Cómo mantener tu sitio WordPress a salvo de malware y otras amenazas

¿Alguna vez has tenido un fallo de seguridad en tu sitio de WordPress, o incluso, has descubierto malware u otras amenazas? 
¿No? Quizás lo hayan comprometido en el pasado o incluso lo esté justo ahora y ni siquiera te has dado cuenta... 

El análisis continuo en busca de malware y amenazas es una parte vital para el mantenimiento de un sitio web seguro y fiable. A continuación se listan varias medidas de seguridad para hacerlo:

a. Utiliza un 'Site Checker'


Hoy en día se puede comprobar fácil y rápidamente la existencia de malware mediante el uso de una serie de servicios gratuitos que comprueban si la página de inicio u otras páginas visibles incluyen scripts maliciosos, o tratan de hacer que los visitantes descarguen malware. Por ejemplo:
Estos servicios son fáciles de usar. Simplemente escribe la dirección URL, haz clic en el botón 'Scan', y el servicio hará todo el trabajo por ti.

El problema con estos servicios es que si el malware se encuentra en una página oculta (que no se llega a través de enlaces o no está en el pageindex, por ejemplo el panel de WordPress) no serán capaces de encontrarlo. Es decir, es sólo una buena manera de hacer una comprobación inicial si se sospecha que hay algo raro.

b. Utiliza plugins de escaneo



Normalmente, estos plugins buscan código malicioso conocido, pero algunos también añaden capacidades extra y comparan los archivos con los fuentes del core de WordPress, así como de temas y plugins.

- Wordfence: es uno de los plugins más conocidos y mejor valorados. Busca vulnerabilidades, archivos sospechosos, comprueba la complejidad de las contraseñas empleadas, busca enlaces sospechosos en artículos y páginas, etc. Además también analiza el tráfico en tiempo real, comprueba el rendimiento del servidor, es capaz de bloquear IPs o por países o incluso añadir un segundo factor de autenticación empleando un teléfono móvil.

Otros plugins:

- Wemahu: Un plugin de análisis de malware cuyo desarrollo, lamentablemente, no parece estar ya activo.
- Theme Authenticity Checker: un plugin que busca código malicioso en cualquier tema instalado, y entre otras cosas, enlaces cifrados no deseados en el pie de página o en otros lugares.

c. Hacerlo de forma manual



La principal técnica para buscar manualmente malware en archivos de WordPress es simplemente buscar inconsistencias (tamaño o modificaciones en el código) entre los ficheros usados en el blog y los del repositorio oficial, tanto del core como de los plugins y temas utilizados.

Si te guardas las imágenes que subas a tu blog en una carpeta de tu ordenador o en un servicio en la nube como Dropbox, también puedes comprobar rápidamente las fechas y los tamaños de las imágenes. Aunque ten en cuenta que los tamaños de los archivos podrían haber sido cambiados al subirlos o si se utilizan plugins de optimización de imagen. De esta manera la mayoría de los tamaños de imagen serán diferentes de las versiones subidas si hay malware o no, así que no habría forma de diferenciar.

El problema con este método es, obviamente, que requiere mucho tiempo.

d. Usar un plugin o servicio para monitorizar cambios en el código o en los archivos



Para evitar que alguien "cuele" código malicioso o malware, se puede utilizar un plugin o servicio para monitorizar cambios en el código y los archivos.

Sucuri por ejemplo envía inmediatamente un correo electrónico cada vez que se modifica un archivo (o si se ha intentado pero no se ha podido modificar y los intentos de inicio de sesión). Esto te permitirá reaccionar muy rápidamente a cualquier cambio en tu sitio web.

Luego hay servicios como Code Guard que permiten monitorizar cualquier cambio en los archivos y generan informes que dan un visión general de los cambios.

Fuente:
How To Scan Your WordPress Site For Malware And Threats

Comentarios