Els continus i creixents atacs informàtics estan obligant els propietaris dels llocs web a corregir els errors més comuns que afecten la seguretat de WordPress.
WordPress és la plataforma de blogs més popular del món, amb al voltant del 60% de la quota de mercat. Originalment, va ser dissenyat per a blogs, però avui dia s’usa per a molt més que això.
També es fa servir per a llocs web comercials, llocs de comerç electrònic i fins i tot llocs web a gran escala com Wikipedia.
Aquesta àmplia gamma d’ús ha donat lloc a una varietat de diferents amenaces de seguretat que han de tenir-se en compte en utilitzar WordPress.
Per exemple, instal·lar arxius infectats, no actualitzar WordPress de manera adequada, no posar barreres als atacs de força bruta, fer servir themes procedents de fonts de poca reputació, són alguns dels principals errors de seguretat en WordPress.
No prendre mesures per a corregir-los podria suposar un error fatal per al teu negoci.
🧐 És segur WordPress?
En termes generals, sí, és segur. No obstant això, existeixen alguns riscos de seguretat que has de tenir en compte amb la teva instal·lació de WordPress.
Amb la facilitat d’ús i accessibilitat del CMS, els pirates informàtics busquen vulnerabilitats i utilitzen eines de pirateria automatitzades que funcionen a una velocitat impossible per als humans.
Això deixa als usuaris de WordPress amb dues opcions, o prenen mesures per a reduir els riscos o s’exposen a problemes de seguretat que afectaran el seu negoci.
Sí, WordPress no és la plataforma més segura que existeix, però tampoc és la pitjor. En aquest article veurem els 7 errors més comuns que afecten la seguretat de WordPress, i que poden solucionar-se sense la necessitat de ser un crack de la programació.
👎🏻 Tenir un hosting de mala qualitat
L’oferta de serveis de hosting és amplíssima. Hi ha servidors per a tots els gustos, i de preus dispars, per descomptat.
En aquest cas, una vegada més, el barat surt car.
Encara que la majoria de servidors del mercat són segurs, també n’hi ha que no. Per exemple, podria passar que no hagin separat bé els comptes dels usuaris, en aquests casos, n’hi ha prou que una d’elles es vegi afectada perquè contagiï a la resta.
Per això, a l’hora de contractar un bon servidor per al teu web, no posis focus en els més barats, sinó en altres aspectes que siguin importants perquè el teu lloc web funcioni de manera òptima.
Per exemple, fixa’t en els sistemes de seguretat que ofereixen o en què estiguin especialitzats en WordPress.
La meva recomanació és que triïs un hosting que tingui una certa autoritat en el sector, com Raiola Networks. Per què ho recomano? Per la seguretat que ofereix, pel seu excel·lent suport i pel seu preu competitiu.
❌ No tenir una còpia de seguretat pròpia
Un hosting de qualitat inclou còpies de seguretat periòdiques, que es generen automàticament. Per exemple, podria ser una còpia al dia i tens accés als 30 dies anteriors.
Això està molt bé, però i si hi ha un incendi en les seves instal·lacions i es cremen els servidors? I si sofreix un atac de ransomware? No seria la primera vegada que passa. Això o un altre incident imprevist.
No tenir una còpia de seguretat pròpia del teu lloc web és un dels errors més comuns dels webmaster.
L’ideal, per a evitar ensurts, és tenir una còpia de seguretat recentment allotjada fora del servidor del hosting.
Per a això, et recomano que tinguis una còpia de seguretat secundària, per exemple, jo amb el meu servei de manteniment web faig una còpia diària dels llocs dels meus clients, i la conservo per si algun dia hagués de reparar una fallada del sistema.
D’aquesta manera, si el teu lloc web sofreix algun contratemps, podràs restaurar-lo de manera senzilla.
⛔ No limitar l’accés d’inicis de sessió fallits
Una de les parts més vulnerables de WordPress és l’inici de sessió.
Per defecte, WordPress no permet limitar el nombre d’intents fallits en iniciar la sessió, la qual cosa suposa una oportunitat per als pirates informàtics.
Com no hi ha límit d’intents, poden provar combinacions d’usuaris i contrasenyes fins que encertin i trobin la bona.
Per tant, et convé limitar a 3 o 5 vegades els intents fallits, i reduiràs la possibilitat que un hacker accedeixi al teu lloc web.
Això pot fer-se amb molts plugins de seguretat de WordPress.
🆕 No actualitzar la versió de WordPress, del theme i la dels plugins
No actualitzar l’última versió del CMS, del theme, o els plugins que tens instal·lats és un dels errors més comuns de seguretat de WordPress.
Tenir actius un theme o plugin vulnerables és una oportunitat per als pirates informàtics.
Per què creus que surten les actualitzacions? A més d’incloure millores, corregir errors, afegir funcionalitats, també s’utilitzen per arreglar errors de seguretat crítics.
Si no actualitzes estàs deixant portes obertes al teu lloc web, i els hackers les aprofiten per a entrar, precisament perquè saben que moltes persones no actualitzen els seus plugins de WordPress.
Com saben ells quines són aquestes vulnerabilitats? Perquè són públiques. Saben quines versions de quines plugins estan desactualitzades i no tenen els arranjaments que les protegeixen.
Si no actualitzes els hi poses molt fàcil.
A més, assegura’t d’instal·lar themes o plugins des de les pàgines oficials, ja que si ho fas des d’altres plataformes que no coneixes podrien contenir codi maliciós ocult que han instal·lat els pirates informàtics.
Finalment, és molt habitual deixar activats o instal·lats themes o plugins que no s’utilitzen.
Recorda que un fragment de codi és un potencial problema de seguretat, si no els faràs servir, per a què mantenir-los?
La meva recomanació és que esborris tot el que no vagis a fer servir.
☠️ Fer servir una contrasenya d’accés feble
Una contrasenya feble és una de les raons més comunes perquè un lloc web sigui piratejat.
Què és una contrasenya feble?
Aquella que és senzilla d’esbrinar, per exemple, una que reutilitzes a tot arreu. Aquesta que, sempre o gairebé sempre, tens en diferents plataformes.
Això és un perill, imagina que pirategen una d’aquestes plataformes en les quals tens les teves dades habituals d’accés (usuari + contrasenya). Una vegada tinguin les dades, poden entrar al teu lloc web en un tancar i obrir d’ulls.
D’altra banda, no escriguis contrasenyes senzilles, com a noms, anys de naixement, ni gens similar.
Saps el que és un atac de força bruta?
De manera resumida, són bots maliciosos (programari o programes) que estan dissenyats per a buscar els inicis de sessió de les pàgines web de WordPress i atacar-les.
Hi ha un atac de força bruta que es diu “atac de diccionari”, i consisteix a intentar accedir a WordPress amb contrasenyes d’ús comú que hi ha en algunes bases de dades públiques.
Per això és important tenir contrasenyes segures, és a dir, llargues i arbitràries, barrejant text, números i símbols.
A més, afegeix una capa més de seguretat, fent ús de l’autenticació en dos passos i limitant el nombre d’intents en l’inici de sessió de WordPress.
📌 No xifrar les comunicacions amb un certificat SSL
Segur que hauràs sentit o llegit això del certificat SSL, però potser no saps molt bé què és.
El certificat SSL és emès per una autoritat de certificació (CA) reconeguda, i vincula matemàticament la clau pública del teu servidor amb el nom de domini del teu lloc web, de manera que totes les dades entre el servidor i els navegadors estan encriptats
Ho explico d’una manera més senzilla. 😅
És un sistema que protegeix les dades que es comparteixen a Internet, per exemple, quan fas una compra en línia i poses les dades de la teva targeta de crèdit.
No xifrar les comunicacions que fas en la teva pàgina web és un potencial problema de seguretat, ja que un hacker podria interceptar totes les dades de pagament dels teus clients.
Imagina el que suposaria per al teu negoci si passa una cosa així.
Això és fàcil de solucionar, parla amb el teu proveïdor de hosting perquè et proporcioni un certificat SSL gratuït.
🔍 No supervisar de manera correcta i periòdica la seguretat del teu WordPress
Cal portar un control rigorós de l’estat, malware i altres vulnerabilitats que permetin mantenir el teu lloc web WordPress net i protegit.
No supervisar-ho o fer-ho de manera incorrecta comporta no detectar el problema de seguretat a temps, i la solució es complica.
Monitorar WordPress de manera periòdica ajuda a identificar i aturar atacs informàtics, detectar possibles problemes de seguretat i posar solució a temps quan succeeixin.
Aquesta és una de les tasques que incloc en el meu servei de manteniment de WordPress, per a millorar la seguretat dels llocs web dels meus clients.
✅ Conclusió
Internet és una mar d’oportunitats per al teu negoci, però també comporta riscos de seguretat als quals t’exposes només per tenir un lloc web amb WordPress.
Hem vist 7 errors comuns que afecten la seguretat del teu WordPress:
- Tenir un hosting de mala qualitat.
- No fer una còpia de seguretat en el teu ordinador.
- No limitar l’accés d’inicis de sessió fallits.
- No actualitzar la versió de WordPress, el theme i els plugins.
- Fer servir una contrasenya d’accés feble.
- No xifrar les comunicacions amb un certificat SSL.
- No supervisar de manera correcta i periòdica la seguretat del teu WordPress.
La bona notícia és que aquest tipus de problemes de seguretat es poden evitar de manera senzilla, prenent les accions adequades per a reduir els riscos a la mínima expressió.