Cuatro pasos para proteger tu cuenta de wordpress

El Internet que conocemos hoy en día sería inconcebible sin los blogs y los gestores de contenidos. Los Sistemas de Gestión de Contenidos (CMS) permiten que cualquier persona, sin necesidad de tener conocimientos avanzados en informática, pueda realizar sus propios contenidos en la web.

Uno de los sistemas más conocidos es wordPress. Sin este software, el panorama del blog actual probablemente nunca habría llegado a ser tan exitoso. Los sistemas de blogs de WordPress son fáciles de instalar y, gracias a un sistema de expansión, se pueden mejorar con nuevas funciones y temas diferentes. El problema reside en que muchos usuarios se olvidan de que están utilizando algo más que una simple página web: estamos ante sofisticados sistemas de gestión de contenidos que pueden proporcionar a los atacantes una gran cantidad de oportunidades para infectar tanto al usuario como a su blog.

Kaspersky Lab te acerca los principales ataques que los cibercriminales realizan a este tipo de sitios y qué consejos que hay que seguir para evitarlos:

• Ataques masivos. Debido a su popularidad, wordPress ha sido objeto de múltiples ataques masivos automatizados. En abril de 2013, estos ataques alcanzaron su punto más alto cuando los piratas informáticos utilizaron una red de bots compuesta por más de 90.000 ordenadores para descifrar las contraseñas de acceso a WordPress. Otra táctica empleada por los ciberdelincuentes ha sido la explotación de vulnerabilidades conocidas. A través de estas vulnerabilidades los cibercriminales lanzan sus ataques para acceder a los blogs y adquirir los mismos derechos que los administradores del blog.
• Desfiguración, un caso especial. En este tipo de casos los cibercriminales, al conseguir las credenciales de acceso de un blog manipulan o eliminan los contenidos de esta web y lo reemplazan con los suyos. Este contenido por lo general conlleva mensajes políticos a través de los cuales los activistas quieren poner de relieve lo que ellos consideran como injusticias. Los agresores suelen ser aspirantes a hackers, que utilizan sandbox ya hechos para vandalismo digital.
• Ataques dirigidos. En contraste con las infecciones masivas, los ataques dirigidos por lo general tienen como objetivo solamente uno o dos sitios web. Como regla general, su objetivo es causar daño a una empresa o preparar otros ataques al hacerse cargo de un blog o página web.
• Protección y prevención. La prevención es la mejor protección frente a cualquier tipo de ciberataque.

En cuanto los consejos para evitar estos ataques son los siguientes:  

1. Actualizaciones. Cada vez que las nuevas versiones de los sistemas de blogs o plug-ins son emitidos por el fabricante, estos deben instalarse lo más rápido posible para que los atacantes no aprovechen las posibles vulnerabilidades para infectar el equipo con malware.
2. Minimizar el acceso. Todos los usuarios deben tener sólo la cantidad de permisos que necesitan para realizar sus tareas. No debería haber ninguna cuenta de administrador de acceso que los usuarios pueden usar «para ahorrar tiempo». Cada acción realizada por cada usuario debe ser siempre claramente rastreable y trazable.
3. Establecer límites. No todo el mundo necesita utilizar todas las funciones ofrecidas por WordPress y sistemas similares. Vale la pena hacer un inventario preciso de las funciones disponibles y desactivar todas las que son innecesarias. Este proceso debe repetirse regularmente cada vez que una nueva versión del programa sea instalada.
4. Realizar una copia de seguridad. Incluso si un ataque tiene éxito, con la copia de seguridad se puede limitar y reducir al mínimo los daños. En consecuencia, es importante establecer esta estrategia desde el principio y revisarla con regularidad. Esto incluye la comprobación de que las copias de seguridad son completas y libres de errores.