¿Tienes una página web en WordPress? En este artículo te mostramos una pequeña guía para que con sencillos pasos, compruebes el estado de seguridad de tu página web. WordPress es el principal gestor de contenidos para crear páginas web y está en el punto de mira de los ciberataques a páginas web.
WordPress es el principal Gestor de contenidos o CMS (Content Management System) utilizado para el desarrollo y diseño de páginas web usado en el 60,1% de sitios web diseñados por CMS según W3techs. Estos datos lo convierten en el principal foco de los ciberdelincuentes que constantemente están escaneando la red en busca de portales WordPress vulnerables para ejecutar sus ataques. Estos ataques pueden ser focalizados en un objetivo concreto pero con las herramientas adecuadas, se pueden realizar escaneos y ataques automatizados y masivos pudiendo ser cualquier página el objetivo. Si no sabes si tu web está diseñada en WordPress puedes utilizar esta herramienta web e introducir tu página para comprobarlo:
Sabiendo que tu web es un WordPress, ¿sabes el estado de seguridad de tu web?. A continuación, explicamos 10 sencillos pasos para evaluar tu página.
1. WordPress, tema y plugins actualizados
Cada día aparecen nuevas vulnerabilidades y brechas de seguridad que permiten vulnerar páginas a través del propio WordPress, del tema con el que está construido el diseño gráfico de la web o de los plugins de funcionalidad instalados. Las actualizaciones de versión más comunes de estos tres elementos no son debidas a nuevas funcionalidades sino que son actualizaciones para subsanar errores o bugs de seguridad. ¿Sabes si tu página esta al día con las últimas actualizaciones de WordPress, tema o plugins instalados?
2. Control de los usuarios que acceden al portal
En ocasiones nos podemos encontrar con que una gran cantidad de usuarios acceden a nuestro portal con usuario y contraseña. Administradores, editores o suscriptores son ejemplos de estos tipos de perfiles. Es importante llevar un control de los usuarios que tienen algún tipo de influencia en el contenido de la web ya que un atacante puede haberse introducido en la web creando un nuevo usuario o habiendo suplantado la información de uno existente. ¿Revisas periódicamente los usuario con acceso a tu web?
3. Registro de actividad de intentos de ataque sobre la página
¿Piensas que tu web no es atacada por los ciberatacantes? Tras instalar un plugin de monitorización te sorprenderá conocer la cantidad de intentos de inicio de sesión o conexiones remotas que se realizan en tu página. Registrar los intentos de ataques y poner medidas es uno de los pasos básicos para mejorar la seguridad de la página web. ¿Monitorizas la actividad de tu página web?
4. Registro de cambios en los ficheros
Tu página web está formada por una gran cantidad de ficheros. Detectar cambios no deseados en estos ficheros y analizar el motivo de por qué se han modificado es una medida de seguridad que puede impedir que ciberataques vayan a más, pudiendo llegar a detectar y frenar ataques a tiempo. ¿Controlas los cambios en los ficheros de la web?
5. Configuración de la instalación
Para contar con un entorno seguro en WordPress hay que tener en cuenta muchas variables: hosting (compartido o exclusivo), archivo .htaccess, permisos de los ficheros, gestión de las tablas de las bases de datos, integraciones con aplicaciones externas, etc. La revisión de todos los componentes es una acción imprescindible. ¿Sabes cual es tu configuración?¿Tu configuración es segura?
6. Copias de seguridad
Las copias de seguridad son un elemento fundamental en la seguridad de una web. Una correcta gestión de periodicidad, localización, contenido y cifrado de las copias permite restaurar una web a un punto anterior en caso de cualquier incidente de seguridad. ¿Realizas copias de seguridad? ¿Con qué periodicidad?¿Las haces de manera externa al servidor en el que se encuentra la página? ¿Haces pruebas de restauración? ¿Se cifran las copias?
7. Protección frente a fuerza bruta
Uno de los ataques más comunes hacia una web son los ataques de fuerza bruta con los que los atacantes realizan sucesivos intentos de acceso a tu web intentando adivinar la contraseña. Estos ataques se pueden proteger limitando el número de accesos a tu web. ¿Implementas algún mecanismo frente a fuerza bruta?
8. Conexión con tu web cifrada
La conexión a tu panel de administración de la web debe ir siempre cifrada (por https). Comprueba que en la barra de direcciones, tu web tiene las letras https:// en verde. De lo contrario, es recomendable que instales un certificado de cifrado SSL en tu web para evitar robo de credenciales por un atacante que intercepte tus comunicaciones. ¿Tu conexión con la web es cifrada?
9. Política de contraseñas
Las buenas prácticas en cuanto a seguridad de acceso recomiendan que las contraseñas caduquen y se regeneren nuevas cada cierto tiempo dependiendo de la criticidad de la información. Establecer una política de contraseñas para definir la periodicidad y robustez de las contraseñas es primordial para dificultar lo máximo posible los ataques de acceso. ¿Cuentas con una política de contraseñas?
10. Auditorías de seguridad
Los puntos descritos anteriormente son los requisitos básicos para tener una página web segura pero no son suficientes. Para comprobar el estado de seguridad de una página web se requiere de un análisis de controles más avanzados por lo que es necesario la realización de auditorías de seguridad que generen un informe de estado de vulnerabilidades y la hoja de ruta necesaria para mitigarlas. ¿Realizas auditorías de seguridad de tu página web regularmente?
¿Cumples con estas medidas?
Si la respuesta a todas estas preguntas ha sido positiva, enhorabuena, estás concienciado con la seguridad de tu sitio web pero no te confíes, en cualquier momento tu web puede pasar de ser muy segura a ser vulnerable, revisa con frecuencia la correcta realización y configuración de estos puntos.
Si por el contrario, la respuesta a alguno o todos los puntos ha sido negativa, tu página web es un blanco fácil para los ciberdelincuentes. Desde tiThink te proponemos la oportunidad de realizar una auditoría web de la mano de nuestros expertos para evaluar el estado de seguridad de tu página web. Puedes comprobar por ti mismo y sin compromiso el coste aproximado de tu auditoría mediante nuestra calculadora de simulación de presupuesto on-line.
Si quieres estar al tanto de las últimas novedades en ciberseguridad, transformación digital y business intelligence, no dudes en suscribirte a nuestro boletín de noticias.