Segu\u00ed leyendo para entender mejor c\u00f3mo configurar y mantener un sitio de WordPress seguro.<\/p>\n\n\n\n
Elementos de la seguridad de WordPress<\/h2>\n\n\n\n
Los sitios web de WordPress consisten en la instalaci\u00f3n central de WordPress y los componentes de software adicionales que agregas posteriormente (plugins y temas).<\/p>\n\n\n\n
Al mejorar la seguridad de tu sitio, necesitas estar al tanto de estos tres elementos principales. A continuaci\u00f3n, un breve resumen de cada uno de los elementos y su rol en la seguridad de tu sitio.<\/p>\n\n\n\n
N\u00facleo<\/h3>\n\n\n\n
El n\u00facleo de WordPress es el conjunto de archivos que instal\u00e1s en tu servidor cuando comenz\u00e1s una p\u00e1gina de WordPress.org. Son los archivos esenciales que todos los sitios de WordPress necesitan para funcionar.<\/p>\n\n\n\n
El n\u00facleo de WordPress es desarrollado y mantenido por el equipo detr\u00e1s de WordPress.org, que emplea expertos en ciberseguridad de clase mundial para monitorear y corregir constantemente las vulnerabilidades. Como resultado, el n\u00facleo es muy seguro, pero puede seguir siendo vulnerable ocasionalmente antes de ser corregido.<\/p>\n\n\n\n
Los n\u00facleos de WordPress m\u00e1s antiguos no se mantienen, por lo que son mucho m\u00e1s vulnerables a ser explotados. Mantener los archivos del n\u00facleo actualizados es una medida de seguridad crucial.<\/p>\n\n\n\n
Plugins y temas<\/h3>\n\n\n\n
El equipo de WordPress.org no desarrolla los plugins y temas. Como resultado, su nivel de seguridad depende de la dedicaci\u00f3n de los desarrolladores.<\/p>\n\n\n\n
Esto significa que algunos plugins y temas son muy seguros porque tienen un equipo de expertos en ciberseguridad detr\u00e1s de ellos. En cambio, otros son mucho menos seguros debido a la falta de mantenimiento y actualizaciones. Algunos plugins y temas pueden incluso ser abandonados, haciendo que sean a\u00fan m\u00e1s inseguros.<\/p>\n\n\n\n
La mejor manera de evitar vulnerabilidades en plugins y temas es instalar solo aquellos de buena reputaci\u00f3n y mantenerlos actualizados.<\/p>\n\n\n\n
Vulnerabilidades y amenazas comunes de seguridad en WordPress<\/h2>\n\n\n\n
WordPress tiene vulnerabilidades que pueden convertirse en amenazas de seguridad por actores maliciosos, como hackers motivados por ganancias monetarias, tr\u00e1fico web o cualquier otra raz\u00f3n.<\/p>\n\n\n\n
Estas son las vulnerabilidades y amenazas m\u00e1s comunes y significativas de WordPress.<\/p>\n\n\n\n
N\u00facleos de CMS y versiones de PHP desactualizados<\/h3>\n\n\n\n![\"Code](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/How-safe-is-WordPress_-What-you-need-to-know-in-2023-II-1-1024x743.jpg\")
<\/figure>\n\n\n\nComo explicamos anteriormente, el n\u00facleo es la instalaci\u00f3n principal de WordPress que contiene la base fundamental de tu sitio web. Las versiones m\u00e1s antiguas ya no son compatibles con WordPress.org, lo que significa que sus vulnerabilidades conocidas permanecer\u00e1n sin ser corregidas para siempre.<\/p>\n\n\n\n
Como resultado, los hackers pueden explotarlas m\u00e1s f\u00e1cilmente, sabiendo con seguridad que no pueden ser detenidos mediante parches de seguridad. Lo mismo ocurre con PHP, el lenguaje de programaci\u00f3n que da vida a los archivos del n\u00facleo. Las versiones anteriores de PHP son menos seguras.<\/p>\n\n\n\n
Paneles de administraci\u00f3n sin seguridad<\/h3>\n\n\n\n![\"A](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/How-safe-is-WordPress_-What-you-need-to-know-in-2023-III-1-1024x743.jpg\")
<\/figure>\n\n\n\nExplotar la URL de inicio de sesi\u00f3n del administrador mediante ataques de fuerza bruta es una de las formas m\u00e1s comunes. Los sitios de WordPress son hackeados, proporcionando acceso total al panel de administraci\u00f3n. Hay muchas maneras de asegurar tu URL de inicio de sesi\u00f3n del administrador, pero estas tres son probablemente las m\u00e1s comunes y efectivas:<\/p>\n\n\n\n
\n- Cambiar la URL de inicio de sesi\u00f3n predeterminada por una \u00fanica que sea m\u00e1s dif\u00edcil de adivinar.<\/li>\n\n\n\n
- Agregar autenticaci\u00f3n de dos factores al proceso de inicio de sesi\u00f3n.<\/li>\n\n\n\n
- Establecer un l\u00edmite para los intentos fallidos de inicio de sesi\u00f3n.<\/li>\n<\/ul>\n\n\n\n
Intentos de inicio de sesi\u00f3n por fuerza bruta<\/h3>\n\n\n\n![\"code](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/How-safe-is-WordPress_-What-you-need-to-know-in-2023-IV-1-1024x743.jpg\")
<\/figure>\n\n\n\nLos intentos de inicio de sesi\u00f3n por fuerza bruta<\/a> o los ataques de fuerza bruta son ciberataques en los que el atacante adivina cada combinaci\u00f3n posible de caracteres para encontrar una contrase\u00f1a que les permita acceder a un sitio.<\/p>\n\n\n\nEs uno de los ciberataques m\u00e1s simples y puede tomar mucho tiempo antes de dar con la contrase\u00f1a correcta. Usar contrase\u00f1as largas, fuertes y \u00fanicas hace que los ataques de fuerza bruta sean menos efectivos.<\/p>\n\n\n\n
Plugins y temas vulnerables y sin seguridad<\/h3>\n\n\n\n![\"Plugins](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/How-safe-is-WordPress_-What-you-need-to-know-in-2023-V-1-1024x743.jpg\")
<\/figure>\n\n\n\nConsiderando que hay docenas de miles de plugins y temas que interact\u00faan con tus sitios web de m\u00faltiples maneras, es posible que los hackers finalmente encuentren una vulnerabilidad en uno de ellos y la exploten para acceder a sitios web desprevenidos.<\/p>\n\n\n\n
Las vulnerabilidades de los plugins y temas pueden ser las m\u00e1s da\u00f1inas cuando se explotan en plugins y temas populares instalados en miles o millones de sitios web. La adopci\u00f3n generalizada aumenta el grupo de posibles objetivos y proporciona mayores cantidades de informaci\u00f3n para robar.<\/p>\n\n\n\n
Malware<\/h3>\n\n\n\n![\"A](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/How-safe-is-WordPress_-What-you-need-to-know-in-2023-VI-1-1024x743.jpg\")
<\/figure>\n\n\n\nEl malware (soft<\/strong>ware mal<\/strong>icioso) es una amplia familia de software creada para da\u00f1ar o ganar acceso no autorizado a un sistema inform\u00e1tico. Varios tipos de malware operan de diferentes maneras para explotar diferentes mecanismos del sitio web.<\/p>\n\n\n\nEn WordPress, los tipos m\u00e1s comunes de malware son:<\/p>\n\n\n\n
\n- Backdoors<\/a>.<\/li>\n\n\n\n
- Hacktools (herramientas de hacking).<\/li>\n\n\n\n
- SEO Spam<\/a>.<\/li>\n\n\n\n
- Phishing<\/a>.<\/li>\n\n\n\n
- Defacements.<\/li>\n\n\n\n
- Mailers.<\/li>\n\n\n\n
- Droppers.<\/li>\n<\/ul>\n\n\n\n
Hotlinking<\/h3>\n\n\n\n![\"A](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/How-safe-is-WordPress_-What-you-need-to-know-in-2023-VII-1-1024x743.jpg\")
<\/figure>\n\n\n\nEl hotlinking<\/a> es enlazar contenido (im\u00e1genes, m\u00fasica, videos, documentos, etc.) de un sitio web a otro en lugar de descargar el archivo y alojarlo en tu propio servidor. Cuando el Sitio Web A enlaza contenido en el Sitio Web B en vez de alojar el archivo, el Sitio Web A genera costos en ancho de banda y recursos de procesamiento al Sitio Web B por no alojar los archivos.<\/p>\n\n\n\nEsto aumenta el ancho de banda utilizado en el Sitio Web B sin dirigir tr\u00e1fico a su sitio mientras proporciona tr\u00e1fico al Sitio Web A. En el mejor de los casos, es de mala educaci\u00f3n. En el peor, es malicioso.<\/p>\n\n\n\n
Denegaci\u00f3n de servicio (DoS)<\/h3>\n\n\n\n![\"A](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/How-safe-is-WordPress_-What-you-need-to-know-in-2023-VIII-1-1-1024x743.jpg\")
<\/figure>\n\n\n\nLos ataques DoS<\/a> cierran un servicio, red o sitio web, interrumpi\u00e9ndolo para que los visitantes no puedan usarlo.<\/p>\n\n\n\nCon mayor frecuencia, los hackers saturan los sistemas de la v\u00edctima con una cantidad excesiva de solicitudes de tr\u00e1fico. Cuando las solicitudes provienen de m\u00faltiples dispositivos en lugar de uno solo, se llama denegaci\u00f3n de servicio distribuida (DDoS).<\/p>\n\n\n\n
Inyecciones SQL<\/h3>\n\n\n\n![\"Code](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/How-safe-is-WordPress_-What-you-need-to-know-in-2023-IX-1-1024x743.jpg\")
<\/figure>\n\n\n\nSQL es un lenguaje de programaci\u00f3n utilizado para gestionar bases de datos relacionales. Todos los sitios de WordPress utilizan bases de datos relacionales. Las inyecciones SQL<\/a> son usos maliciosos de SQL para acceder a informaci\u00f3n del backend que se supone que debe permanecer oculta al p\u00fablico.<\/p>\n\n\n\nCross-Site Scripting (XSS)<\/h3>\n\n\n\n![\"Code](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/How-safe-is-WordPress_-What-you-need-to-know-in-2023-X-1-1024x743.jpg\")
<\/figure>\n\n\n\nXSS<\/a> es un tipo de ataque donde un tercero inyecta scripts maliciosos en sitios web que de otro modo ser\u00edan benignos. Los scripts inyectados pueden hacerse pasar por usuarios leg\u00edtimos, robar datos sensibles y m\u00e1s. XSS es uno de los tipos m\u00e1s comunes de ciberataques en el ecosistema de WordPress.<\/p>\n\n\n\nEstad\u00edsticas de seguridad de WordPress<\/h2>\n\n\n\n
Ahora que tenemos contexto sobre las vulnerabilidades y amenazas comunes de WordPress, exploremos estad\u00edsticas de seguridad vitales que deber\u00edas conocer.<\/p>\n\n\n\n
Para brindar algo de contexto, se estima que alrededor de 90,000 sitios de WordPress son atacados cada d\u00eda. WordPress tambi\u00e9n es conocido como el CMS m\u00e1s vulnerable: en 2021, m\u00e1s del 95% de los sitios donde SiteCheck realiz\u00f3 un escaneo de malware y limpieza eran sitios de WordPress. Los otros CMS acumularon menos del 5% de ataques.<\/p>\n\n\n\n
Dado que la base de usuarios de SiteCheck es casi enteramente de usuarios de WordPress, no deber\u00edamos interpretar esta estad\u00edstica en el sentido de que el 95% de todos los ciberataques ocurren en sitios de WordPress. Sin embargo, dado el enorme mercado de WordPress, es esperado que sea el objetivo m\u00e1s com\u00fan para los ciberataques.<\/p>\n\n\n\n
A medida que le\u00e9s estos fragmentos de datos, record\u00e1 que provienen de informes creados por empresas espec\u00edficas que monitorean la seguridad en WordPress y en ocasiones tambi\u00e9n otros CMS. M\u00e1s espec\u00edficamente, nuestras fuentes son:<\/p>\n\n\n\n
\n- El informe<\/a> de seguridad de 2022 de Wordfence.<\/li>\n\n\n\n
- El informe<\/a> de seguridad de 2021 de Sucuri.<\/li>\n<\/ul>\n\n\n\n
El alcance de estos informes es limitado cuando se compara con toda la base de usuarios de WordPress. Sin embargo, a\u00fan proporcionan una buena visi\u00f3n general del entorno de seguridad de WordPress. Con eso en mente, exploremos algunas estad\u00edsticas de seguridad de WordPress.<\/p>\n\n\n\n
Los rellenos de credenciales son el tipo de ataque m\u00e1s com\u00fan<\/h3>\n\n\n\n
En 2022, el tipo de ataque m\u00e1s com\u00fan contra WordPress fueron los rellenos de credenciales, donde un atacante intenta adivinar m\u00faltiples combinaciones de nombre de usuario y contrase\u00f1a para un sitio. Las combinaciones de nombre de usuario y contrase\u00f1a provienen de brechas de datos y listas de contrase\u00f1as.<\/p>\n\n\n\n
Wordfence bloque\u00f3 m\u00e1s de 159 mil millones de ataques de relleno de credenciales en 2022.<\/p>\n\n\n\n
Fuente: <\/strong>Informe del estado de la seguridad de WordPress 2022 de Wordfence.<\/p>\n\n\n\nEl scripting entre sitios es la vulnerabilidad de WordPress m\u00e1s com\u00fanmente divulgada<\/h3>\n\n\n\n
El scripting entre sitios (XSS) fue la categor\u00eda m\u00e1s com\u00fan de vulnerabilidad de WordPress divulgada (conocida p\u00fablicamente) en 2022, representando casi la mitad de todas las vulnerabilidades divulgadas. Los siguientes tipos m\u00e1s comunes fueron el cross-site request forgery, las vulnerabilidades de omisi\u00f3n de autorizaci\u00f3n, las inyecciones SQL y la divulgaci\u00f3n de informaci\u00f3n.<\/p>\n\n\n\n
Fuente: <\/strong>Informe del estado de la seguridad de WordPress 2022 de Wordfence.<\/p>\n\n\n\nLa mayor\u00eda de los ataques ocurren en sitios ya comprometidos<\/h3>\n\n\n\n
En 2022, la mayor\u00eda de los ataques contra WordPress ocurrieron en sitios que ya hab\u00edan sido comprometidos, en lugar de sitios que hab\u00edan sido seguros hasta ese momento. Esto se conoce como “infecci\u00f3n persistente”.<\/p>\n\n\n\n
Fuente: <\/strong>Informe del estado de la seguridad de WordPress 2022 de Wordfence.<\/p>\n\n\n\nMuchos propietarios de sitios no mantienen actualizados sus n\u00facleos de WordPress<\/h3>\n\n\n\n
En 2021, el 48% de los usuarios de SiteCheck (la mayor\u00eda de los cuales usan WordPress) ten\u00edan instalaciones de CMS desactualizadas, haci\u00e9ndolos m\u00e1s vulnerables a las explotaciones.<\/p>\n\n\n\n
Fuente: <\/strong>Informe del estado de la seguridad de WordPress 2022 de Wordfence.<\/p>\n\n\n\nEl problema de la reutilizaci\u00f3n de credenciales est\u00e1 creciendo<\/h3>\n\n\n\n
La reutilizaci\u00f3n de credenciales significa usar la misma contrase\u00f1a para m\u00faltiples sistemas (cuenta de administrador, cuenta de cPanel, cuenta de phpMyAdmin, etc.). A medida que se acumulan m\u00e1s contrase\u00f1as filtradas cada a\u00f1o, los actores maliciosos tienen un conjunto m\u00e1s grande de contrase\u00f1as potencialmente reutilizables.<\/p>\n\n\n\n
Las cuentas de WordPress no mantenidas son especialmente vulnerables.<\/p>\n\n\n\n
Fuente: <\/strong>Informe del estado de la seguridad de WordPress 2022 de Wordfence.<\/p>\n\n\n\nListas relacionadas con la seguridad de WordPress<\/h3>\n\n\n\nLos tipos m\u00e1s comunes de malware de WordPress en 2021<\/h4>\n\n\n\n
La siguiente es una lista de los tipos m\u00e1s comunes de malware encontrados durante los escaneos y limpiezas de SiteCheck:<\/p>\n\n\n\n
\n- Malware gen\u00e9rico como malware PHP, infecciones de URL del sitio\/home, procesos maliciosos que afectan principalmente .htaccess y .\/index.php, etc. (61%)<\/li>\n\n\n\n
- Backdoors (60%)<\/li>\n\n\n\n
- SEO spam (52%)<\/li>\n\n\n\n
- Hacktools (20%)<\/li>\n\n\n\n
- Phishing (7%)<\/li>\n\n\n\n
- Defacements (6%)<\/li>\n\n\n\n
- Mailers (5%)<\/li>\n\n\n\n
- Droppers (0.63%)<\/li>\n<\/ol>\n\n\n\n
Los porcentajes se superponen porque los sitios a menudo son infectados por m\u00faltiples tipos de malware simult\u00e1neamente.<\/p>\n\n\n\n
Fuente: <\/strong>Informe de Investigaci\u00f3n de Amenazas en Sitios Web 2021 de Sucuri.<\/p>\n\n\n\nLos 10 plugins de WordPress m\u00e1s vulnerables en 2021 por popularidad<\/h4>\n\n\n\n
En 2021, estos fueron los plugins de WordPress m\u00e1s vulnerables, basado en el n\u00famero de instalaciones:<\/p>\n\n\n\n
\n- WooCommerce (m\u00e1s de 5 millones)<\/li>\n\n\n\n
- All In One SEO (m\u00e1s de 3 millones)<\/li>\n\n\n\n
- Ninja Forms (m\u00e1s de 1 mill\u00f3n)<\/li>\n\n\n\n
- Redux Framework (m\u00e1s de 1 mill\u00f3n)<\/li>\n\n\n\n
- WP Fastest Cache (m\u00e1s de 1 mill\u00f3n)<\/li>\n\n\n\n
- Astra Starter Templates (m\u00e1s de 1 mill\u00f3n)<\/li>\n\n\n\n
- WP Statistics (m\u00e1s de 600,000)<\/li>\n\n\n\n
- WP User Avatar \/ ProfilePress (m\u00e1s de 400,000)<\/li>\n\n\n\n
- Simple 301 Redirects by BetterLinks (m\u00e1s de 200,000)<\/li>\n\n\n\n
- Thrive Themes Plugins\/Temas (m\u00e1s de 100,000)<\/li>\n<\/ol>\n\n\n\n
Estos datos no indican necesariamente que estos plugins fueron el vector de ataque. Sin embargo, probablemente contribuyeron a un entorno inseguro para los sitios web en los que fueron instalados.<\/p>\n\n\n\n
Fuente: <\/strong>Informe de Investigaci\u00f3n de Amenazas en Sitios Web 2021 de Sucuri.<\/p>\n\n\n\nLos 10 plugins m\u00e1s vulnerables, basados en su puntuaci\u00f3n CVSS<\/h4>\n\n\n\n
El Sistema de Puntuaci\u00f3n de Vulnerabilidades Comunes (CVSS) es una calificaci\u00f3n de 0 a 10 que indica qu\u00e9 tan severas son las vulnerabilidades de seguridad en un software dado. 10 es el m\u00e1s severo, y 0 es el menos severo.<\/p>\n\n\n\n
Basado en su puntuaci\u00f3n CVSS, en 2021, los plugins con las vulnerabilidades de seguridad m\u00e1s severas fueron:<\/p>\n\n\n\n
\n- Thrive Themes Plugins\/Temas (10)<\/li>\n\n\n\n
- Kaswara (abandonado por los desarrolladores, 9.9)<\/li>\n\n\n\n
- Simple 301 Redirects (9.9)<\/li>\n\n\n\n
- External Media (9.9)<\/li>\n\n\n\n
- Store Locator Plus (abandonado por los desarrolladores, 9.9)<\/li>\n\n\n\n
- All In One SEO (9.9)<\/li>\n\n\n\n
- WP User Avatar \/ ProfilePress (9.8)<\/li>\n\n\n\n
- Booster for WooCommerce (9.8)<\/li>\n\n\n\n
- Image Hover Effects Ultimate (9.8)<\/li>\n\n\n\n
- PublishPress Capabilities (9.8)<\/li>\n<\/ol>\n\n\n\n
Fuente: <\/strong>Informe de Investigaci\u00f3n de Amenazas en Sitios Web 2021 de Sucuri.<\/p>\n\n\n\nLos plugins abandonados son altamente vulnerables<\/h3>\n\n\n\n
Los plugins abandonados son aquellos que ya no son actualizados por sus desarrolladores. Esto hace que probablemente sean explotados, ya que los desarrolladores ya no corrigen las vulnerabilidades conocidas. En 2021, los plugins abandonados Kaswara y Store Locator Plus fueron dos de los m\u00e1s vulnerables en el ecosistema de WordPress.<\/p>\n\n\n\n
Kaswara es un constructor de p\u00e1ginas, lo que significa que los usuarios que construyeron su p\u00e1gina usando Kaswara tuvieron que reconstruirla por completo o permanecer expuestos a filtraciones de seguridad.<\/p>\n\n\n\n
<\/figure>\n\n\n\nComo explicamos anteriormente, el n\u00facleo es la instalaci\u00f3n principal de WordPress que contiene la base fundamental de tu sitio web. Las versiones m\u00e1s antiguas ya no son compatibles con WordPress.org, lo que significa que sus vulnerabilidades conocidas permanecer\u00e1n sin ser corregidas para siempre.<\/p>\n\n\n\n
Como resultado, los hackers pueden explotarlas m\u00e1s f\u00e1cilmente, sabiendo con seguridad que no pueden ser detenidos mediante parches de seguridad. Lo mismo ocurre con PHP, el lenguaje de programaci\u00f3n que da vida a los archivos del n\u00facleo. Las versiones anteriores de PHP son menos seguras.<\/p>\n\n\n\n
Paneles de administraci\u00f3n sin seguridad<\/h3>\n\n\n\n<\/figure>\n\n\n\nExplotar la URL de inicio de sesi\u00f3n del administrador mediante ataques de fuerza bruta es una de las formas m\u00e1s comunes. Los sitios de WordPress son hackeados, proporcionando acceso total al panel de administraci\u00f3n. Hay muchas maneras de asegurar tu URL de inicio de sesi\u00f3n del administrador, pero estas tres son probablemente las m\u00e1s comunes y efectivas:<\/p>\n\n\n\n
\n- Cambiar la URL de inicio de sesi\u00f3n predeterminada por una \u00fanica que sea m\u00e1s dif\u00edcil de adivinar.<\/li>\n\n\n\n
- Agregar autenticaci\u00f3n de dos factores al proceso de inicio de sesi\u00f3n.<\/li>\n\n\n\n
- Establecer un l\u00edmite para los intentos fallidos de inicio de sesi\u00f3n.<\/li>\n<\/ul>\n\n\n\n
Intentos de inicio de sesi\u00f3n por fuerza bruta<\/h3>\n\n\n\n<\/figure>\n\n\n\nLos intentos de inicio de sesi\u00f3n por fuerza bruta<\/a> o los ataques de fuerza bruta son ciberataques en los que el atacante adivina cada combinaci\u00f3n posible de caracteres para encontrar una contrase\u00f1a que les permita acceder a un sitio.<\/p>\n\n\n\nEs uno de los ciberataques m\u00e1s simples y puede tomar mucho tiempo antes de dar con la contrase\u00f1a correcta. Usar contrase\u00f1as largas, fuertes y \u00fanicas hace que los ataques de fuerza bruta sean menos efectivos.<\/p>\n\n\n\n
Plugins y temas vulnerables y sin seguridad<\/h3>\n\n\n\n<\/figure>\n\n\n\nConsiderando que hay docenas de miles de plugins y temas que interact\u00faan con tus sitios web de m\u00faltiples maneras, es posible que los hackers finalmente encuentren una vulnerabilidad en uno de ellos y la exploten para acceder a sitios web desprevenidos.<\/p>\n\n\n\n
Las vulnerabilidades de los plugins y temas pueden ser las m\u00e1s da\u00f1inas cuando se explotan en plugins y temas populares instalados en miles o millones de sitios web. La adopci\u00f3n generalizada aumenta el grupo de posibles objetivos y proporciona mayores cantidades de informaci\u00f3n para robar.<\/p>\n\n\n\n
Malware<\/h3>\n\n\n\n<\/figure>\n\n\n\nEl malware (soft<\/strong>ware mal<\/strong>icioso) es una amplia familia de software creada para da\u00f1ar o ganar acceso no autorizado a un sistema inform\u00e1tico. Varios tipos de malware operan de diferentes maneras para explotar diferentes mecanismos del sitio web.<\/p>\n\n\n\nEn WordPress, los tipos m\u00e1s comunes de malware son:<\/p>\n\n\n\n
\n- Backdoors<\/a>.<\/li>\n\n\n\n
- Hacktools (herramientas de hacking).<\/li>\n\n\n\n
- SEO Spam<\/a>.<\/li>\n\n\n\n
- Phishing<\/a>.<\/li>\n\n\n\n
- Defacements.<\/li>\n\n\n\n
- Mailers.<\/li>\n\n\n\n
- Droppers.<\/li>\n<\/ul>\n\n\n\n
Hotlinking<\/h3>\n\n\n\n<\/figure>\n\n\n\nEl hotlinking<\/a> es enlazar contenido (im\u00e1genes, m\u00fasica, videos, documentos, etc.) de un sitio web a otro en lugar de descargar el archivo y alojarlo en tu propio servidor. Cuando el Sitio Web A enlaza contenido en el Sitio Web B en vez de alojar el archivo, el Sitio Web A genera costos en ancho de banda y recursos de procesamiento al Sitio Web B por no alojar los archivos.<\/p>\n\n\n\nEsto aumenta el ancho de banda utilizado en el Sitio Web B sin dirigir tr\u00e1fico a su sitio mientras proporciona tr\u00e1fico al Sitio Web A. En el mejor de los casos, es de mala educaci\u00f3n. En el peor, es malicioso.<\/p>\n\n\n\n
Denegaci\u00f3n de servicio (DoS)<\/h3>\n\n\n\n<\/figure>\n\n\n\nLos ataques DoS<\/a> cierran un servicio, red o sitio web, interrumpi\u00e9ndolo para que los visitantes no puedan usarlo.<\/p>\n\n\n\nCon mayor frecuencia, los hackers saturan los sistemas de la v\u00edctima con una cantidad excesiva de solicitudes de tr\u00e1fico. Cuando las solicitudes provienen de m\u00faltiples dispositivos en lugar de uno solo, se llama denegaci\u00f3n de servicio distribuida (DDoS).<\/p>\n\n\n\n
Inyecciones SQL<\/h3>\n\n\n\n<\/figure>\n\n\n\nSQL es un lenguaje de programaci\u00f3n utilizado para gestionar bases de datos relacionales. Todos los sitios de WordPress utilizan bases de datos relacionales. Las inyecciones SQL<\/a> son usos maliciosos de SQL para acceder a informaci\u00f3n del backend que se supone que debe permanecer oculta al p\u00fablico.<\/p>\n\n\n\nCross-Site Scripting (XSS)<\/h3>\n\n\n\n<\/figure>\n\n\n\nXSS<\/a> es un tipo de ataque donde un tercero inyecta scripts maliciosos en sitios web que de otro modo ser\u00edan benignos. Los scripts inyectados pueden hacerse pasar por usuarios leg\u00edtimos, robar datos sensibles y m\u00e1s. XSS es uno de los tipos m\u00e1s comunes de ciberataques en el ecosistema de WordPress.<\/p>\n\n\n\nEstad\u00edsticas de seguridad de WordPress<\/h2>\n\n\n\n
Ahora que tenemos contexto sobre las vulnerabilidades y amenazas comunes de WordPress, exploremos estad\u00edsticas de seguridad vitales que deber\u00edas conocer.<\/p>\n\n\n\n
Para brindar algo de contexto, se estima que alrededor de 90,000 sitios de WordPress son atacados cada d\u00eda. WordPress tambi\u00e9n es conocido como el CMS m\u00e1s vulnerable: en 2021, m\u00e1s del 95% de los sitios donde SiteCheck realiz\u00f3 un escaneo de malware y limpieza eran sitios de WordPress. Los otros CMS acumularon menos del 5% de ataques.<\/p>\n\n\n\n
Dado que la base de usuarios de SiteCheck es casi enteramente de usuarios de WordPress, no deber\u00edamos interpretar esta estad\u00edstica en el sentido de que el 95% de todos los ciberataques ocurren en sitios de WordPress. Sin embargo, dado el enorme mercado de WordPress, es esperado que sea el objetivo m\u00e1s com\u00fan para los ciberataques.<\/p>\n\n\n\n
A medida que le\u00e9s estos fragmentos de datos, record\u00e1 que provienen de informes creados por empresas espec\u00edficas que monitorean la seguridad en WordPress y en ocasiones tambi\u00e9n otros CMS. M\u00e1s espec\u00edficamente, nuestras fuentes son:<\/p>\n\n\n\n
\n- El informe<\/a> de seguridad de 2022 de Wordfence.<\/li>\n\n\n\n
- El informe<\/a> de seguridad de 2021 de Sucuri.<\/li>\n<\/ul>\n\n\n\n
El alcance de estos informes es limitado cuando se compara con toda la base de usuarios de WordPress. Sin embargo, a\u00fan proporcionan una buena visi\u00f3n general del entorno de seguridad de WordPress. Con eso en mente, exploremos algunas estad\u00edsticas de seguridad de WordPress.<\/p>\n\n\n\n
Los rellenos de credenciales son el tipo de ataque m\u00e1s com\u00fan<\/h3>\n\n\n\n
En 2022, el tipo de ataque m\u00e1s com\u00fan contra WordPress fueron los rellenos de credenciales, donde un atacante intenta adivinar m\u00faltiples combinaciones de nombre de usuario y contrase\u00f1a para un sitio. Las combinaciones de nombre de usuario y contrase\u00f1a provienen de brechas de datos y listas de contrase\u00f1as.<\/p>\n\n\n\n
Wordfence bloque\u00f3 m\u00e1s de 159 mil millones de ataques de relleno de credenciales en 2022.<\/p>\n\n\n\n
Fuente: <\/strong>Informe del estado de la seguridad de WordPress 2022 de Wordfence.<\/p>\n\n\n\nEl scripting entre sitios es la vulnerabilidad de WordPress m\u00e1s com\u00fanmente divulgada<\/h3>\n\n\n\n
El scripting entre sitios (XSS) fue la categor\u00eda m\u00e1s com\u00fan de vulnerabilidad de WordPress divulgada (conocida p\u00fablicamente) en 2022, representando casi la mitad de todas las vulnerabilidades divulgadas. Los siguientes tipos m\u00e1s comunes fueron el cross-site request forgery, las vulnerabilidades de omisi\u00f3n de autorizaci\u00f3n, las inyecciones SQL y la divulgaci\u00f3n de informaci\u00f3n.<\/p>\n\n\n\n
Fuente: <\/strong>Informe del estado de la seguridad de WordPress 2022 de Wordfence.<\/p>\n\n\n\nLa mayor\u00eda de los ataques ocurren en sitios ya comprometidos<\/h3>\n\n\n\n
En 2022, la mayor\u00eda de los ataques contra WordPress ocurrieron en sitios que ya hab\u00edan sido comprometidos, en lugar de sitios que hab\u00edan sido seguros hasta ese momento. Esto se conoce como “infecci\u00f3n persistente”.<\/p>\n\n\n\n
Fuente: <\/strong>Informe del estado de la seguridad de WordPress 2022 de Wordfence.<\/p>\n\n\n\nMuchos propietarios de sitios no mantienen actualizados sus n\u00facleos de WordPress<\/h3>\n\n\n\n
En 2021, el 48% de los usuarios de SiteCheck (la mayor\u00eda de los cuales usan WordPress) ten\u00edan instalaciones de CMS desactualizadas, haci\u00e9ndolos m\u00e1s vulnerables a las explotaciones.<\/p>\n\n\n\n
Fuente: <\/strong>Informe del estado de la seguridad de WordPress 2022 de Wordfence.<\/p>\n\n\n\nEl problema de la reutilizaci\u00f3n de credenciales est\u00e1 creciendo<\/h3>\n\n\n\n
La reutilizaci\u00f3n de credenciales significa usar la misma contrase\u00f1a para m\u00faltiples sistemas (cuenta de administrador, cuenta de cPanel, cuenta de phpMyAdmin, etc.). A medida que se acumulan m\u00e1s contrase\u00f1as filtradas cada a\u00f1o, los actores maliciosos tienen un conjunto m\u00e1s grande de contrase\u00f1as potencialmente reutilizables.<\/p>\n\n\n\n
Las cuentas de WordPress no mantenidas son especialmente vulnerables.<\/p>\n\n\n\n
Fuente: <\/strong>Informe del estado de la seguridad de WordPress 2022 de Wordfence.<\/p>\n\n\n\nListas relacionadas con la seguridad de WordPress<\/h3>\n\n\n\nLos tipos m\u00e1s comunes de malware de WordPress en 2021<\/h4>\n\n\n\n
La siguiente es una lista de los tipos m\u00e1s comunes de malware encontrados durante los escaneos y limpiezas de SiteCheck:<\/p>\n\n\n\n
\n- Malware gen\u00e9rico como malware PHP, infecciones de URL del sitio\/home, procesos maliciosos que afectan principalmente .htaccess y .\/index.php, etc. (61%)<\/li>\n\n\n\n
- Backdoors (60%)<\/li>\n\n\n\n
- SEO spam (52%)<\/li>\n\n\n\n
- Hacktools (20%)<\/li>\n\n\n\n
- Phishing (7%)<\/li>\n\n\n\n
- Defacements (6%)<\/li>\n\n\n\n
- Mailers (5%)<\/li>\n\n\n\n
- Droppers (0.63%)<\/li>\n<\/ol>\n\n\n\n
Los porcentajes se superponen porque los sitios a menudo son infectados por m\u00faltiples tipos de malware simult\u00e1neamente.<\/p>\n\n\n\n
Fuente: <\/strong>Informe de Investigaci\u00f3n de Amenazas en Sitios Web 2021 de Sucuri.<\/p>\n\n\n\nLos 10 plugins de WordPress m\u00e1s vulnerables en 2021 por popularidad<\/h4>\n\n\n\n
En 2021, estos fueron los plugins de WordPress m\u00e1s vulnerables, basado en el n\u00famero de instalaciones:<\/p>\n\n\n\n
\n- WooCommerce (m\u00e1s de 5 millones)<\/li>\n\n\n\n
- All In One SEO (m\u00e1s de 3 millones)<\/li>\n\n\n\n
- Ninja Forms (m\u00e1s de 1 mill\u00f3n)<\/li>\n\n\n\n
- Redux Framework (m\u00e1s de 1 mill\u00f3n)<\/li>\n\n\n\n
- WP Fastest Cache (m\u00e1s de 1 mill\u00f3n)<\/li>\n\n\n\n
- Astra Starter Templates (m\u00e1s de 1 mill\u00f3n)<\/li>\n\n\n\n
- WP Statistics (m\u00e1s de 600,000)<\/li>\n\n\n\n
- WP User Avatar \/ ProfilePress (m\u00e1s de 400,000)<\/li>\n\n\n\n
- Simple 301 Redirects by BetterLinks (m\u00e1s de 200,000)<\/li>\n\n\n\n
- Thrive Themes Plugins\/Temas (m\u00e1s de 100,000)<\/li>\n<\/ol>\n\n\n\n
Estos datos no indican necesariamente que estos plugins fueron el vector de ataque. Sin embargo, probablemente contribuyeron a un entorno inseguro para los sitios web en los que fueron instalados.<\/p>\n\n\n\n
Fuente: <\/strong>Informe de Investigaci\u00f3n de Amenazas en Sitios Web 2021 de Sucuri.<\/p>\n\n\n\nLos 10 plugins m\u00e1s vulnerables, basados en su puntuaci\u00f3n CVSS<\/h4>\n\n\n\n
El Sistema de Puntuaci\u00f3n de Vulnerabilidades Comunes (CVSS) es una calificaci\u00f3n de 0 a 10 que indica qu\u00e9 tan severas son las vulnerabilidades de seguridad en un software dado. 10 es el m\u00e1s severo, y 0 es el menos severo.<\/p>\n\n\n\n
Basado en su puntuaci\u00f3n CVSS, en 2021, los plugins con las vulnerabilidades de seguridad m\u00e1s severas fueron:<\/p>\n\n\n\n
\n- Thrive Themes Plugins\/Temas (10)<\/li>\n\n\n\n
- Kaswara (abandonado por los desarrolladores, 9.9)<\/li>\n\n\n\n
- Simple 301 Redirects (9.9)<\/li>\n\n\n\n
- External Media (9.9)<\/li>\n\n\n\n
- Store Locator Plus (abandonado por los desarrolladores, 9.9)<\/li>\n\n\n\n
- All In One SEO (9.9)<\/li>\n\n\n\n
- WP User Avatar \/ ProfilePress (9.8)<\/li>\n\n\n\n
- Booster for WooCommerce (9.8)<\/li>\n\n\n\n
- Image Hover Effects Ultimate (9.8)<\/li>\n\n\n\n
- PublishPress Capabilities (9.8)<\/li>\n<\/ol>\n\n\n\n
Fuente: <\/strong>Informe de Investigaci\u00f3n de Amenazas en Sitios Web 2021 de Sucuri.<\/p>\n\n\n\nLos plugins abandonados son altamente vulnerables<\/h3>\n\n\n\n
Los plugins abandonados son aquellos que ya no son actualizados por sus desarrolladores. Esto hace que probablemente sean explotados, ya que los desarrolladores ya no corrigen las vulnerabilidades conocidas. En 2021, los plugins abandonados Kaswara y Store Locator Plus fueron dos de los m\u00e1s vulnerables en el ecosistema de WordPress.<\/p>\n\n\n\n
Kaswara es un constructor de p\u00e1ginas, lo que significa que los usuarios que construyeron su p\u00e1gina usando Kaswara tuvieron que reconstruirla por completo o permanecer expuestos a filtraciones de seguridad.<\/p>\n\n\n\n
<\/figure>\n\n\n\nExplotar la URL de inicio de sesi\u00f3n del administrador mediante ataques de fuerza bruta es una de las formas m\u00e1s comunes. Los sitios de WordPress son hackeados, proporcionando acceso total al panel de administraci\u00f3n. Hay muchas maneras de asegurar tu URL de inicio de sesi\u00f3n del administrador, pero estas tres son probablemente las m\u00e1s comunes y efectivas:<\/p>\n\n\n\n
- \n
- Cambiar la URL de inicio de sesi\u00f3n predeterminada por una \u00fanica que sea m\u00e1s dif\u00edcil de adivinar.<\/li>\n\n\n\n
- Agregar autenticaci\u00f3n de dos factores al proceso de inicio de sesi\u00f3n.<\/li>\n\n\n\n
- Establecer un l\u00edmite para los intentos fallidos de inicio de sesi\u00f3n.<\/li>\n<\/ul>\n\n\n\n
Intentos de inicio de sesi\u00f3n por fuerza bruta<\/h3>\n\n\n\n
<\/figure>\n\n\n\nLos intentos de inicio de sesi\u00f3n por fuerza bruta<\/a> o los ataques de fuerza bruta son ciberataques en los que el atacante adivina cada combinaci\u00f3n posible de caracteres para encontrar una contrase\u00f1a que les permita acceder a un sitio.<\/p>\n\n\n\n
Es uno de los ciberataques m\u00e1s simples y puede tomar mucho tiempo antes de dar con la contrase\u00f1a correcta. Usar contrase\u00f1as largas, fuertes y \u00fanicas hace que los ataques de fuerza bruta sean menos efectivos.<\/p>\n\n\n\n
Plugins y temas vulnerables y sin seguridad<\/h3>\n\n\n\n
<\/figure>\n\n\n\nConsiderando que hay docenas de miles de plugins y temas que interact\u00faan con tus sitios web de m\u00faltiples maneras, es posible que los hackers finalmente encuentren una vulnerabilidad en uno de ellos y la exploten para acceder a sitios web desprevenidos.<\/p>\n\n\n\n
Las vulnerabilidades de los plugins y temas pueden ser las m\u00e1s da\u00f1inas cuando se explotan en plugins y temas populares instalados en miles o millones de sitios web. La adopci\u00f3n generalizada aumenta el grupo de posibles objetivos y proporciona mayores cantidades de informaci\u00f3n para robar.<\/p>\n\n\n\n
Malware<\/h3>\n\n\n\n
<\/figure>\n\n\n\nEl malware (soft<\/strong>ware mal<\/strong>icioso) es una amplia familia de software creada para da\u00f1ar o ganar acceso no autorizado a un sistema inform\u00e1tico. Varios tipos de malware operan de diferentes maneras para explotar diferentes mecanismos del sitio web.<\/p>\n\n\n\n
En WordPress, los tipos m\u00e1s comunes de malware son:<\/p>\n\n\n\n
- \n
- Backdoors<\/a>.<\/li>\n\n\n\n
- Hacktools (herramientas de hacking).<\/li>\n\n\n\n
- SEO Spam<\/a>.<\/li>\n\n\n\n
- Phishing<\/a>.<\/li>\n\n\n\n
- Defacements.<\/li>\n\n\n\n
- Mailers.<\/li>\n\n\n\n
- Droppers.<\/li>\n<\/ul>\n\n\n\n
Hotlinking<\/h3>\n\n\n\n
<\/figure>\n\n\n\nEl hotlinking<\/a> es enlazar contenido (im\u00e1genes, m\u00fasica, videos, documentos, etc.) de un sitio web a otro en lugar de descargar el archivo y alojarlo en tu propio servidor. Cuando el Sitio Web A enlaza contenido en el Sitio Web B en vez de alojar el archivo, el Sitio Web A genera costos en ancho de banda y recursos de procesamiento al Sitio Web B por no alojar los archivos.<\/p>\n\n\n\n
Esto aumenta el ancho de banda utilizado en el Sitio Web B sin dirigir tr\u00e1fico a su sitio mientras proporciona tr\u00e1fico al Sitio Web A. En el mejor de los casos, es de mala educaci\u00f3n. En el peor, es malicioso.<\/p>\n\n\n\n
Denegaci\u00f3n de servicio (DoS)<\/h3>\n\n\n\n
<\/figure>\n\n\n\nLos ataques DoS<\/a> cierran un servicio, red o sitio web, interrumpi\u00e9ndolo para que los visitantes no puedan usarlo.<\/p>\n\n\n\n
Con mayor frecuencia, los hackers saturan los sistemas de la v\u00edctima con una cantidad excesiva de solicitudes de tr\u00e1fico. Cuando las solicitudes provienen de m\u00faltiples dispositivos en lugar de uno solo, se llama denegaci\u00f3n de servicio distribuida (DDoS).<\/p>\n\n\n\n
Inyecciones SQL<\/h3>\n\n\n\n
<\/figure>\n\n\n\nSQL es un lenguaje de programaci\u00f3n utilizado para gestionar bases de datos relacionales. Todos los sitios de WordPress utilizan bases de datos relacionales. Las inyecciones SQL<\/a> son usos maliciosos de SQL para acceder a informaci\u00f3n del backend que se supone que debe permanecer oculta al p\u00fablico.<\/p>\n\n\n\n
Cross-Site Scripting (XSS)<\/h3>\n\n\n\n
<\/figure>\n\n\n\nXSS<\/a> es un tipo de ataque donde un tercero inyecta scripts maliciosos en sitios web que de otro modo ser\u00edan benignos. Los scripts inyectados pueden hacerse pasar por usuarios leg\u00edtimos, robar datos sensibles y m\u00e1s. XSS es uno de los tipos m\u00e1s comunes de ciberataques en el ecosistema de WordPress.<\/p>\n\n\n\n
Estad\u00edsticas de seguridad de WordPress<\/h2>\n\n\n\n
Ahora que tenemos contexto sobre las vulnerabilidades y amenazas comunes de WordPress, exploremos estad\u00edsticas de seguridad vitales que deber\u00edas conocer.<\/p>\n\n\n\n
Para brindar algo de contexto, se estima que alrededor de 90,000 sitios de WordPress son atacados cada d\u00eda. WordPress tambi\u00e9n es conocido como el CMS m\u00e1s vulnerable: en 2021, m\u00e1s del 95% de los sitios donde SiteCheck realiz\u00f3 un escaneo de malware y limpieza eran sitios de WordPress. Los otros CMS acumularon menos del 5% de ataques.<\/p>\n\n\n\n
Dado que la base de usuarios de SiteCheck es casi enteramente de usuarios de WordPress, no deber\u00edamos interpretar esta estad\u00edstica en el sentido de que el 95% de todos los ciberataques ocurren en sitios de WordPress. Sin embargo, dado el enorme mercado de WordPress, es esperado que sea el objetivo m\u00e1s com\u00fan para los ciberataques.<\/p>\n\n\n\n
A medida que le\u00e9s estos fragmentos de datos, record\u00e1 que provienen de informes creados por empresas espec\u00edficas que monitorean la seguridad en WordPress y en ocasiones tambi\u00e9n otros CMS. M\u00e1s espec\u00edficamente, nuestras fuentes son:<\/p>\n\n\n\n
- \n
- El informe<\/a> de seguridad de 2022 de Wordfence.<\/li>\n\n\n\n
- El informe<\/a> de seguridad de 2021 de Sucuri.<\/li>\n<\/ul>\n\n\n\n
El alcance de estos informes es limitado cuando se compara con toda la base de usuarios de WordPress. Sin embargo, a\u00fan proporcionan una buena visi\u00f3n general del entorno de seguridad de WordPress. Con eso en mente, exploremos algunas estad\u00edsticas de seguridad de WordPress.<\/p>\n\n\n\n
Los rellenos de credenciales son el tipo de ataque m\u00e1s com\u00fan<\/h3>\n\n\n\n
En 2022, el tipo de ataque m\u00e1s com\u00fan contra WordPress fueron los rellenos de credenciales, donde un atacante intenta adivinar m\u00faltiples combinaciones de nombre de usuario y contrase\u00f1a para un sitio. Las combinaciones de nombre de usuario y contrase\u00f1a provienen de brechas de datos y listas de contrase\u00f1as.<\/p>\n\n\n\n
Wordfence bloque\u00f3 m\u00e1s de 159 mil millones de ataques de relleno de credenciales en 2022.<\/p>\n\n\n\n
Fuente: <\/strong>Informe del estado de la seguridad de WordPress 2022 de Wordfence.<\/p>\n\n\n\n
El scripting entre sitios es la vulnerabilidad de WordPress m\u00e1s com\u00fanmente divulgada<\/h3>\n\n\n\n
El scripting entre sitios (XSS) fue la categor\u00eda m\u00e1s com\u00fan de vulnerabilidad de WordPress divulgada (conocida p\u00fablicamente) en 2022, representando casi la mitad de todas las vulnerabilidades divulgadas. Los siguientes tipos m\u00e1s comunes fueron el cross-site request forgery, las vulnerabilidades de omisi\u00f3n de autorizaci\u00f3n, las inyecciones SQL y la divulgaci\u00f3n de informaci\u00f3n.<\/p>\n\n\n\n
Fuente: <\/strong>Informe del estado de la seguridad de WordPress 2022 de Wordfence.<\/p>\n\n\n\n
La mayor\u00eda de los ataques ocurren en sitios ya comprometidos<\/h3>\n\n\n\n
En 2022, la mayor\u00eda de los ataques contra WordPress ocurrieron en sitios que ya hab\u00edan sido comprometidos, en lugar de sitios que hab\u00edan sido seguros hasta ese momento. Esto se conoce como “infecci\u00f3n persistente”.<\/p>\n\n\n\n
Fuente: <\/strong>Informe del estado de la seguridad de WordPress 2022 de Wordfence.<\/p>\n\n\n\n
Muchos propietarios de sitios no mantienen actualizados sus n\u00facleos de WordPress<\/h3>\n\n\n\n
En 2021, el 48% de los usuarios de SiteCheck (la mayor\u00eda de los cuales usan WordPress) ten\u00edan instalaciones de CMS desactualizadas, haci\u00e9ndolos m\u00e1s vulnerables a las explotaciones.<\/p>\n\n\n\n
Fuente: <\/strong>Informe del estado de la seguridad de WordPress 2022 de Wordfence.<\/p>\n\n\n\n
El problema de la reutilizaci\u00f3n de credenciales est\u00e1 creciendo<\/h3>\n\n\n\n
La reutilizaci\u00f3n de credenciales significa usar la misma contrase\u00f1a para m\u00faltiples sistemas (cuenta de administrador, cuenta de cPanel, cuenta de phpMyAdmin, etc.). A medida que se acumulan m\u00e1s contrase\u00f1as filtradas cada a\u00f1o, los actores maliciosos tienen un conjunto m\u00e1s grande de contrase\u00f1as potencialmente reutilizables.<\/p>\n\n\n\n
Las cuentas de WordPress no mantenidas son especialmente vulnerables.<\/p>\n\n\n\n
Fuente: <\/strong>Informe del estado de la seguridad de WordPress 2022 de Wordfence.<\/p>\n\n\n\n
Listas relacionadas con la seguridad de WordPress<\/h3>\n\n\n\n
Los tipos m\u00e1s comunes de malware de WordPress en 2021<\/h4>\n\n\n\n
La siguiente es una lista de los tipos m\u00e1s comunes de malware encontrados durante los escaneos y limpiezas de SiteCheck:<\/p>\n\n\n\n
- \n
- Malware gen\u00e9rico como malware PHP, infecciones de URL del sitio\/home, procesos maliciosos que afectan principalmente .htaccess y .\/index.php, etc. (61%)<\/li>\n\n\n\n
- Backdoors (60%)<\/li>\n\n\n\n
- SEO spam (52%)<\/li>\n\n\n\n
- Hacktools (20%)<\/li>\n\n\n\n
- Phishing (7%)<\/li>\n\n\n\n
- Defacements (6%)<\/li>\n\n\n\n
- Mailers (5%)<\/li>\n\n\n\n
- Droppers (0.63%)<\/li>\n<\/ol>\n\n\n\n
Los porcentajes se superponen porque los sitios a menudo son infectados por m\u00faltiples tipos de malware simult\u00e1neamente.<\/p>\n\n\n\n
Fuente: <\/strong>Informe de Investigaci\u00f3n de Amenazas en Sitios Web 2021 de Sucuri.<\/p>\n\n\n\n
Los 10 plugins de WordPress m\u00e1s vulnerables en 2021 por popularidad<\/h4>\n\n\n\n
En 2021, estos fueron los plugins de WordPress m\u00e1s vulnerables, basado en el n\u00famero de instalaciones:<\/p>\n\n\n\n
- \n
- WooCommerce (m\u00e1s de 5 millones)<\/li>\n\n\n\n
- All In One SEO (m\u00e1s de 3 millones)<\/li>\n\n\n\n
- Ninja Forms (m\u00e1s de 1 mill\u00f3n)<\/li>\n\n\n\n
- Redux Framework (m\u00e1s de 1 mill\u00f3n)<\/li>\n\n\n\n
- WP Fastest Cache (m\u00e1s de 1 mill\u00f3n)<\/li>\n\n\n\n
- Astra Starter Templates (m\u00e1s de 1 mill\u00f3n)<\/li>\n\n\n\n
- WP Statistics (m\u00e1s de 600,000)<\/li>\n\n\n\n
- WP User Avatar \/ ProfilePress (m\u00e1s de 400,000)<\/li>\n\n\n\n
- Simple 301 Redirects by BetterLinks (m\u00e1s de 200,000)<\/li>\n\n\n\n
- Thrive Themes Plugins\/Temas (m\u00e1s de 100,000)<\/li>\n<\/ol>\n\n\n\n
Estos datos no indican necesariamente que estos plugins fueron el vector de ataque. Sin embargo, probablemente contribuyeron a un entorno inseguro para los sitios web en los que fueron instalados.<\/p>\n\n\n\n
Fuente: <\/strong>Informe de Investigaci\u00f3n de Amenazas en Sitios Web 2021 de Sucuri.<\/p>\n\n\n\n
Los 10 plugins m\u00e1s vulnerables, basados en su puntuaci\u00f3n CVSS<\/h4>\n\n\n\n
El Sistema de Puntuaci\u00f3n de Vulnerabilidades Comunes (CVSS) es una calificaci\u00f3n de 0 a 10 que indica qu\u00e9 tan severas son las vulnerabilidades de seguridad en un software dado. 10 es el m\u00e1s severo, y 0 es el menos severo.<\/p>\n\n\n\n
Basado en su puntuaci\u00f3n CVSS, en 2021, los plugins con las vulnerabilidades de seguridad m\u00e1s severas fueron:<\/p>\n\n\n\n
- \n
- Thrive Themes Plugins\/Temas (10)<\/li>\n\n\n\n
- Kaswara (abandonado por los desarrolladores, 9.9)<\/li>\n\n\n\n
- Simple 301 Redirects (9.9)<\/li>\n\n\n\n
- External Media (9.9)<\/li>\n\n\n\n
- Store Locator Plus (abandonado por los desarrolladores, 9.9)<\/li>\n\n\n\n
- All In One SEO (9.9)<\/li>\n\n\n\n
- WP User Avatar \/ ProfilePress (9.8)<\/li>\n\n\n\n
- Booster for WooCommerce (9.8)<\/li>\n\n\n\n
- Image Hover Effects Ultimate (9.8)<\/li>\n\n\n\n
- PublishPress Capabilities (9.8)<\/li>\n<\/ol>\n\n\n\n
Fuente: <\/strong>Informe de Investigaci\u00f3n de Amenazas en Sitios Web 2021 de Sucuri.<\/p>\n\n\n\n
Los plugins abandonados son altamente vulnerables<\/h3>\n\n\n\n
Los plugins abandonados son aquellos que ya no son actualizados por sus desarrolladores. Esto hace que probablemente sean explotados, ya que los desarrolladores ya no corrigen las vulnerabilidades conocidas. En 2021, los plugins abandonados Kaswara y Store Locator Plus fueron dos de los m\u00e1s vulnerables en el ecosistema de WordPress.<\/p>\n\n\n\n
Kaswara es un constructor de p\u00e1ginas, lo que significa que los usuarios que construyeron su p\u00e1gina usando Kaswara tuvieron que reconstruirla por completo o permanecer expuestos a filtraciones de seguridad.<\/p>\n\n\n\n
- El informe<\/a> de seguridad de 2021 de Sucuri.<\/li>\n<\/ul>\n\n\n\n
- Backdoors<\/a>.<\/li>\n\n\n\n
![\"WordPress.com](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/How-safe-is-WordPress_-What-you-need-to-know-in-2023-XII-1-1024x743.jpg\")
<\/figure>\n\n\n\n