Recientemente Wordfence: https://www.wordfence.com, ha publicado un informe que detalla las principales amenazas del gestor de contenidos WordPress, en base a la experiencia de proteger más de 4 millones de sitios web alrededor del globo: The Wordfence 2020 WordPress Threat Report: https://www.wordfence.com/blog/2021/01/the-wordfence-2020-wordpress-threat-report/.
Sobre WordPress: https://es.wordpress.org/, qué podemos decir, recuerdo que hace ya unos años, cuando te planteabas montar un sitio web avanzado y en condiciones, la elección del CMS solía conllevar un tiempo, en base a evaluar el tipo de sitio, idiomas, funcionalidades añadidas y demás, comparabas entre Joomla, Drupal o WordPress… sin embargo a día de hoy, este último es jefe indiscutible de internet, de modo que casi el 40% de todos los sitios web del mundo se basan en WordPress, y la cifra aumenta a casi el 65% si sólo contamos sitios web basados en gestores de contenidos.
En el fondo he de reconocer que no me sorprende, habiéndome pegado con todos los protagonistas anteriores, sin duda WordPress es el que más me ha gustado desde un primer momento, sin hacer de menos por supuesto a Joomla o Drupal, que en todo caso se tratan también de soluciones de primer nivel. En todo caso, es indudable que WordPress posee una curva de aprendizaje más pequeña, que permite desplegar un sitio de un modo mucho más rápido y sencillo, y que por naturaleza posee una mejor integración SEO con buscadores, todo ello en conjunto explican en cierto modo el por qué está dónde está.
Sobre Wordfence, quienes han desarrollado el informe sobre el que gira este artículo, comentar que son una referencia de seguridad en WordPress. De hecho hablamos hace tiempo sobre ellos en el artículo: https://ciberseguridadtotal.com/protege-tu-portal-wordpress-protege-tu-negocio/, dónde explicamos como utilizar plugins de seguridad en WordPress para proteger nuestro sitio web: “wordfence” y “all-in-one-security & firewall”.
Aspectos importantes del informe: The Wordfence 2020 WordPress Threat Report
Lo primero que debemos destacar del informe, es la detección de las siguientes 3 amenazas como las más extendidas y relevantes:
- Intentos de inicio de sesión maliciosos
- Explotación de vulnerabilidades
- Malware en temas y componentes pirateados
Profundizando un poco más en cada uno de ellos:
Intentos de inicio de sesión maliciosos:
Wordfence detectó más de 90 mil millones de intentos de inicio de sesión maliciosos en sitios protegidos por sus soluciones. Prácticamente sale a 2.800 ataques por segundo.
En este sentido, a través de soluciones como “Wordfence” y “All-in-one-security & firewall” de las que profundizamos en el artículo mencionado anteriormente, podemos proteger a través de diversos métodos la autenticación a nuestro CMS: captchas de acceso, lista blanca de IPs, bloqueo de intentos fallidos, modificación de la ruta estándar de administración del sitio, etc…
Explotación de vulnerabilidades:
Wordfence detectó más de 4,3 billones de intentos de ataque a través de las típicas técnicas de:
- Directory transversal (43% de los intentos de explotación)
- SQL injection (21%)
- Malicious file uploads (11%)
- Cross-site Scripting XSS (8%)
- Authentication bypass (3%)
Mantener nuestro sitio actualizado, utilizar complementos de seguridad como los mencionados en el artículo, y sobre todo proponer un entorno securizado con un WAF (web application firewall), que de paso puede complementarse con herramientas como las CRS destacadas en el último artículo artículo relacionado a OWASP: https://ciberseguridadtotal.com/owasp-apostando-por-un-software-seguro/, nos ayudarán a mantenernos protegidos.
Malware de temas y componentes pirateados:
Wordfence detectó más de 70 millones de ficheros maliciosos en más de 1,2 millones de portales web durante 2020.
Cuando se piratea un tema o complemento, es típico que además de desactivar diversas funciones orientadas al licenciamiento, anulemos la posibilidad de actualización y resolución de bugs.
Lo anterior es más que grave, teniendo en cuenta además que el ecosistema de WordPress es inmenso, y no es difícil encontrar alternativas libres o freemium a componentes de pago. Además, en todo caso, el coste de componentes y temas de referencia, en ningún caso supone un desembolso desmesurado. En general, incluso los plugins más destacados, poseen precios populares, por lo que no merece la pena comprometer nuestro sitio por el uso de software pirata.
Conclusiones rápidas:
Creo que en general se puede decir que WordPress es seguro, se trata de un CMS open source, sustentado por una enorme comunidad de desarrolladores, cuyo código es libre y es revisado por expertos de todo el mundo.
En general, la mayoría de problemas de seguridad que podemos encontrar en un sitio web WordPress correctamente actualizado y al día, están relacionados a los componentes extra o temas que hayamos instalado, a la desprotección del sistema de autenticación, o a un entorno de hospedaje deficiente.
En todo caso, con técnicas sencillas, incluso relacionadas simplemente al uso de componentes como Wordfence, podemos añadir capas extra de protección que pongan las cosas más difíciles a los malos.
