Sobre WordPress se ejecuta el 35% de todos los sitios de Internet y casi 300.000 del millón de websites con mayor tráfico. No es de extrañar que WordPress sea, por tanto, una de las plataformas tecnológicas más hackeada del mundo. Con nuestros servicios de ciberseguridad, podemos ayudar a tu empresa a revisar las medidas de seguridad de vuestra instalación WordPress y a reforzarlas en consecuencia para minimizar los riesgos derivados de ataques maliciosos y de la pérdida de datos personales o comerciales de especial interés.
Vulnerabilidades de WordPress
Mayores riesgos
De acuerdo a esta fuente, los ataques más frecuentes a instalaciones WordPress se produjeron debido a:
- Falta de actualización de componentes software (61%).
- Uso de contraseñas débiles (8%).
- Vulnerabilidades conocidas en algún componente software: 52% debidas a plugins, 37% debidas al core de WordPress, 11% debidas al tema de la instalación.
- Ataques de tipo XSS (Cross-site scripting): 39%.
Vulnerabilidades conocidas
Entre la comunidad de desarrolladores, tan pronto como se identifica una vulnerabilidad en WordPress, esta se documenta tanto en los foros de la comunidad como en las bibliotecas públicas de información sobre vulnerabilidades (ej. CVE Details). Estas mismas fuentes de información que sirven para «solucionar» estas vulnerabilidades en nuevas actualizaciones, sirven también para los hackers como fuente de información para aprovechar las vulnerabilidades conocidas en versiones anteriores de la plataforma o de sus principales componentes.
Existen algunas reglas fundamentales para entender como funciona la identificación de vulnerabilidades y los riesgos que implican:
- Conforme el software se actualiza, las vulnerabilidades se “cierran”. Versiones más modernas resuelven las vulnerabilidades conocidas en versiones anteriores.
- Cuanto más antigua es una versión, más vulnerabilidades “conocidas” existen. Simplemente, porque ha existido más tiempo para identificarlas y analizar cómo explotarlas. A la inversa, versiones actualizadas, disponen de menos vulnerabilidades “conocidas”.
Problemas de compatibilidad de software
Actualizar es fundamental por motivos de seguridad. Sin embargo, actualizar en entornos de producción es la primera causa de incidencias debido a problemas de compatibilidad software.
Por esta razón, cualquier actualización debe realizarse de forma controlada (actualización controlada) y con una política de calidad en la selección de los componentes software que la forman.
En instalaciones complejas, es conveniente planificar adecuadamente un proyecto de actualización controlada que contemple la puesta al día tanto de la infraestructura tecnológica, como del core de WordPress, los temas y plugins de la instalación, sin olvidar posibles desarrollos adicionales que haya que alinear con las últimas evoluciones de PHP y WordPress.
Actualizar es el primer paso, no el último
Incluso una instalación actualizada puede ser objeto de ataques maliciosos de muchos tipos: ataques por fuerza bruta para tratar de obtener acceso a la instalación; ataques de denegación de servicio (DDoS) para «tumbarla»; inyecciones de código malicioso con cualquier finalidad; hot linking para aumentar sus tiempos de respuesta hasta lo insoportable; sniffing para interferir las comunicaciones; click jacking para desviar a los usuarios hacia otras páginas; … la lista es muy larga.
Ciberseguridad: nuestro enfoque
Además de plantear proyectos de actualización controlada y marcar políticas de calidad en la selección de componentes software, podemos ayudar a tu empresa a revisar periódicamente la seguridad de vuestras instalaciones tanto de forma externa (test de penetración) como a través de proyectos de colaboración (proyecto de ciberseguridad).
Nuestra filosofía de ciberseguridad es sencilla:
No existe la instalación segura 100%, pero podemos ayudaros a tapar los huecos que pueden hacer más sencillo atacar la vuestra.
Test de penetración
Un test de penetración es una serie de pruebas que se lanzan contra la instalación para buscar vulnerabilidades de todo tipo que puedan resultar útiles a los hackers para plantear ataques maliciosos contra vuestra instalación.
En WordPressDeluxe nos hemos especializado en tests de penetración de instalaciones WordPress, y podemos ayudaros a revisar e identificar rápidamente los riesgos más claros en vuestras instalaciones.
A diferencia de los proyectos de colaboración de ciberseguridad, para un test de penetración no es necesario conocer la instalación. Nos gusta plantearlo de la forma más parecida a como lo haría un atacante. Eso sí, nosotros no atacamos, solo investigamos.
Proyecto de ciberseguridad
Nuestro enfoque contempla un diagnóstico de riesgos utilizando fuentes diversas de información, que incluyen entre otras:
- Test de penetración;
- Bibliotecas de vulnerabilidades conocidas en WordPress;
- Herramienta «salud del sitio» de WordPress;
- Herramientas externas de evaluación de la seguridad del sitio;
- Plugins de detección de vulnerabilidades;
- Herramientas de revisión de la seguridad del sitio ofrecidas por los paneles de control del hosting;
- Buenas prácticas de seguridad recomendadas por la comunidad.
Nos parece que este enfoque desde fuentes diversas nos permite disponer de una perspectiva amplia de los riesgos de la instalación.
Con este enfoque, planteamos un plan de acción para tu instalación, que incluye:
- Medidas de mitigación de riesgos inmediatas.
- Planes para la puesta en marcha de acciones para la mejora de la seguridad en el corto plazo.
- Planes para la actualización controlada de la instalación.
- Planes para la puesta en marcha de acciones complejas para mejorar la seguridad de la instalación.
Un proyecto de ciberseguridad es el instrumento más eficiente para dedicar el esfuerzo que merece a la seguridad de vuestra instalación, para proteger los datos personales y comerciales que contiene.
