Foto de un soldado de juguete protegiendo un ordenador

Debido al crecimiento de popularidad de WordPress en todos los ámbitos, cada vez hay más incidentes de seguridad que afectan a los distintas empresas de hosting de webs de WordPress.

Sin ir más lejos, la empresa de hosting que recientemente se ha visto afectada por una brecha de seguridad en su entorno de alojamiento de WordPress ha sido GoDaddy. La semana pasada GoDaddy hizo público que hubo un acceso de un tercero no autorizado a su entorno de alojamiento de Managed WordPress, lo que afectó a datos de hasta 1,2 millones de clientes activos e inactivos.

Brecha de seguridad de WordPress en GoDaddy

El Director de Seguridad de la Información (CISO), Demetrius Comes, anunció el 22 de noviembre, en una presentación ante la Comisión de Valores y Bolsa (SEC), que el 17 de noviembre habían descubierto un acceso no autorizado a los servidores de Managed WordPress de GoDaddy. Determinaron que el incidente había empezado el 6 de septiembre de 2021 y había expuesto los datos de 1,2 millones de clientes activos e inactivos de Managed WordPress. Habían identificado una actividad sospechosa en el entorno de alojamiento de Managed WordPress e inmediatamente empezaron una investigación con la ayuda de una firma forense de TI y se pusieron en contacto con las autoridades legales. Con una contraseña comprometida, habían accedido a sus sistemas.

Adicionalmente a lo comentado anteriormente, el anuncio también indicaba que:

  • Hasta 1,2 millones de clientes activos e inactivos de Managed WordPress vieron expuesta su dirección de correo electrónico y su número de cliente. La exposición de las direcciones de correo electrónico supone un riesgo de ataques de phishing.
  • La contraseña original de administración de WordPress que se estableció en el momento de la provisión quedó expuesta. Si esas credenciales aún estaban en uso, restablecimos esas contraseñas.
  • En el caso de los clientes activos, se expusieron los nombres de usuario y las contraseñas de sFTP y de la base de datos. Hemos restablecido ambas contraseñas.
  • Para un subgrupo de clientes activos, se expuso la clave privada de SSL. Estamos emitiendo e instalando nuevos certificados para esos clientes.

Finalmente, Comes añadía: «Lamentamos sinceramente este incidente y la preocupación que causa a nuestros clientes. Nosotros, la dirección y los empleados de GoDaddy nos tomamos muy en serio nuestra responsabilidad de proteger los datos de nuestros clientes y nunca queremos defraudarlos. Aprenderemos de este incidente y ya estamos tomando medidas para reforzar nuestro sistema de aprovisionamiento con capas adicionales de protección».

A partir de aquí, encontrarás noticias criticando a GoDaddy, no sólo por haber tardado 5 días en haber comunicado la brecha, sino por haber tardado más de 2 meses en detectar dicho ataque, ya que parece que se realizó el 6 de septiembre. También encontrarás información adicional sobre qué acciones deberías tomar tanto a nivel técnico como a nivel legal en caso de ser un cliente afectado.

¡No quiero ni pensar el marrón que esto supone a GoDaddy y a todos aquellos clientes que se pueden haber visto afectados!

La importancia de la seguridad al seleccionar una empresa de hosting

Cuando hablamos de los requisitos clave para escoger el hosting de tu WordPress nos fijamos en todo un conjunto de factores: que sea compatible con distintas versiones de PHP, que nos ofrezca una gran cantidad de funcionalidades y herramientas para administrar de forma fácil la instalación de WordPress, que nos aseguren una buena velocidad de carga de nuestras páginas, que tenga un servicio de soporte rápido y eficaz y, por supuesto, que el coste sea razonable.

Y no nos engañemos, a menudo acabamos relegando el aspecto de la seguridad al final de nuestras prioridades. ¿Por qué? Primero, porque la seguridad es un requisito que ya se presupone en las empresas de hosting. Lo cual es absurdo ya que si algo sabemos con certeza es que ningún sistema informático es 100% seguro. Segundo, porque la seguridad es un requisito complicado de evaluar de forma rápida y sencilla. Sólo cuando ocurre un brecha de seguridad es cuando nos damos cuenta de las posibles vulnerabilidades.

La seguridad de tu web es un poco como tu salud. Si te encuentras bien, le das poca importancia. Pero el día que te falta, se te cae el mundo encima. Muchas veces, enfermar es inevitable, pero la prevención y la detección precoz pueden ahorrarte mayores disgustos. Con la seguridad ocurre lo mismo. Si tu web es hackeada, no sólo se puede hundir tu negocio, sino que también puedes acabar teniendo problemas legales por no haber tomado las medidas de seguridad pertinentes.

Si queremos intentar prevenir un brecha de seguridad, ¿qué deberíamos esperar de nuestro proveedor de hosting?

Seguridad del software

Algo que nos aburre a todos es tener que ir actualizando cada dos por tres el software que tenemos instalado en nuestros ordenadores. Pero ten claro que la mayoría de actualizaciones son precisamente para protegerlo de vulnerabilidades encontradas.

Por ese motivo, cuando alojas una web de WordPress en una empresa de hosting, asegúrate de que cumple con los requisitos de compatibilidad y con las últimas actualizaciones de software recomendados por WordPress. Sólo tienes que visitar esta web oficial de WordPress para conocerlos. En el momento de escribir esta entrada en el blog los requisitos recomendados son los siguientes:

  • PHP versión 7.4 o superior
  • MySQL versión 5.6 o superior o MariaDB versión 10.1 o superior
  • Compatibilidad con HTTPS

Descarta cualquier empresa de hosting que no te cumpla estos requisitos.

Disponibilidad y soporte SSL

El Protocolo de Transferencia de Hipertexto (HyperText Transfer Protocol o HTTP, por sus siglas en inglés), es un protocolo utilizado en sistemas de redes, diseñado con el propósito de definir y estandarizar la sintaxis y la semántica de las transacciones que se llevan a cabo entre los distintos equipos que conforman una red. Es decir, describe la manera en que un servidor web se comunica con navegadores como Google Chrome o Mozilla Firefox.

HTTPS se refiere al uso del HTTP sobre una Capa de Protección Segura (SSL, por sus siglas en inglés) o una conexión con Seguridad de la Capa de Transporte (TLS), de forma que un mensaje HTTP es cifrado antes de la transmisión y descifrado una vez se recibe. Cuando un usuario envía información hacia nuestro servidor, SSL esencialmente proporciona todo un conjunto de capas de protección:

  • cifrado: si algún atacante consigue interceptar esa información, no le servirá para nada ya que no sabrá descifrarla (pero tú, sí).
  • integridad de datos: los atacantes no podrán «modificar» el contenido del mensaje enviado.
  • autenticación: se evitan los ataques de suplantación de identidad o intermediarios («man in the middle») en el que un usuario proporciona información a terceros cuando cree que te los está dando a ti.

De esta forma, por ejemplo, te aseguras de que los datos de las compras que se realizan en tu web no puedan ser leídos y modificados por delincuentes.

Si tu sitio web utiliza SSL, la mayoría de los navegadores mostrarán la URL de la web empezando por https:// y un icono de un candado en algún lugar cerca o en la barra de direcciones para que los usuarios lo vean, proporcionando así una garantía visual de seguridad a los visitantes de tu sitio web.

Imagen de la URL de Nelio mostrada en el navegador
Imagen de la URL de Nelio mostrada en el navegador.

Cuando busques un proveedor de servicios de hosting, comprueba que den soporte de SSL y la facilidad con la que podrás implementar un certificado SSL para tu sitio web.

Copias de seguridad y restauración

Si por desgracia sufres un ataque de malware en tu WordPress, muy posiblemente acabarás necesitando restaurar una copia de seguridad antigua que esté libre de código infectado. Por este motivo, asegúrate de que tu empresa de hosting realiza copias de seguridad de forma regular y automática de tu web de WordPress. Pero no sólo eso, comprueba que dispones de herramientas para restaurar tu sitio entero o datos específicos y que en todo momento también puedes ver tu historial de restauraciones.

Asegúrate de saber:

  • Frecuencia de realización de copias de seguridad,
  • A cuántas copias de seguridad de tu sitio tienes acceso,
  • Si puedes restaurar todas ellas de forma fácil por tu cuenta o debes solicitar su restauración y pagar por dicho servicio,
  • Si puedes realizar restauraciones parciales de archivos, carpetas, cuentas de e-mail o bases de datos,
  • Si puedes acceder al historial de restauraciones.

Protección ante ataques DDoS

Un ataque distribuido de denegación de servicio (DDoS) es un tipo de ataque que intenta hacer caer el servidor web solicitando un montón de peticiones que se van multiplicando cada vez que el servidor las rechaza hasta conseguir que el servidor caiga por no poder procesarlas todas.

Ilustración de ataque DDoS
Ilustración de ataque DDoS (fuente: Anti DDoS)

Para evitar este tipo de ataques DDoS, algunos proveedores de hosting como SiteGround y Bluehost trabajan con redes de distribución de contenidos (CDN) como Cloudflare.

Las CDN operan redes globales de servidores que facilitan servir los datos más rápidamente y absorber los ataques que consumen muchos recursos, como los DDoS. Esto ayuda a los empresas de hosting a reducir la carga de sus propios servidores sin tener que invertir mucho en infraestructura adicional. Es muy recomendable que te fijes si tu empresa de hosting trabaja con CDNs.

Además asegúrate de que dispone de protocolos preparados para este tipo de ataque, como por ejemplo:

  • Hardware cortafuegos que filtre el tráfico de avalancha,
  • Software cortafuegos basado en iptables con funciones complejas y de supervisión de tráfico,
  • Que se limite el numero de conexiones que se pueden establecer en remoto,
  • Que se compruebe el número elevado de intentos de conexión fallidos de los hosts y pueda realizar filtros.

Escaneo de malware

El malware, como hemos visto en el caso de GoDaddy es un software malicioso que puede afectar a los servidores. Pueden provocar una infección leve, como es el caso de robo de ciertos datos, o llegar a borrar toda una base de datos.

Es importante saber cómo controla y revisa este tipo de software tu empresa de hosting. ¿Con qué frecuencia realizan escaneos? ¿Tiene algún sistema de aislamiento cuentas para que, en caso de infección, ésta sea contenida y no se vean afectadas las cuentas de todos y todas las clientes?

Disponibilidad y tiempo de actividad

Los tres pilares de la seguridad de la información son conocidos en inglés como la tríada CIA (Confidencialidad, Integridad y Disponibilidad o «Availability» ). La disponibilidad y el tiempo de actividad de tu web (porcentaje de tiempo que un sitio web está activo y disponible) son críticos en cualquier web.

Las empresas de hosting tienen muchas formas de garantizar esta disponiblidad. Por ejemplo, algunas emplean tecnología RAID, redundancias de hardware, de red e incluso ubicaciones espejo alternativas.

Asegúrate de tu empresa de hosting te garantiza unos mínimos de disponibilidad en el acuerdo de nivel de servicio (SLA) de sus términos y condiciones. Por ejemplo, en el caso de Siteground, te garantizan:

5.2. Garantizamos un tiempo de actividad de la red del 99,9% sobre una base anual. Si no alcanzamos el tiempo de actividad de la red garantizado, le compensaremos de la siguiente manera:

Tiempo de actividad del 99,9% – 99,00%: 1 mes de alojamiento gratuito.

Un mes adicional de alojamiento gratuito por cada 1% de tiempo de actividad perdido por debajo del 99,00%.

El SLA es un indicador más de la inversión en infraestructura realizada por tu empresa de hosting y el compromiso que adquieren contigo para garantizarte el servicio.

Conclusión

La seguridad como ya he comentado anteriormente es como la salud. Aunque nunca podrás garantizar el control absoluto de la misma, cuantos menos riesgos corras, mejor. Protegerla y cuidarla puede evitar grandes consecuencias no deseadas. Y dicha protección empieza por seleccionar una buena empresa de hosting para tu web de WordPress.

Imagen destacada de Liam Tucker en Unsplash.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *