Categoría: Seguridad

Primero, no es solo WordPress. Todos los sitios web en Internet son vulnerables a los intentos de piratería.

La razón por la que los sitios de WordPress son un objetivo común es porque WordPress es el creador de sitios web más popular del mundo. Representa más del 31% de todos los sitios web, lo que significa cientos de millones de sitios web en todo el mundo.

Los piratas informáticos tienen diferentes tipos de motivos para piratear un sitio web. Algunos son principiantes que recién están aprendiendo a explotar sitios menos seguros.

Algunos piratas informáticos tienen intenciones maliciosas, como distribuir malware, usar un sitio para atacar otros sitios web o enviar spam a Internet.

Dicho esto, echemos un vistazo a algunas de las principales causas de que los sitios de WordPress sean pirateados y cómo evitar que su sitio web sea pirateado.

1. Uso de contraseñas débiles

Las contraseñas son las llaves de su sitio de WordPress. Debe asegurarse de que está utilizando una contraseña única y segura para cada una de las siguientes cuentas, ya que todas pueden proporcionar a un hacker acceso completo a su sitio web.

• Su cuenta de administrador de WordPress

• La cuenta del panel de control de su web hosting

• Las cuentas FTP

• Las bases de datos MySql utilizadas por su sitio WordPress

• Las casillas de email

Todas estas cuentas están protegidas por contraseñas. El uso de contraseñas débiles facilita que los piratas informáticos descifren las contraseñas utilizando algunas herramientas básicas de piratería.

2. Acceso desprotegido al administrador de WordPress (directorio wp-admin)

El área de administración de WordPress le da acceso a un usuario para realizar diferentes acciones en su sitio de WordPress. También es el área más comúnmente atacada de un sitio de WordPress.

Dejarlo desprotegido permite a los piratas informáticos probar diferentes enfoques para descifrar su sitio web. Puede dificultarles la tarea agregando capas de autenticación a su directorio de administración de WordPress.

Primero debe proteger con contraseña su área de administración de WordPress. Esto agrega una capa de seguridad adicional, y cualquier persona que intente acceder al administrador de WordPress deberá proporcionar una contraseña adicional.

Si ejecuta un sitio de WordPress de varios autores o usuarios múltiples, puede aplicar contraseñas seguras para todos los usuarios de su sitio. También puede agregar autenticación de dos factores para que sea aún más difícil para los piratas informáticos ingresar a su área de administración de WordPress.

3. Permisos de archivo incorrectos

Los permisos de archivo son un conjunto de reglas utilizadas por su servidor web. Estos permisos ayudan a su servidor web a controlar el acceso a los archivos de su sitio. Los permisos de archivo incorrectos pueden dar acceso a un pirata informático para escribir y cambiar estos archivos.

Todos sus archivos de WordPress deben tener un valor de 644 como permiso de archivo. Todas las carpetas en su sitio de WordPress deben tener 755 como permiso de archivo.

4. No actualizar WordPress

Algunos usuarios de WordPress tienen miedo de actualizar sus sitios de WordPress. Temen que hacerlo rompa su sitio web.

Cada nueva versión de WordPress corrige errores y vulnerabilidades de seguridad. Si no está actualizando WordPress, entonces está dejando su sitio vulnerable intencionalmente.

Si tiene miedo de que una actualización rompa su sitio web, puede crear una copia de seguridad completa de WordPress antes de ejecutar una actualización. De esta manera, si algo no funciona, puede volver fácilmente a la versión anterior.

5. No actualizar los complementos o el tema

Al igual que el software principal de WordPress, la actualización de su tema y complementos es igualmente importante. El uso de un complemento o tema desactualizado puede hacer que su sitio sea vulnerable.

Las fallas de seguridad y los errores a menudo se descubren en los complementos y temas de WordPress. Por lo general, los autores de temas y complementos los arreglan rápidamente. Sin embargo, si un usuario no actualiza su tema o complemento, no hay nada que pueda hacer al respecto.

Asegúrese de mantener actualizados su tema y complementos de WordPress.

6. Uso de FTP simple en lugar de SFTP/SSH

Las cuentas FTP se utilizan para cargar archivos en su servidor web mediante un cliente FTP. La mayoría de los proveedores de alojamiento admiten conexiones FTP utilizando diferentes protocolos. Puede conectarse usando FTP, SFTP o SSH.

Cuando se conecta a su sitio mediante FTP simple, su contraseña se envía al servidor sin cifrar. Puede ser espiado y robado fácilmente. En lugar de usar FTP, siempre debe usar SFTP o SSH.

No necesitarías cambiar tu cliente FTP. La mayoría de los clientes FTP pueden conectarse a su sitio web tanto en SFTP como en SSH. Solo necesita cambiar el protocolo a ‘SFTP – SSH’ cuando se conecte a su sitio web.

7. Usando Admin como nombre de usuario de WordPress

No se recomienda usar ‘admin’ como su nombre de usuario de WordPress. Si su nombre de usuario de administrador es admin, entonces debe cambiarlo inmediatamente a un nombre de usuario diferente.

8. Temas y complementos anulados (crackeados)

Hay muchos sitios web en Internet que distribuyen complementos y temas de WordPress de pago de forma gratuita. A veces es fácil tener la tentación de usar esos complementos y temas anulados en su sitio.

Descargar temas y complementos de WordPress de fuentes poco confiables es muy peligroso. No solo pueden comprometer la seguridad de su sitio web, sino que también pueden usarse para robar información confidencial.

Siempre debe descargar los complementos y temas de WordPress de fuentes confiables, como el sitio web de desarrolladores de complementos/temas o los repositorios oficiales de WordPress.

Si no puede pagar o no quiere comprar un complemento o tema premium, siempre hay alternativas gratuitas disponibles para esos productos. Es posible que estos complementos gratuitos no sean tan buenos como sus contrapartes pagas, pero harán el trabajo y, lo que es más importante, mantendrán su sitio web seguro.

9. No asegurar la configuración de WordPress (Archivo wp-config.php)

El archivo de configuración de WordPress wp-config.php contiene sus credenciales de inicio de sesión en la base de datos de WordPress. Si está comprometido, revelará información que podría dar a un pirata informático acceso completo a su sitio web.

Puede agregar una capa adicional de protección negando el acceso al archivo wp-config usando .htaccess. Simplemente agregue este pequeño código a su archivo .htaccess.

1 <files wp-config.php>
2 order allow,deny
3 deny from all
4 </files>

10. No cambiar el prefijo de tabla de WordPress

Muchos expertos recomiendan que cambie el prefijo predeterminado de la tabla de WordPress. De forma predeterminada, WordPress usa wp_ como prefijo para las tablas que crea en su base de datos. Tiene la opción de cambiarlo durante la instalación.

Se recomienda que utilice un prefijo que sea un poco más complicado. Esto hará que sea más difícil para los piratas informáticos adivinar los nombres de las tablas de su base de datos.

Fuente: https://www.wpbeginner.com/beginners-guide/reasons-why-wordpress-site-gets-hacked/

Estamos actualizando los pasos para limpiar los sitios WordPress infectados por Anonymous Fox. Hasta ahora el procedimiento sería el siguiente:

1) Dirijase en su cPanel a Seguridad => ImunifyAV.

Allí verá un listado de los archivos infectados detectados por nuestro antivirus. Eliminelos usando el Administrador de Archivos de cPanel o un programa FTP.
Si la ruta de el archivo a eliminar se encuentra en una carpeta desconocida, elimine directamente la carpeta; más aun si dicha carpeta está dentro de /plugins.
Por ejemplo: /home/usuariocpanel/public_html/site/wp-content/plugins/aknxryu/dwmruibv.php

En lugar de borrar el archivo dwmruibv.php, se ahorra varios pasos borrando la carpeta /aknxryu que es, obviamente, un plugin falso.

2) Borre las casillas de correo creadas por el virus.

El hackeo implica vulnerar un WordPress desde un plugin falso, desde ese plugin pueden modificar, via virus, el archivo contactmail de cPanel, y de esa forma pueden enviarse el password de cPanel.

Una vez dentro, usan archivos de cPanel para crear casillas de correos. Vaya a Correo Electronico => Cuentas de Correo Electronico y eliminelas.
Ejemplo de casillas que crea el virus:

admin@
administrator@
backing@
back-up@
backup@
chief@
call@
client@
clients@

Son entre entre 15 y 20 casillas de correos las que crea el virus.

3) Este virus crea usuarios del admin de su WordPress para tener acceso al mismo.
En cPanel, vaya a Base de Datos => PHPmyadmin.

Abra la base de datos de su sitio. En casi todos los sitios la base tiene el mismo nombre: usercpanel_wp123 (Es siempre un numero al azar).
Busque ahora la en dicha base la tabla wp_users.
Elimine todos los usuarios creados por el virus. Si el que posee su casilla de correo fue editada; restaure la misma editando los datos y modificando la contraseña; tal como lo muestra esta guia: https://www.youtube.com/watch?v=cb5GTYGXrwg

Use nombres de usuario y passwords complejos. Evite nombres conocidos como “admin”.

4) Es momento de ir a Dominios => WordPress Toolkits.
Lo mas probable es que al entrar vea un mensaje indicando que la instalacion de WordPress esta dañada.
Para solucionar esto, haga clic en el botón “Comprobar la integridad de WordPress”.

Le saldrá una pantalla con varias opciones; seleccione “Restaurar núcleo de WordPress” para reinstalar los archivos necesarios para que WordPress funcione correctamente.

5) Es momento de volver al Administrador de Archivos de cPanel.
Una vez allí, dirijase a la carpeta de WordPress llamada /wp-includes. La misma se encuentra dentro de la instalación de WP; en la ruta por defecto de /public_html/wp-includes.

Una vez dentro, busque por el archivo plugin.php; haga clic con el botón derecho sobre dicho archivo y seleccione la opcion “Change Permissions”. Asegurese que dicho archivo solo quede con permisos 444, es decir, que tenga tildada solo la opcion “Leer” en cada modo.

6) Es tiampo de modificar las contraseñas de acceso a la cuenta: Usuario de admin de WP; user de base de datos y cPanel.

La password del usuario admin de su WordPress la debería haber editado en el paso 3 donde se eliminaron usuarios creados por el virus.
La password del usuario de base de datos la puede cambiar desde el cPanel; en Base de Datos => Bases de Datos MySQL => Usuarios actuales => Cambiar Contraseña.
La password de cpanel puede modificarla desde su area de cliente en https://www.sitioshispanos.com/es/clientarea.php , yendo a Servicios => Mis Servicios => Haga clic sobre el servicio en cuestion => En la columna de Acciones, verá la opción “Cambiar Contraseña”.

7) Actualizar WordPress a la última versión disponible. Elimine cualquier instalación de WordPress que no se use.

8) Actualizar los Plugins, Woocomerce y Theme a la ultima versión y no mantenga instalados plugins que no se usen.

9) Usar la ultima versión de PHP disponible: https://www.php.net/supported-versions.php

10) Limite el numero de Logins fallidos (generalmente mediante un plugin de seguridad)

EJ: https://wordpress.org/plugins/wp-limit-login-attempts/

11) Deshabilitar el editor de archivos de WordPress (Theme Editor)

• Agregue esta linea en el archivo wp-config.php

define( 'DISALLOW_FILE_EDIT', true );

Cambiando de “true” a “false” esta linea podrá activar y desactivar la opción segun la necesidad de usarla.

12) Deshabilitar XML-RPC

• Agregar este código en el .htaccess principal de la instalación de WordPress:

 # Block WordPress xmlrpc.php requests

 <Files xmlrpc.php>
 order deny,allow
 deny from all
 allow from xxx.xxx.xxx.xxx
 </Files>

Puedes reemplazar xxx.xxx.xxx.xxx por la ip a la que deseas darle acceso, o puedes eliminar esa línea para un bloqueo total.

• El codigo, por defecto, que crea WordPress en los htaccess es este, agregue el codigo de arriba debajo del codigo de WordPress:

 # BEGIN WordPress

        RewriteEngine On

        RewriteBase /

        RewriteRule ^index\.php$ - [L]

        RewriteCond %{REQUEST_FILENAME} !-f

        RewriteCond %{REQUEST_FILENAME} !-d

        RewriteRule . /index.php [L]

        # END WordPress 

13) Deshabilitar la creación de archivos PHP en directorios de WordPress

Es recomendable crear un .htaccess, si no existe, con este mismo codigo en /wp-includes/ y /wp-content/uploads/

 <Files *.php>

        deny from all

        </Files>  

• Asegurar el wp-config.php
• Prevenir que se pueda editar el archivo wp-config.php desde el navegador Agregar este codigo al .htaccess principal

# protect wpconfig.php 

    <files wp-config.php> 

        order allow,deny 

        deny from all 

    </files>

• Luego modificar los permisos del archivo a 600

14) Busque en “Cuentas FTP” que no haya sesiones raras creadas, si hay sesiones, cualquiera, es recomendable cambiarles el password.

15) Busque en “Mysql Remoto” que no haya ips raras o desconocidas agregadas.