La imparable transformación que estamos viviendo como sociedad está aportando muchos beneficios, pero también se está traduciendo en una creciente dependencia de la tecnología y de lo digital. Para que esta vinculación no se convierta en un problema, es importante que el desarrollo tecnológico venga acompañado de las necesarias medidas en el ámbito de la ciberseguridad. Esto es algo que aplica perfectamente a la evolución de WordPress y la seguridad asociada.
El desarrollo de sitios web, especialmente los relacionados con el comercio electrónico, está viviendo una tendencia creciente durante los últimos años, aunque, a raíz de la pandemia, se ha podido experimentar una auténtica explosión. Por ejemplo, en una reciente conversación que tuvimos con José Ramón Padrón, country manager de SiteGround para España, solo en nuestro país han experimentado un incremento del 224% durante el año pasado. Desde luego, una cifra que denota de forma evidente la clara apuesta por este tipo de modelos digitales.
Durante la primera mitad de 2021 WordPress ha intensificado su nivel de protagonismo hasta en un 42%
En este contexto, y según datos del WordPress Security Report 2021 Mid-Year desarrollado por Wordfence y WPScan, el nivel de protagonismo de WordPress en los sitios web ha aumentado durante los últimos años. De hecho, este informe cifra el incremento durante la primera mitad de 2021 en un 42%.
Más ataques, pero un mayor número de vulnerabilidades detectadas
Tal y como ocurre en otros ámbitos, esta masiva adopción está atrayendo un mayor interés por parte de los cibercriminales, que cada vez apuntan más a los sitios creados con WordPress. Utilizando la información de la base de datos de vulnerabilidades de WordPress de WPScan, así como los datos de ataque de la plataforma de inteligencia de amenazas interna de Wordfence, el citado informe analiza la tendencia actual de los ataques en WordPress y evalúa el estado actual de la seguridad del software basado en este estándar.
Se aprecia un crecimiento continuo en los ataques dirigidos a las vulnerabilidades de los plugins y temas de WordPress
Por ejemplo, una de sus conclusiones aprecia un crecimiento continuo en los ataques dirigidos a las vulnerabilidades de los plugins y temas de WordPress, junto con un aumento en los ataques basados en contraseñas. Esto indica que los atacantes han estado intensificando sus esfuerzos para apuntar a los sitios de WordPress este año.
Un dato a favor es el aumento de las nuevas vulnerabilidades que se están registrando en WPScan, lo que indica una tendencia positiva en la actividad de los denominados piratas informáticos éticos, que buscan la seguridad del ecosistema de WordPress.
Los resultados de esta investigación aportan algunos datos interesantes:
- Las vulnerabilidades de Cross-Site Scripting (XSS) representaron más de la mitad de las vulnerabilidades de los plugins.
- El 17% de estas vulnerabilidades fueron de riesgo crítico.
- Los ataques de contraseña contra WordPress van en aumento.
Contraseñas comprometidas
Uno de los métodos más comunes para comprometer los sitios de WordPress son los ataques de contraseña. Generalmente, para intentar acceder al sitio los cibercriminales utilizan los denominados ataques de diccionario o las listas de contraseñas comprometidas, ataques que suelen tener mucho éxito debido a las claves se reutilizan frecuentemente
En los primeros seis meses de 2021 Wordfence ha bloqueado más de 86 mil millones de solicitudes de ataque de contraseña
Un dato muy interesante que aparece reflejado en este informe: en los primeros seis meses de 2021, el firewall de Wordfence ha bloqueado más de 86 mil millones de solicitudes de ataque de contraseña. Además, en enero de 2021, bloqueó algo más de ocho mil millones de intentos de fuerza bruta, cifra que ha superado ampliamente los 18 mil millones de intentos en junio de 2021.
Webinar: seguridad WordPress
Entre las acciones de divulgación que desarrolla SiteGround a lo largo del año, nos ha llamado especialmente la atención un interesante webinar emitido el pasado 8 de septiembre, enfocado precisamente a la seguridad en WordPress.
¿Qué puede aportar un proveedor de hosting de servicios gestionados en cuanto a la seguridad de un site?
A lo largo de esta charla, en la que José Ramón Padrón ejerce de maestro de ceremonias, se dan las claves para incrementar la seguridad de los sitios web. A grandes rasgos, se trata de cumplir una serie de medidas y requisitos para asegurar que una instalación WordPress sea segura y de confianza. Se profundiza en todo aquellos que puede aportar un proveedor de hosting de servicios gestionados, en ámbitos como el mantenimiento y actualización del software de base, del core de WordPress y de los plugins y plantillas; el desarrollo de las copias de seguridad; o todo lo relativo a la política de seguridad interna del proveedor, la definición de permisos para carpetas o ficheros, la monitorización continua de los servidores, etc.
Por último, se ofrecen también una serie de pautas para actuar en caso de que se produzca un hackeo de la página web.