Principales vías de ataque a una página web con WordPress

Si tienes una página web con un número decente de accesos, seguro que habrás visto intentos de ataque o habrás tenido que resolver algún ataque.

El usuario normal no es consciente pero un servidor conectado a Internet recibe ataques continuos (sólo hace falta ver los logs) y una página web, sobre todo una “popular”, también. El sistema WordPress no es que sea más vulnerable que otros, es que como es popular los “malos” lo conocen y están probando continuamente en busca de fallos. Afortunadamente se actualiza muy a menudo.Ya hemos hablado en otro artículos sobre maneras de reducir el riesgo con plugins de seguridad y analizando la web cada cierto tiempo.

Hoy os hablamos sobre un interesante artículo que refleja las principales vías de acceso a este sistema WordPress. El artículo fuente es este y os recomiendo leerlo. Es un artículo de este blog sobre seguridad en WordPress que os recomiendo para lo interesados en el tema.
Además, Wordfence tiene lo que llaman el Security Learning Center, donde podrás ver mucha información sobre WordPress y la seguridad. De nuevo muy recomendable.

Podéis ver en el gráfico siguiente las principales vías de acceso a un WordPress, y esto nos permite sacar conclusiones.

wordpressataques

Como veis, es muy necesario:

  • Tener los plugins, el core y el tema lo más actualizado posible. ¿Lógico no?
  • Tener un sistema que reduzca el riesgo de ataques de fuerza bruta, un firewall en WordPress o similar.
  • Tener el sistema (servidor) bien al día, con las contraseñas seguras en todos sus accesos (ftp, ssh etc).
  • Tener una política lógica de contraseñas y usuarios tanto para el admin como para los usuarios registrados.

Vamos que lo que llevamos diciendo tiempo los que nos dedicamos a esto no son tonterías.

Eso si, es MUY normal (90% de los casos) hacerle una web a un cliente y que se olvide del mantenimiento. Se piensan que son trabajos estáticos y una vez hechos se acabó. Es un candidato perfecto para estos ataques y luego la limpieza cuesta más que el mantenimiento (por no decir la mala imagen de que Google suelte un aviso en nuestra web).