Si tienes un sitio web o blog seguramente has oído hablar de los plugins utilizados para complementar o brindar funcionalidades al sitio web sin la necesidad de desarrollar código. Ya tienes una idea de la cantidad de tiempo que pueden ahorrar en la creación de sitios web con Wordpress, Joomla, Drupal y otros CMS.

En este artículo explicamos qué es un plugin, cómo podría afectar la seguridad de tu sitio web, sobre todo si ha sido desarrollado con Wordpress, y cómo protegerlo.

¿Qué es un plugin?

Los plugins son componentes de software independientes que se integran al sitio web con el fin de ampliar, complementar e inclusive mejorar sus funcionalidades.  Es decir, los plugins nos permitirán realizar acciones que el propio WordPress no incluye. La lista es extensa, va desde acciones como duplicar un menú o una página, hasta herramientas más avanzadas como añadir una tienda virtual, un formulario de contacto, o el sistema de reservación de un hotel.

Piensa en tu sitio web como si fuese tu teléfono móvil; y en los plugins, como en las aplicaciones que le instalas.  Los plugins vienen siendo para un sitio web, como las aplicaciones para un teléfono inteligente.

Un plugin beneficia a un diseñador web al proporcionar herramientas y funcionalidades adicionales que pueden ser integradas fácilmente en un sitio web sin requerir programación personalizada.

Dicho de forma más sencilla, podemos añadir cualquier complemento que consideremos necesario a nuestro sitio.  El caso de WordPress, estos recursos son indispensables, porque a diferencia de Joomla, Wordpress por sí solo cuenta con muy pocas cosas.  Las herramientas más básicas que un sitio web necesita, en Wordpress no existen y es necesario instalar un plugin.

¿Cómo afectan la seguridad de tu sitio web?

Aunque los plugins son de gran utilidad para ahorrar tiempo, es sumamente importante manejarlos con precaución, ya que entre más plugins se tengan instalados aumenta la probabilidad de sufrir ataques de virus y malwares teniendo consecuencias negativas para tu página, sus visitantes, la credibilidad de tu negocio e inclusive la perdida de dinero.

Esto se debe al hecho de que todos estos complementos, que se añaden a tu sitio web, no forman parte original de la plataforma que soporta al sitio web, utilizan una forma de conectarse y está conexión es justamente una puerta de entrada para los piratas informáticos.

¿Y por qué un ciberdelincuente atacaría mi sitio?

Esta es una pregunta muy común entre los dueños de Pymes y emprendedores cuando se habla de la seguridad de sus sitios.

Solemos asociar la ciberdelincuencia con el interés de robar información delicada como los datos de tarjetas de crédito o los secretos de un gobierno.  Sin embargo, en el mundo digital existen estafas y ciberataques donde el ciberdelincuente requiere de controlar miles de sitios web.  Por nombrar solo dos: el SEO Scam (estafa en el marketing digital) y el ataque DDoS (ciberataque a gobiernos y grandes empresas).

En el caso del SEO Scam, el ciberdelincuente se hace pasar por un experto en SEO y promete a su víctima posicionar su sitio web en el primer lugar de los resultados de Google y otros buscadores. Para lograrlo, emplea los sitios web donde previamente ha instalado su virus. Con un simple clic, genera miles de enlaces que apuntan al sitio web de la víctima desde diversos sitios. Esta acción lleva a Google y otros buscadores a considerar el sitio de la víctima como relevante, impulsando su posición en los resultados. Una vez que la víctima efectúa el pago por los supuestos servicios, el estafador, con el fin de evitar ser rastreado, elimina los enlaces, nuevamente con un solo clic.

Ahora puedes apreciar porque a los hackers les interesa tanto los sitios web de Pymes y emprendedores.  Para realizar este tipo de estafas, es necesario que el hacker haya infectado previamente a cientos de miles de sitios web; y es más fácil infectar los sitios de pequeños negocios y emprendedores, que sitios de grandes corporaciones que tienen mayores recursos para la ciberseguridad y el personal técnico.

¿Qué hace a Wordpress atractivo para los hackers?

En el caso de sitios desarrollados en WordPress se conjugan 3 elementos que los hacen atractivos para ser infectados por hackers que se dedican al SEO SCAM.

1. Es el CMS para diseño de sitios web más popular.  Se calcula que casi del 80% de los sitios son desarrollados con Wordpress.  Y para hacker es más eficiente desarrollar un virus que afecte al 80% de los sitios web, que hacer uno para afectar plataformas con cuotas de mercado menor al 10%.
2. Necesita una gran cantidad de plugins para funcionar.  Como mencionamos, Wordpress carece de las herramientas más simples, por ello necesita la instalación de muchos plugins; y cada plugin, al no ser propio del sistema, es una puerta de acceso para los hackers.
3. Es utilizado por los diseñadores web novatos.  Wordpress es considerado la plataforma de diseño de sitios web más fácil de utilizar, por ello es muy atractiva por emprendedores que desean dedicase al desarrollo web; y estos emprendedores tienen muy poco o ningún conocimiento de seguridad.

Estos 3 aspectos hacen que desarrollar virus y malwares para Wordpress sea tan rentable y atractivo para los hackers.

Incluso si su sitio web de WordPress es pequeño, no muy conocido o no esté en el top de las búsquedas de Google, no queda exento de este tipo de ataques ya que los hackers no suelen atacar a nadie personalmente, sino que desarrollan bots que lo hacen de forma automática.

En conclusión: ¿Cuál es la solución?

Si tu sitio está diseñado en Wordpress, has un inventario de todos los plugins que están instalados.  Verifica si están en uso o son de utilidad en la gestión del sitio.

• Desinstala todo plugin que no sea de utilidad en la gestión o funcional para los visitantes.
• Actualiza con regularidad la plataforma, la plantilla, los plugins y la versión de PHP que lo soporta.

Las acciones anteriores son importantes, pero nuestra mayor recomendación, como agencia digital brindando asesoría web desde el 2011, es la inversión en un WAF (Web Application Firewall).

El WAF es un muro de protección para tu sitio.  Es para tu sitio web lo que un antivirus para tu computadora personal.  Vigila, filtra y bloquea todo el tráfico malicioso, e impide que salga cualquier dato no autorizado.

Si deseas conocer más sobre qué es un WAF, tenemos un artículo en este blog que trata sobre el tema, puedes hacer clic a continuación: ¿Qué es un WAF?