¿Su web en Wordpress hackeada?

noviembre 24, 2021

Cibercriminalidad: el gran azote de nuestro tiempo

"Cyber attacks are the number one problem with mankind."
Warren Buffet

“Los ciberataques son la amenaza número uno para la Humanidad” dice Warren Buffet, experto en asuntos financieros y una de las personas más ricas del mundo.

En la actualidad hay aprox. 1,86 billones de páginas web en la red, y si el 1 % es objetivo de ciberataques, estamos hablando de que se está hackeando la friolera de 18,6 millones de páginas web.

Los daños provocados por la cibercriminalidad se cifran en 6 trillones de dólares anuales, y solo en 2020 en Alemania los daños se cuantificaron en 223 billones de euros.

Ante este panorama, el propietario de una pequeña web se pregunta qué tiene que ver el cibercrimen con él. Y la respuesta es: ¡mucho! Tanto sus servidores como sus páginas web suelen tener ventanas abiertas al ciberespacio y con ello el peligro es inminente, pues en cualquier momento cualquiera de esas ventanas puede ser abierta sin autorización.

El software open source: un arma de doble filo

El software de recursos abiertos goza de gran popularidad a todos los niveles y en todos los ámbitos. Pero por desgracia, el acceso libre al código fuente y el suministro casi infinito de soluciones y opciones para enriquecer el software base generan un enorme riesgo en términos de ciberseguridad.

Si el acceso a su Wordpress se presenta con la dirección páginaweb.es/wp-admin y es accesible sin Captcha, puede tener la certeza de que, al menos que haya contratado un servicio externo de protección y monitoreo, solo es cuestión de tiempo que su web en Wordpress sea hackeada.

El plugin de seguridad ABZ

La mayoría de las instalaciones de Wordpress, incluso las de empresas acreditadas y con certificación ISO, tienen un aspecto similar al siguiente. Es muy probable que este sitio web del cliente pronto se convierta en uno de los aprox. 35.000 sitios web que son pirateados cada día.

Nivel de seguridad de la web en Wordpress

Para este sitio web, se cumplen 24 de los 39 puntos de control, pero el estado de seguridad sigue siendo insuficiente y la vulnerabilidad es alta

El cliente no es consciente de que ni los proveedores de alojamiento ni los diseñadores web se preocupan lo suficiente por el estado de seguridad de su sitio web. En el caso de los primeros, no es su trabajo, así que sólo intervienen cuando su sitio es hackeado y afecta al servidor, y en el caso de los segundos, su función es principalmente dar a su sitio un aspecto atractivo y dotarlo de las características necesarias, pasando a menudo por alto la seguridad como un aspecto NO VISIBLE.

Vemos nuestro trabajo no sólo en la traducción de sitios web de Wordpress, sino que en la traducción de entornos de Wordpress nos hemos encontrado una y otra vez con que el cliente no reconoce los riesgos de seguridad y, a lo sumo, sólo utiliza plug-ins gratuitos y generalmente mal configurados para proteger su instalación de Wordpress.

Por eso, ABZ no sólo traduce, sino que también ofrece a nuestros clientes una mayor protección para que sus sitios web no sean infectados por malware.

Funciones básicas y esenciales del plugin de seguridad:

Supresión de las rutas de Wordpress y de los datos de los plugins
Creación de nuevas rutas no estándar de Wordpress (por ejemplo, inicio de sesión de administrador)
Protección Captcha
Protección Brute-Force-Protection contra el hackeo de contraseñas
Protección contra inyección SQL
Protección contra secuencias de comandos en sitios a través de páginas distintas (Cross Site Scripting)
Prohibición de direcciones IP
Comprobación de la seguridad del sitio web
Optimización de archivos CSS y JS
Compatible con WPML, WP-Rocket, Wordfence, Sucuri y muchos otros plugins y temas
Comprobación de la integridad y el nivel de seguridad actual

Después de hacer los ajustes de seguridad, el estado de su sitio web tendrá la siguiente apariencia:

Comprobamos 39 puntos de su sitio web y los mejoramos; 37 se pueden optimizar con una cuenta de administrador de Wordpress y para 2 ajustes necesitamos el acceso de administrador a su servidor de alojamiento. No obstante, la configuración también la puede realizar y ajustar su diseñador web/webmaster. El objetivo es acercarse lo más posible a la marca de 39 puntos para reducir el riesgo de convertirse en uno de los 35.000 sitios web que son pirateados cada día.

Consecuencias más importantes del hackeo de un sitio web

1
Ralentización del sitio web ya que se utiliza una puerta trasera de acceso para enviar spam como cliente de correo electrónico y aumento del tráfico para que el proveedor de alojamiento cancele el plan de hosting o lo aumente al siguiente nivel de pago.
2
Pérdida de reputación, ya que un sitio web pirateado se utiliza indebidamente, por ejemplo, para distribuir contenido ilegal (violencia, pornografía).
3
Reducción de la calificación del dominio en los motores de búsqueda y descenso de su posicionamiento en los mismos.
4
Clasificación del dominio como dominio spam y bloqueo del dominio en numerosos proveedores de clientes de correo electrónico (Gmail, Hotmail y proveedores de hosting).
5
El sitio web se utiliza para alojar y propagar el malware de los hackers, lo que significa que sus visitantes infectan sus ordenadores al visitar su sitio web. Los hackers no utilizarán sus propios servidores para difundir sus troyanos, malware y virus, sino el suyo.
6
Al prestar los hackers el sitio web hackeado y el alojamiento del servidor a otros hackers para que propaguen su malware, un troyano o virus rara vez viene solo.
7
Creación de botnets, es decir redes de sitios web infectados para difundir ataques generalizados sin poder localizar el origen del ataque de los hackers.
8
Potenciar el SEO de otros sitios web: Los hackers obtienen grandes beneficios con afiliaciones y backlinks explotando las capacidades de su servidor.

Esto puede provocar considerables quebraderos de cabeza y problemas, y créanos, hablamos por experiencia...