Es un golpe de suerte para los creadores de maldad en Internet si pueden encontrar una manera de dañar los sitios web de WordPress. Con un solo truco bajo la manga, pueden atacar a casi el 30% de los sitios web de Internet. Esa es la desventaja de que WordPress sea el CMS más popular. Como propietarios de sitios web, por nuestra parte, tenemos que ser proactivos y revisar/actualizar las medidas de seguridad regularmente para estar a salvo de los hackers. Un paso importante y fácil de implementar en su lista de control de seguridad es escanear WordPress en busca de vulnerabilidades.
Por qué debe escanear WordPress en busca de vulnerabilidades
- Su sitio web de WordPress puede ser el depósito de información personal sensible enviada por los usuarios. Ellos confían en usted para evitar que esta información caiga en manos no deseadas.
- Otros pueden colocar backlinks, redirecciones, anuncios o banners de sitios web que quieren promocionar en su sitio.
- Los usuarios con acceso no autorizado a su sitio web pueden estar consumiendo su ancho de banda, incluso sin que usted lo sepa.
- Mientras no se detecte, el malware puede acechar dentro de su sitio web y recopilar información. Puede enviar correos electrónicos de spam a otros infectándolos también en el proceso. Esto puede hacer que Google y otros servicios de seguridad como AVG o Norton pongan su sitio en la lista negra. De nuevo, puede que ni siquiera lo sepa.
- Los escaneos regulares pueden detectar algunas amenazas de seguridad a tiempo y evitar que su sitio sea hackeado.
Modo de escanear WordPress
Llevar a cabo un escaneo básico en busca de vulnerabilidades en su sitio web de WordPress no es ni difícil ni caro. Pero como más cosas en la vida, tienes opciones. Cuando se trata de escanear WordPress en busca de vulnerabilidades hay dos métodos principales.
Los escáneres remotos son herramientas que pueden hacer un escaneo preliminar y revelar una serie de fallos de seguridad. Son una especie de comprobación rápida en su régimen de seguridad. La mayoría de los escáneres generalmente funcionan de la misma manera – simplemente introduzca la URL de su sitio web en su página web. Su sitio, visible en el navegador, será escaneado en unos instantes y se generará un informe. En el informe pueden aparecer muchas vulnerabilidades. Algunas herramientas también le sugerirán medidas correctivas que puede llevar a cabo. Algunos escáneres remotos están diseñados específicamente para escanear sitios de WordPress, mientras que otros incluyen un escaneo de WordPress en su lista de características.
Por el contrario, cuando se instala un plugin, éste accede al servidor en el entorno de alojamiento que reside y hace un escaneo mucho más profundo. Un plugin ofrece opciones de configuración de reglas de escaneo, automatizaciones y escaneos completos que se sumergen en su base de datos para garantizar la seguridad.
La diferencia importante entre ambos es que un escáner remoto sólo mira la versión final renderizada de su sitio web, tal y como aparece en su navegador (algo así como un bot del motor de búsqueda). A diferencia de los plugins, un escáner remoto no puede mirar dentro de su servidor, por lo que cualquier elemento malicioso en su servidor podría permanecer sin ser detectado.
Hay muchos escáneres remotos gratuitos y plugins gratuitos disponibles que pueden examinar su sitio web en busca de software falso – veamos algunos de los mejores.
MalCare
El primero en nuestra lista es MalCare, que ofrece un escaneo gratuito basado en la nube a través de su plugin gratuito. Este escáner de alta tecnología para sitios de WordPress examina todos tus archivos y toda tu base de datos para encontrar incluso el malware más complejo. Y lo mejor de todo es que, como utiliza los propios servidores en la nube de MalCare para escanear en busca de vulnerabilidades, no ralentizará tu sitio.
MalCare también ofrece planes premium con aún más opciones de detección temprana, escaneo automatizado &eliminación de malware, s, bloqueo de IP, ajustes recomendados para WordPress (desactivar el editor de archivos, protección de la carpeta de subidas, claves de seguridad, etc), plugins no permitidos, y mucho más. Y dependiendo de sus necesidades, incluso ofrecen una solución de marca blanca con informes personalizados para sus clientes.
Sucuri SiteCheck
Sucuri es un nombre bien conocido en la seguridad de sitios web y compila informes de vulnerabilidad regulares y completos. El SiteCheck analizará todos los sitios web, incluidos los de WordPress, y revelará el malware conocido, el software desactualizado y los errores del sitio web. También conocerá su estado en la lista negra de servicios como Google, AVG Antivirus, McAfee y Norton.
El escáner compara todas sus páginas con la base de datos de Sucuri e informa de cualquier anomalía. El informe también recomienda cómo debes manejar estas anomalías.
WP Sec Scan
Si buscas un escáner específico para WordPress, WP Sec se ajusta a lo que necesitas. En su página web, tienes una opción – enviar la URL de tu sitio web para un escaneo o registrarte en su cuenta gratuita / premium.
Una cuenta gratuita te da derecho a un escaneo semanal automático. Si gestionas varios sitios web de WordPress, puedes hacer un seguimiento de la seguridad de todos los sitios desde un único panel de control. También recibirás alertas por correo electrónico si se encuentra algún fallo o si tu instalación de WordPress debe actualizarse.
Un informe básico puede enumerar algunos fallos de seguridad, así como indicarte cómo proceder para corregirlos. También puede acceder a un registro de sus informes de escaneo para futuras referencias. WPScans mantiene una amplia base de datos de los últimos errores y amenazas de seguridad, lo que significa que las amenazas más comunes pueden ser detectadas con este escáner.
WordPress Security Scan
WordPress Security Scan también ofrece dos opciones – una versión básica gratuita y una versión avanzada premium. Realiza comprobaciones llamando a una serie de páginas a través de peticiones web regulares y analiza la fuente HTML correspondiente. Un análisis revelará fallos de seguridad evidentes en WordPress y recomendará mejoras en la configuración relacionadas con la seguridad que pueden aumentar la protección contra futuros ataques.
El análisis gratuito comprueba la versión de WordPress, la reputación del host, la geolocalización y la reputación del sitio en Google. También comprueba los enlaces externos, la lista de plugins y la indexación del directorio en los plugins. Enumera los iframes presentes y el Javascript vinculado, ambos pueden ser utilizados para entregar código malicioso. A continuación, puede investigar cualquier script que no le resulte familiar.
First Site Guide
El escáner First Site Guide funciona de forma muy parecida a otros escáneres: introduzca la URL de su sitio y pulse el botón Scan. Comprueba si la información sobre la versión de WordPress, los nombres de usuario o los intentos fallidos de inicio de sesión son detectables.
También comprueba si el archivo readme.html, el install.php y el upgrade.php son accesibles a través de HTTP y si la carpeta uploads es navegable. Pero para un escaneo realmente significativo que cubra más de 40 pruebas, aconsejan instalar Security Ninja.
Wordfence
Wordfence es un completo plugin de seguridad que escanea todo lo relacionado con WordPress en tu sitio web, incluyendo el código fuente y los archivos de imagen. Si activas la opción, también escaneará los archivos no relacionados con WordPress. Su Threat Defense Feed se actualiza constantemente y los escáneres lo utilizan para identificar software sospechoso.
Un escaneo busca más de 44.000 programas maliciosos y puertas traseras conocidas, así como URLs de phishing en todos tus comentarios, publicaciones y archivos. No sólo eso, sino que escanea los archivos del núcleo, los temas y los plugins y los compara con los archivos del repositorio de WordPress.
Virus Total Scanner
En lugar de pasar la URL de tu sitio por varios escáneres, puedes enviarla a Virus Total, una filial de Google. Hace el trabajo de agregar los resultados de un escaneo de múltiples escáneres como Avira, Comodo, Sucuri y Qettera.
La ventaja en tal método es que puede detectar los falsos positivos de los escáneres más fácilmente. Sabrá si algún recurso inofensivo está siendo clasificado erróneamente como malware cuando la URL se ejecute a través de múltiples escáneres. Esta herramienta no es específica de WordPress, y todo tipo de sitios web puede utilizar el escáner. Virus Total no es una herramienta exhaustiva de comprobación de virus, sino un agregador de resultados de escaneo de diferentes escáneres.
Los archivos y URLs enviados a Virus Total serán compartidos con empresas de seguridad para que los utilicen en la mejora de la seguridad general de la web.
Quttera
Aunque Quttera ofrece un escaneo en línea con un solo clic, también incluye un escáner específico para WordPress, que requiere que descargue su plugin en su sitio web de WordPress.
El plugin explora su sitio en busca de scripts sospechosos, medios maliciosos y amenazas ocultas y le permite saber si está en alguna lista negra. Los servidores remotos de Quttera escanean los datos. Al finalizar el escaneo, recibirá un informe de investigación detallado, en el que se recomiendan acciones correctivas. Estos informes se clasifican como limpios, potencialmente sospechosos, sospechosos y maliciosos, y están disponibles para que el público los vea.
Estos escáneres y plugins gratuitos en línea hacen un trabajo básico para revelar el malware y las vulnerabilidades. Para un análisis más exhaustivo y recomendaciones precisas para reducir las vulnerabilidades, tendrás que consultar sus planes premium. Estos planes incluyen servicios como la supervisión, la limpieza y la asistencia práctica ante las amenazas. Y, como mencioné al principio, escanear tu sitio web es sólo el primer paso en la seguridad de WordPress.