Es importante entender que cuando accedes a un sitio web, lo que estás haciendo es ingresar a una carpeta de un computador remoto. Para poder ver un sitio web entonces, esa carpeta, en ese computador, debe estar accesible universalmente. Se suele denominar carpeta “pública” y su nivel de seguridad es, por su misma naturaleza, muy reducido.
Esta carpeta debe “servir” los recursos (archivos, imágenes, scripts) necesarios para que puedan ser descargados a tu dispositivo desde un navegador web por medio de una conexión a internet. Esta conexión es, en realidad, una comunicación de datos que se entregan (servidor) y reciben (cliente) progresivamente mediante un protocolo HTTP (por Hyper Text Transfer Protocol) y más recientemente por un protocolo HTTPS, que añade una capa de seguridad a la conexión. Esta capa de seguridad (o certificado SSL, por Secure Socket Layer) permite garantizar que el servidor al que te estás conectando realmente corresponde al dominio del sitio web, pero también impide que los datos transmitidos sean interceptados en el proceso por terceras partes.
¿Qué pasa con WordPress y la seguridad?
WordPress, al igual que otros CMS (o sistemas de administración de contenidos) está construido con un sistema de archivos que conecta a una base de datos que almacena la información del sitio, usuarios, páginas, noticias, pedidos y productos cuando se usa con Woocommerce).
El peligro de wordpress reside en 2 de sus mejores atributos: su extendido uso en todo el mundo, que supera el 40% de toda la web y que es de código abierto. Esto lo vuelve muy atractivo para los hackers, ya que al encontrar una vulnerabilidad tienen una gran base de usuarios para explotarla. Por lo mismo se recomienda mantener permanentemente actualizado a las últimas versiones tanto el núcleo de WordPress como los plugins y temas instalados en tu sitio. Si haces esto, el riesgo de que tu sitio sea hackeado es bajo.
¿Qué pasa si me hackean?
En nuestra experiencia, los hackeos a WordPress, tienen los siguientes objetivos:
- Generar backlinks para mejorar el pagerank de otros sitios web (blackhat SEO)
- Derivar tráfico hacia otros sitios web (típicamente casinos online)
- Tomar control del servidor para utilizarlo enviando spam (publicitario o de phishing)
- Usar recursos del servidor para minar monedas digitales
En cualquiera de estos casos, normalmente no hay daño al sitio web por pérdida de archivos o datos ni tampoco robo de datos, pero limpiar el sitio del malware puede resultar una tarea larga y difícil.
¿Cómo se puede mejorar la seguridad de mi sitio web?
Una de las medidas más sencillas, además de mantener el software actualizado, es utilizar contraseñas fuertes y no compartirlas, ya que gran parte de los hackeos son del tipo “de fuerza bruta”, término utilizado para la adivinación de contraseñas mediante bots. Por lo mismos, limitar los intentos de ingreso fallidos y bloquear IPs que realizan estos intentos son medidas complementarias que junto a otras reducen significativamente el riesgo de hackeos.
¿Y qué pasa con las tiendas virtuales y las tarjetas de crédito de los usuarios?
Para las tiendas virtuales se recomienda hacer respaldos más frecuentes de tu sitio como medida de prevención, pero las tarjetas de crédito no se almacenan en la base de datos de wordpress. De hecho, con cualquier medio de pago, el sistema deriva a la plataforma respectiva (webpay, paypal, mercadopago, etc) al momento de realizar la transacción, por lo tanto es este y sus sistemas quien vela por la integridad y seguridad del proceso
