Esconder la Versión de WordPress: ¿Sirve de Algo?

¿Ocultar el número de versión de WordPress realmente mejora la seguridad de su sitio web?

Uno de los consejos más comunes para mejorar la seguridad de su sitio web de WordPress es ocultar la versión de WordPress que está ejecutando.

También es una característica muy común en los muchos complementos de seguridad de WordPress disponibles ¿Pero realmente ayuda? ¿O es solo un truco?

La respuesta es no, no ayuda. Ocultar la versión de su WordPress no protegerá su sitio de ataques maliciosos automatizados.

En este artículo te digo con más detalle por qué no funciona.

Los hacks más populares de WordPress

Las dos formas más comunes y exitosas que los hackers maliciosos usaron y siguen haciendo para hackear sitios web de WordPress son:

  • Explotar una vulnerabilidad conocida en una versión anterior de WordPress, plugin o tema
  • Adivinar una contraseña de administrador de WordPress (u otra cuenta) para iniciar sesión en WordPress

Ataques a WordPress, Plugins y Temas

Explotar una vulnerabilidad conocida de WordPress, plugin o tema
Hasta la fecha, se han informado miles de vulnerabilidades conocidas en versiones anteriores de WordPress core, plugins y temas.

Para explotar estas vulnerabilidades conocidas, los hackers maliciosos usan herramientas automatizadas para escanear grandes cantidades de sitios web.

Estas herramientas automatizadas no comprueban qué versión de WordPress está utilizando el sitio web de destino. Ni siquiera verifican si un objetivo se está ejecutando en WordPress. Simplemente envían la solicitud maliciosa, y si el sitio web objetivo responde con una respuesta específica, significa que es vulnerable. Los sitios web vulnerables se marcan y atacan en una etapa posterior.

Sin embargo, ocultar la versión de WordPress en este caso no ayuda en absoluto.

Las mejores formas de proteger sus sitios web de este tipo de ataques son:

  • Ejecute siempre la última versión de WordPress, complementos y tema
  • Elimine los complementos, temas y otros archivos no utilizados / deshabilitados que contengan fragmentos de código
  • Antes de instalar un complemento o tema, realice una verificación de antecedentes adecuada para asegurarse de que no sea vulnerable.

Ataques de Fuerza Bruta

Los otros ataques populares empleados contra los sitios web de WordPress es la fuerza bruta y los ataques de diccionario.

Durante estos ataques automatizados, las herramientas utilizadas por los piratas informáticos maliciosos escanean un gran número de sitios web para:

  • Identificar la página de inicio de sesión
  • Intentar iniciar sesión utilizando un enfoque de fuerza bruta utilizando credenciales de uso común, como administrador y contraseña.

Al igual que con el ataque anterior, las herramientas no comprueban ni se dirigen específicamente a sitios web de WordPress.

Las herramientas simplemente escanean una lista de objetivos. Si un sitio web objetivo responde con una respuesta esperada, significa que está alojado en WordPress y será atacado. Una vez que se adivinan las credenciales, el sitio web se marca para un ataque posterior.

Para proteger sus sitios de WordPress contra la fuerza bruta y otros ataques similares:

  • No use nombres de usuario predeterminados y use contraseñas seguras.
  • Considere también implementar políticas para hacer cumplir la seguridad de contraseña segura y agregar autenticación de dos factores.

¿Por qué muchos Recomiendan Ocultar la Versión de WordPress?

La idea de ocultar la versión del software que está ejecutando se originó en la industria de seguridad de aplicaciones web.

En algunos casos, las organizaciones no pueden usar la última versión del servidor web u otro software disponible debido a incompatibilidades.

Por lo tanto, la mayoría de las veces, emplean un enfoque de seguridad por oscuridad. Ocultan la versión del servidor web y otro software que están utilizando.