seguridad que solo se puede pasar a través del teléfono móvil, la cuenta de red social o de otra manera. Las opciones incluyen autenticación DUO de dos factores, OpenID y Clef. Puede hacerlo renombrando WP-Login.php, Hidelogin+ o Lockdown WP Admin.
¿Autenticación protegida de WordPress? Entonces pasemos a otras cosas.
Agregar saltos a WP-Config.php Las teclas de seguridad de WordPress se han ingresado en WordPress 2.6. Hay líneas de caracteres aleatorias que se utilizan para cifrar la información almacenada en las cookies del usuario, lo que hace que se rompan y usen en su sitio. Las claves ingresan a su archivo wp-config.php donde escribe así: define (‘authkey’ , ‘Pon tu frase única aquí’);
Define (‘Secure_auth_ky’, ‘Pon tu frase única aquí’);
Define (‘logged_in_key’, ‘pon tu frase única aquí);
Define (‘nonce_key’, ‘pon tu frase única aquí’);
Define (‘Auth_sal’, ‘Pon tu frase única aquí’);
Define (‘Secure_auth_sal’, ‘Pon tu frase única aquí’);
Define (‘logged_in_sal’, ‘pon tu frase única aquí);

Define (‘Nonce_al’, ‘Pon tu frase única aquí’); Reemplácelos con el código del generador de sal de WordPress, se verá así: Define (‘Auth_Key’, ‘C Correo electrónico protegido] {Q’);
Define (‘Secure_auth_ky’, ‘Kg9? Q =! Wgrdpt [1#`
Define (‘logged_in_key’, ‘awx-twcjs*5gln602e [[correo electrónico protegido] {jna481wzn’ nonce_key ‘,’ ye*yclpx+o7mta] 1 xvrq`_bfm+u) s1.6o*jh {tyba^2 ~ hk`]] *6Eyzz/a] pp [xa ‘);
Define (‘auth_sal’, ‘n! { -,} i {6h? ek u`: yj^c%d -.o06. ~’);
Define (‘Secure_auth_sal’, ‘2m3kyc, lmg> p, ds2vy0n+#&. H! $ 90xucvqlukysa05`/tu+bf (bcbt/rmo-lh#h’);
Define (‘logged_in_sal’, ‘zn <7uzu+t-+1jz} a = v, qqjwktl | x*i <2 pmita^tke9vk $ o? & fj ++ paexcr?
Define ('Nonce_sal', '`Q! S ~ | C ~ Xawl) O(¡Por supuesto, no los use, genere el suyo!) Establezca un prefijo de tabla único, sabrá el prefijo de la tabla de WordPress desde la instalación de 5 minutos.
Por defecto, se establece en WP_, que también se conoce en hackers. Por esta razón, si lo deja, su sitio será más vulnerable a las inyecciones de SQL. Para aumentar su seguridad aún más, es una buena idea cambiarla a algo aleatorio e imposible de adivinar, como K5NS7UE03IA933_. Al crear un nuevo sitio, puede hacerlo desde el principio. Sin embargo, incluso con un sitio existente, no es tan difícil cambiar. La forma más fácil de hacerlo es el uso de la seguridad de Ithemes. El complemento puede realizar todas las operaciones necesarias alcanzando un botón. Una forma alternativa, pero más tiempo que consumo, es hacerlo manualmente. Si no puede cambiar el prefijo de la tabla a través del complemento, use esta guía para hacer los cambios necesarios. Mantenga las actualizaciones actualizadas de WordPress no solo trae nuevas funciones de WordPress y mejoras en el código, sino que también aborda los problemas de seguridad de las versiones anteriores. Esto es especialmente cierto para las actualizaciones de seguridad cuyo único propósito es remediar este tipo de cosas. Según WP WhiteSecurity, más del 70% de los principales sitios de WordPress en la web tenían un tipo de vulnerabilidad que se debía a ejecutar una versión obsoleta de WordPress. Por esta razón y por otras razones, es importante mantenerse al día con el ciclo de actualización de WordPress. Además, comenzando con WordPress 3.7, las actualizaciones de mantenimiento y seguridad se aplican automáticamente. Es posible activar la aplicación automática para versiones principales, todo lo que es necesario es agregar el siguiente código a wp-config.php: define ('wp_auto_update_core', true);
Sin embargo, con las principales actualizaciones, la posibilidad es mayor para que destruyan su sitio. Por esta razón, es posible que desee quedarse con la configuración estándar, pero haga su compromiso de aplicar las actualizaciones tan pronto como aparezcan. Ocultar el número de la versión de WordPress que habla sobre mantenerse actualizado: de forma predeterminada, WordPress agrega un metaetichet en la sección principal de su sitio, que muestra qué versión del CMS ejecuta. Especialmente si su sitio no se actualiza (aunque debe saber mejor hasta ahora), esto ayudará a los piratas informáticos a descubrir vulnerabilidades conocidas. A continuación se muestra una pieza de código útil que detiene a WordPress para hacer esto: remove_action ('wp_head', 'wp_generator'); Simplemente agréguelo a las funciones de funciones.php y ya está. Mantenga los temas y complementos de WordPress como hemos visto anteriormente, más de la mitad de los intentos de piratería exitosos tienen lugar a través de complementos y temas vulnerables de WordPress. Aunque suena dramáticamente, no hay razón para dudar del ecosistema de WordPress en su conjunto. Incluso los complementos mejores y mejor mantenidos pueden tener un problema de seguridad. Aparecen errores y en la mayoría de los casos se remedian antes de convertirse en un gran problema. Sin embargo, para minimizar el riesgo de su sitio, aquí hay una orientación sobre cómo tratar complementos y temas: eliminar todo lo que pueda para reducir la posibilidad de una vulnerabilidad, deshacerse de cada complemento y tema de su sitio … absolutamente necesario. A menudo, te sorprenderá cuánto miento sin realizar ninguna función. También puede acelerar seriamente su sitio.
Actualización regularmente: al igual que el núcleo de WordPress, los componentes que hacen el corte deben actualizarse. Esto también significa que si un autor no ha sido actualizado por su autor durante más de un año, probablemente sea mejor buscar una alternativa mantenida activamente. Verifique antes de la instalación: evite la instalación de complementos y temas de fuentes no reparadas, especialmente la gratuita. unos. Al agregar componentes a su sitio, primero ejecute la verificación del tema, la verificación de complementos y la base de datos para las vulnerabilidades de los complementos.
También hay formas de actualizar automáticamente temas y complementos, sin embargo, como en el caso de las actualizaciones básicas, le recomiendo que los maneje para evitar destruir el sitio sin saberlo. Otras tácticas para evitar que su sitio web de WordPress sea piratas, aquí hay una serie de pasos más bajos que puede tomar para aumentar el nivel de seguridad de su sitio web. 1. Establezca los archivos correctos para los archivos Si los permisos de archivo en su servidor no están configurados correctamente, los terceros pueden ser más fáciles de corromper. Los permisos deben establecerse de la siguiente manera:
755 o 750 para todos los directorios
644 o 640 para archivos
600 para wp-config.php
Para obtener más información sobre este tema, consulte WordPress Codex o este elemento. Si no está seguro de esta configuración en su servidor, solicite ayuda a su host 2. Deshabilite el editor de complementos y los temas de WordPress Edit que permite a los usuarios hacer archivos directamente desde el backend. Aunque esto también puede ser útil, también significa que si alguien tiene acceso a su sitio, puede usar esta función para desactivarla en el menor tiempo. Por esta razón, podría ser una buena idea apagar el editor y trabajar exclusivamente en archivos FTP. Esto, nuevamente, es una cuestión de agregar el código a wp-config.php: define ('deseshow_file_edit', true); 3. Deshabilite los informes de PHP Si un complemento o tema causa un error, el mensaje que se muestra puede contener información sobre los directores y el sistema de archivos que los hackers podrían usar para comprometer su sistema. Entonces, mientras esté en esto, agregue lo siguiente a su archivo astuto wp-config.php para desactivarlos: reporting_erori (0);@init_set ('display_errors', 0); ¿Crees que su sitio se ha visto comprometido? Aunque puede haber señales obvias de que su sitio se haya roto, a menudo no se notará en absoluto. Si tiene la sospecha de que su sitio puede estar comprometido o solo desea asegurarse de que todo esté en orden, aquí hay algunas herramientas para consultar su sitio web en busca de códigos maliciosos y otros problemas:

General: los parásitos de desenmascaras e inspector web pueden alarmarse en varios problemas de seguridad.
Virus: use antivirus o protección antivirus WP o complemento WP.
Spam-MX Toolbox puede decirle si su sitio ha sido incluido en más de cien listas de correo electrónico negros. Escáner de malware gratuito de programas de malware para los jugos del sitio web Compruebe si hay códigos maliciosos y otros problemas de seguridad.
Si descubre que su sitio realmente se ha visto comprometido, esta guía detallada lo ayudará a recuperarlo. En resumen: sea proactivo para que su sitio pirateado o compromiso de WordPress sea un horror que pocos propietarios de sitios quieran experimentar o no olviden pronto si ya lo tienen. La recuperación después de un éxito completo requiere mucha energía, nervios y, a menudo, dinero. Sin embargo, los problemas de seguridad son parte de la realidad de ejecutar un sitio web, y la precaución es mejor que hacer frente a las consecuencias. Afortunadamente, WordPress en sí es generalmente muy seguro. La mayoría de las veces, el punto de entrada para los piratas informáticos es el entorno de alojamiento, los arados y los temas vulnerables, así como la información de conexión débil. Siguiendo el consejo, la lista anterior lo ayudará a abordar los problemas más comunes y hará que su sitio sea mucho menos vulnerable. Muchas de las medidas mencionadas aquí también forman parte de las soluciones de seguridad todo en uno que es posible que desee verificar:
Seguridad a prueba de balas
Jugos de seguridad
ITHEMES SEGURIDAD
Wordfency
Si está pirateado, es mejor mantener la calma y trabajar en una solución que asustar y hacer algo desagradable. Con un plan de repuesto en vigor, está bien preparado para volver a la normalidad y regresar rápidamente. ¿Ha tenido una experiencia con un sitio comprometido? ¿Cómo lo resolviste? ¡Háganos saber en la sección de comentarios!