En un mundo cada vez más digitalizado, los ciberataques se han convertido en una amenaza constante para empresas y usuarios. Solo en los últimos seis meses se ha registrado el bloqueo de aproximadamente 480.000 peticiones maliciosas por minuto a nivel global, lo que equivale a 8.000 intentos de ataque fallidos por segundo, según datos proporcionados por el Web Application Firewall (WAF) de WordPress.com, la plataforma líder de creación web y comercio electrónico propiedad de Automattic.
Por ello, el equipo de la compañía ha identificado los principales factores de riesgo que exponen a los sitios a vulnerabilidades. Desde la falta de actualizaciones hasta la gestión inadecuada de contraseñas, entender estos riesgos es esencial para proteger tu presencia online. A continuación, desglosamos los principales peligros y cómo mitigarlos para fortalecer la seguridad de tu web.
Vulnerabilidades en plugins y temas
Según datos de WordPress.com, las vulnerabilidades en plugins y temas son los puntos más comunes por donde los atacantes acceden a los sitios web. La plataforma cuenta con más de 60.000 plugins gratuitos y de pago, de los cuales, la mayoría, son desarrollados por terceros y pueden dejar las puertas abiertas a ataques maliciosos. Por ello, es vital que los usuarios pongan especial atención en el origen de dichos programas.
Algunos plugins denominados “nulled” (pirateados) llevan puertas traseras (backdoors) que permiten acceso malintencionado al sitio web y a través de los cuales los atacantes pueden subir código malicioso o ejecutar comandos arbitrarios en sitios vulnerables. Además, alojar sitios web en servicios de hosting no especializados o el uso continuado de versiones desactualizadas del software por parte de los usuarios, puede exponerlos a vulnerabilidades conocidas y explotadas por los atacantes.
El informe subraya la necesidad de adoptar medidas preventivas como mantener plugins y temas actualizados, ya que las versiones más recientes suelen incluir parches de seguridad que corrigen vulnerabilidades conocidas. En este sentido, el Web Application Firewall (WAF) funciona como una capa de protección adicional contra ataques comunes sobre el núcleo de WordPress, especialmente aquellos dirigidos a instalaciones con plugins vulnerables o configuraciones inseguras. También, WordPress.com ofrece medidas adicionales de seguridad, como la actualización automática de plugins y temas, lo que ayuda a los administradores a proteger sus sitios web de posibles amenazas sin depender únicamente de intervenciones manuales.
Contraseñas inseguras y falta de autenticación multifactor
El uso de contraseñas débiles o recicladas, así como la falta de autenticación multifactorial son otras de las causas de brechas de seguridad. Si bien no son el principal vector, representando el 1,52% de los casos de sitios infectados, estas vulnerabilidades permiten a los atacantes acceder a sitios web con relativa facilidad.
Es fundamental que los administradores de sitios web adopten prácticas de gestión segura de contraseñas, como el uso de contraseñas fuertes y únicas, y la implementación de la autenticación multifactorial para prevenir accesos no autorizados. Para facilitarles la labor, WordPress.com gestiona eficazmente la seguridad de las contraseñas, sugiriendo contraseñas fuertes y utilizando cifrado para protegerlas, además de utilizar enlaces de un solo uso para restablecer contraseñas, que expiran en 24 horas.
Medidas de seguridad ante amenazas
Para combatir estas amenazas, WordPress.com subraya la importancia de estar siempre un paso adelante en materia de ciberseguridad. La combinación de actualizaciones regulares, buenas prácticas de seguridad y la adopción de tecnologías avanzadas reducen significativamente los riesgos de ciberataques.
Entre las principales medidas que WordPress.com ofrece a sus usuarios encontramos certificados SSL/TLS, firewalls, scanner de ficheros y copias de seguridad por cada cambio aplicado en la web. Además, el usuario debe seguir el calendario de actualizaciones y usar contraseñas fuertes y únicas para cada sitio.
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.
