Seguridad en WordPress

¿Cómo va a ser hackeada tu Web en WordPress?

El gran éxito de WordPress lo ha convertido en un objetivo prioritario para los ciberdelincuentes. Como veíamos en el artículo sobre las botnets y en el laboratorio sobre algunas vulnerabilidades de WordPress, al ciberdelincuente no le interesa atacar un único servidor/Web. Lo realmente rentable es controlar un gran número de ordenadores con los que poder hacer ciertas acciones ilícitas en grupo. Y WordPress es el sistema de administración de contenidos más numeroso y popular de la red.

La complejidad de WordPress como sistema de desarrollo (núcleo, plugins y temas) lo hacen difícil de proteger. El eslabón más débil compromete toda la cadena de seguridad. Veamos el histórico de vulnerabilidades de estos tres componentes de WordPress:

Aún siendo más una cuestión de cuándo va a suceder que de cómo, es importante tener en cuenta la forma a través de la cual son vulneradas las Webs basadas en WordPress para poder tomar las medidas preventivas adecuadas.

La mitad de las vulnerabilidades (49%) las encontramos en el grupo compuesto por la configuración del servidor, el núcleo de WordPress y la configuración de la instalación. Por lo tanto es imprescindible contar con un alojamiento especializado en la seguridad en WordPress y fortificado/configurado por un profesional de la seguridad.

El Centro Criptológico Nacional (CCN) ha hecho pública su Guía CCN-STIC 460 Seguridad en WordPress con el fin de ofrecer unas recomendaciones de seguridad mínimas a la hora de utilizar este sistema de gestión de contenido (CMS) que, en agosto de 2013, era utilizado por el 18,9% de todos los sitios existentes en Internet, que por deficiencias de configuración, en muchas ocasiones ha sido utilizado para materializar numerosos ataques. Porque, como hemos comentado anteriormente, el objetivo de los ciberdelincuentes no es una Web en particular sino el control de un gran número de servidores.

Seguridad en WordPress. Vectores de ataque

El Centro Nacional de Inteligencia nos resumen las mejores prácticas sobre seguridad en WordPress y recomendaciones para aplicar el Esquema Nacional de Seguridad y garantizar la seguridad de los sistemas de Tecnologías de la Información en la Administración. Considera de interés público la configuración y seguridad en WordPress debido a la gran número de empresas que utilizan esta herramienta en Internet. En líneas generales, el documento publicado por el CNI sobre la seguridad en WordPress, es correcto pero no recoge las vulnerabilidades asociadas al protocolo XMLRPC. Podéis consultar en este laboratorio sobre Ataques de amplificación de fuerza bruta contra WordPress mediante XMLRPC cómo las llamadas del API comprometen la seguridad en WordPress. Es importante deshabilitar completamente XMLRPC en la configuración para aumentar la seguridad en WordPress.

Existen algunas herramientas en Internet que nos ayudan a evaluar la seguridad en WordPress:

Para evaluar la seguridad en WordPress en profundidad recomiendo la herramienta específica WPScan en Linux:

Otras herramientas online que nos permiten hacer un diagnóstico (general) de la seguridad de nuestra Web y del servidor:

Si los resultados de estas herramientas no cumplen tus expectativas o has tenido algún problema de seguridad no dudes en utilizar el formulario de contacto para ayudarte a aumentar la seguridad en WordPress.

Sígueme

Carlos Sánchez Santos

Presidente de Bilbaodigital y gerente de Imagina Works, S.L.
Forense informático
Auditor de Seguridad FTSAU - RHCT 605007791313908 - RHCSA 100/014/133 CEH ECC942714
Sígueme