Portada Wordpress WordPress – Informe de Ataques Hacker en 2020
Que WordPress es el CMS (Gestor de Contenidos) más utilizado en el mundo, no es ninguna sorpresa.
Según indican en el sitio W3techs.com, la cuota de WordPress en gestores de contenidos (CMS) es del 64.2% y un 39.9% de todos los sitios web usan WordPress en Internet. ¡Eso es mucho Internet!
No es de extrañar que los atacantes tengan en su punto de mira a todos los WordPress del mundo para centrar sus ataques y no es porque sea más inseguro, es por la simple regla de «cuantos más peces en el mar…».
Existen varias formas de atacar un WordPress, algunas más sofisticadas y otras menos, pero la finalidad del atacante es siempre la misma, hacerse con el control de tu WordPress.
En 2020 detectaron 70 millones de archivos maliciosos en 1.2 millones de sitios WordPress .
Según Wordfence es la amenaza más extendida en 2020 son los plugins y themes llamados nulled.
Los plugins o themes llamados nulled, no son otra cosa que un producto pirata. Está modificado por personas para poder ser utilizados de forma gratuita, sin tener que pagar las licencias de uso.
Es decir, que cuando veas algo así como «Theme Divi Nulled», no significa que se trate de una versión gratuita que te ofrece el desarrollador, se trata de una copia pirateada y «anulada» para que puedas usarla sin pagar
Las personas que modifican estos producto de pago y los ofrecen en sitios web de dudosa reputación, no lo hacen de manera altruista, lo hacen porque dentro del código añaden una puerta trasera para infectar tu WordPress.
El malware WP-VCD, fue el más extendido y este sólo se propaga usando plugins o themes nulled.
Así que el mayor problema de seguridad en WordPress en 2020, no es otra cosa que el propio administrador del sitio que instala el theme o el plugin pirata en su sitio.
Los ataques de fuerza bruta son algo muy sencillo de evitar, tan sólo hay que usar una contraseña segura, así de simple.
Aun así, se bloquearon 90 mil millones de intentos de inicio de sesión usando la fuerza bruta. ¡¡Y eso es sólo lo detectado por Wordfence!!
Hay muchos otros sistemas de seguridad que tendrás sus propios datos, pero el número es realmente asombroso, contando sólo con los datos que nos ofrecen.
2.800 ataques por segundo a sitios WordPress, que se dice pronto, pero los ataques de fuerza bruta siguen siendo, de largo, es tipo de ataque más intentando en 2020 y tiene la pinta de seguir siéndolo en el futuro.
Si te estás preguntando qué es un ataque de fuerza bruta en WordPress, es muy sencillo de explicar.
Se trata de probar y probar datos de acceso al administrador de WordPress, por si tienen suerte acceder como administrador.
Esto no se hace a mano, lo hace un aplicación y prueba las cosas más comunes. Por ejemplo, como usuario prueba con admin, que suele ser el nombre de usuarios por defecto o en nombre de la web.
Y como contraseñas prueban palabras que puedes encontrar en un diccionario, es decir palabras reales fáciles de recordar por los usuarios.
Por supuesto, también se prueban pequeñas modificaciones, como poner la primera en mayúscula y un @ al final y cosas así.
Como verás, es muy difícil de acertar, pero si es el método más usado, es porque sigue funcionando , así que si usas una contraseña poco segura en tu WordPress, piensa en cambiarla cuanto antes.
Si poner algún sistema de protección de ataques de fuerza bruta en tu WordPress y miras los logs de vez en cuando, te darás cuenta de la cantidad de ataques que recibes al día.
Y como siempre, todos los años es lo mismo, el mayor problema de seguridad en WordPress es el propio usuario.
Es posible que un usuario vea un theme nulled y lo instale sin saber que se trata de una copia pirata y que posiblemente esté añadiendo malware a su WordPress.
De la misma forma que recibimos en nuestros correos electrónicos intentos de phishing, que intentan aprovecharse de la poca experiencia o la ingenuidad del usuario para engañarle, en WordPress pasa lo mismo.
Es importante tener en cuenta las medidas de seguridad mínimas para no acabar con tu WordPress hackeado.
Usar siempre contraseñas seguras, mantener actualizado todo en medida de lo posible, no usar software nulled (eso es como darle las llaves de casa a un ladrón) e instalar algún plugin para reforzar la seguridad de WordPress,