¡La instalación 100% segura no existe!
Sobre WordPress funciona el 43% de todos los sitios de Internet y el 64% de todos los CMS. No es de extrañar que WordPress sea una de las plataformas tecnológicas más atacada por los ciberdelincuentes. Tenemos mucha experiencia y podemos ayudar a tu empresa a reforzar la seguridad de vuestra instalación WordPress a través de proyectos de revisión de la seguridad o aportando soluciones específicas en WordPress como respuesta a auditorías de seguridad o tests de penetración de terceros con metodología OWASP.
Algunos ejemplos de cómo podemos ayudar
¿Quieres saber más?
De acuerdo a Sucuri, los ataques más frecuentes a instalaciones WordPress se producen debido a:
- Falta de actualización de componentes software (52%).
- Uso de contraseñas débiles (8%).
- Vulnerabilidades conocidas en algún componente software (normalmente desactualizado): 80% debidas al núcleo de WordPress, 20% debidas a plugins, 2% debidas al tema de la instalación.
- Ataques de tipo XSS (Cross-site scripting): 39%.
La mayor vulnerabilidad actual: PHP 7.4 o inferiores
Con todo, probablemente, la mayor vulnerabilidad actual en una instalación WordPress es seguir utilizando versiones de PHP 7.4 o inferiores, que han terminado su ciclo de vida y ya no reciben actualizaciones de seguridad. Tenemos experiencia en proyectos de revisión y análisis técnico de instalaciones para valorar su grado de compatibilidad con PHP 8 y decidir la versión mayor del lenguaje a instalar en producción: PHP 8.0, 8.1 o 8.2.
Vulnerabilidades conocidas
Entre la comunidad de desarrolladores, tan pronto como se identifica una vulnerabilidad en WordPress, esta se documenta tanto en los foros de la comunidad como en las bibliotecas públicas de información sobre vulnerabilidades (ej. CVE Details). Estas mismas fuentes de información que sirven para «solucionar» estas vulnerabilidades en nuevas actualizaciones, sirven también para los ciberdelicuentes como fuente de información.
Existen algunas reglas fundamentales para entender como funciona la identificación de vulnerabilidades y los riesgos que implican:
- Conforme el software se actualiza, las vulnerabilidades se “cierran”. Versiones más modernas resuelven las vulnerabilidades conocidas en versiones anteriores.
- Cuanto más antigua es una versión, más vulnerabilidades “conocidas” existen. Simplemente, porque ha existido más tiempo para identificarlas y analizar cómo explotarlas. A la inversa, versiones actualizadas, disponen de menos vulnerabilidades “conocidas”.
Problemas de compatibilidad de software
Actualizar es fundamental por motivos de seguridad. Sin embargo, actualizar en entornos de producción es la primera causa de incidencias debido a problemas de compatibilidad software.
Por esta razón, cualquier actualización debe realizarse de forma controlada (actualización controlada) y con una política de calidad en la selección de los componentes software que la forman.
En instalaciones complejas, es conveniente planificar adecuadamente un proyecto de actualización controlada que contemple la puesta al día tanto de la infraestructura tecnológica, como del core de WordPress, los temas y plugins de la instalación, sin olvidar posibles desarrollos adicionales que haya que alinear con las últimas evoluciones de PHP y WordPress.
Actualizar es el primer paso, no el último
Incluso una instalación actualizada puede ser objeto de ataques maliciosos de muchos tipos: ataques por fuerza bruta para tratar de obtener acceso a la instalación; ataques de denegación de servicio (DDoS) para «tumbarla»; inyecciones de código malicioso con cualquier finalidad; hot linking para aumentar sus tiempos de respuesta hasta lo insoportable; sniffing para interferir las comunicaciones; click jacking para desviar a los usuarios hacia otras páginas; … la lista es muy larga.
Brechas de datos personales y eliminación de malware
Nuestra empresa no presta servicios relacionados con «brechas de datos personales» debido al importante componente legal asociado a las medidas que dicta la normativa actual (RGPD, reglamento general de protección de datos personales). Si en tu instalación, existe una «brecha de datos personales» te recomendamos que contactes con especialistas en informática forense. Una vez realizado el trabajo de estos profesionales, podremos ayudaros a bloquear masivamente usuarios o a implementar medidas de mejora de la ciberseguridad si fuera necesario.
Nuestra empresa tampoco presta servicios de «eliminación de malware». Si estás seguro de que en tu instalación existe malware y no se ha producido una «brecha de datos personales», te recomendamos que realices una restauración completa de la instalación eliminando previamente cualquier software que no provenga de una fuente fiable (p.ej. temas, plugins, archivos svg o webp de imágenes, …). Asímismo, te recomendamos que cierres, regeneres y refuerces todos los accesos a la instalación que puedan haber sido comprometidos (usuarios, FTP, SSH, base de datos, panel de control). Tras la restauración, existen herramientas en el universo WordPress (Wordfence, Sucuri o WPCerber) que te pueden ayudar a comparar el software estándar con sus versiones originales y a detectar si existe software malicioso, pero, en nuestra opinión, ninguna podrá garantizarte que eliminas al 100% el malware.
Si quieres saber más sobre los principios de seguridad en el diseño de aplicaciones y soluciones web, te recomendamos leer esta entrada: «Ciberseguridad. Principios de seguridad aplicados al diseño (OWASP)«.
¿Cómo podemos ayudarte?
Además de plantear proyectos de actualización controlada y marcar políticas de calidad en la selección de componentes software, podemos ayudar a tu empresa a través de proyectos de revisión de la seguridad o aportando soluciones específicas en WordPress como respuesta a riesgos específicos, auditorías de seguridad o tests de penetración de terceros con metodología OWASP.