WordPress. Tanto por la sencillez de su diseño como sus innumerables plantillas – gratis y de pago -, los cuales facilitan al usuario el diseño completo de su futura Página Web o Desarrollo Web; se ha convertido en uno de los gestores de contenido web más empleado en entornos laborales, educativos y personales.
Asimismo, en cada una de estas plantillas se puede instalar una serie de complementos – o plugins – que permiten exprimir al máximo el contenido que se incluye en una Página Web y, por consiguiente, enriquecen la experiencia del usuario final. Si usas WordPress para tu Página Web, seguramente tienes más de un complemento instalado. Justamente por ello, GEN DIGITAL, Agencia Digital, desea que tengas cuidado, debido a que podrías estar en gran peligro. ¡Sigue leyendo para saber por qué!
Cuidado con los plugins en el Desarrollo Web en WordPress
Actualmente, «File Manager» es el complemento que cuenta con más de 700.000 suscripciones y, lamentablemente se ha convertido en el plugin de explotación por múltiples ciber-delincuentes para ejecutar comandos y scripts maliciosos en los diferentes sitios webs a los que tienen acceso.
Los ataques han sido reportados unas horas después de que fueran corregidas las primeras páginas. Utilizando dicha vulnerabilidad, los hackers estaban subiendo archivos con webshells – un tipo de script malicioso – escondidos en una imagen determinada. Desde dicha imagen, eran capaces de ejecutar los comandos adecuados en el directorio «plugins/wp-file-manager/lib/files/» que es donde se aloja «File Manager».
La empresa de seguridad Wordfence notificó que había bloqueado ya más de 450.000 intentos de explotación, valiéndose de este sistema. En dicho post se aseguraba que los atacantes habían intentado subir varios archivos, algunos incluso vacíos. Esto lo hacían para ver qué sitios eran más vulnerables para así, a continuación, continuar con el hackeo. Los archivos maliciosos que luego subían tenían por nombre «hardfork.php, hardfind.php y x.php».
Dicho fallo de seguridad, encontrado en el complemento «File Manager» de WordPress, se encuentra en las versiones de la 6.0 a la 6.8. Recientemente, y según datos oficiales de la propia WordPress, cerca del 52% de las instalaciones que se realizan del plug-in son vulnerables. De manera que, lo mejor para evitar dicha invasión es que si tú dispones de dicho plug-in con las versiones anteriormente mencionadas, ¡actualiza lo antes posible a la versión 6.9! En caso contrario, datos sensibles personales y de tu Página Web podrían peligrar.
Desarrollo Web: Precauciones adicionales para brindar mayor seguridad a tu sitio web en WordPress
Es evidente que los ataques de hackers son cada vez más comunes y, cuando dañan un sitio web pueden ser letales, debido a que es el principal canal online para generar nuevos negocios en muchas empresas y/o emprendimientos. Ahora bien, ¿cómo asegurarnos de que tu sitio web esté bien protegido? ¿Cómo disponer de una buena seguridad en WordPress?
Para responder a estas interrogantes, GEN DIGITAL, Agencia Digital describe diecisiete consejos que sí o sí debes conocer para que tu sitio web de WordPress goce de completa seguridad, estos son:
1) Realiza backups con frecuencia
2) Inicia la sesión con tu email
3) Cambia la URL de inicio de sesión de tu sitio web
4) Protege más al archivo «wp-config.php»
5) Aumenta la protección del directorio «wp-admin»
6) Emplea la autenticación de dos factores
7) Dispón de un certificado SSL
8) Mantén a los temas y plugins siempre actualizados
9) Ten cuidado al elegir los temas
10) Utiliza contraseñas fuertes en la plataforma
11) Elimina archivos innecesarios
12) Prevén los spams
13) Impide el registro de nuevos usuarios
14) Determina los permisos correctos para archivos y carpetas
15) Asegúrate de que la depuración está bien protegida
16) Cambia el prefijo de la tabla del banco de datos
17) Conecta el servidor de manera correcta.
Conclusiones de una Agencia Digital
GEN DIGITAL, Agencia Digital, se mantendrá atenta a cualquier noticia o reporte de Desarrollo Web, especialmente a informaciones que supongan una vulneración a la integridad de las Páginas Web. Asimismo, si deseas consultar el caso particular de tu Página Web, ¡no dudes en contactarnos! Nosotros tenemos el conocimiento, experticia y herramientas necesarias para ayudarte.
