Tabla de Contenidos
Es muy fácil para los maleantes de Internet encontrar una forma de perjudicar un sitio de WordPress. Con un simple truco debajo de la manga, estos pueden intentar perjudicar casi el 30% de todos los sitios web. Esa es la desventaja de que WordPress sea el CMS más popular. Como dueños de nuestros sitios virtuales, necesitamos tener un enfoque proactivo y hacer una revisión y actualización de las medidas de seguridad de nuestro sitio web, para estar seguros ante ataques de hackers. Una forma importante y fácil de implementar en tu lista de control es escanear tu sitio de WordPress contra vulnerabilidades.
¿Por qué deberias de escanear wordpress contra vulnerabilidades?
- Tu sitio de WordPress podría ser el repositorio de información confidencial enviada por tus usuarios. Ellos confían en que mantendrás su información fuera de las manos de criminales.
- Otros pueden subir vínculos de retroceso, enlaces de redirección, anuncios o banners de sitios que quieren promover dentro de tu sitio, sin permiso.
- Hay usuarios con acceso no autorizado a tu sitio que podrían están consumiendo mucho de tu bandwith, sin que tú te des cuenta de esto.
- Siempre y cuando no detectes esto, hay malware que puede estar acechando tu sitio web y recolectando tu información.
- Podrían estar enviando correos no deseados a tus otros usuarios infectándolos en el proceso. Esto ocasiona que Google y otros servicios de seguridad como AVG o Norton cataloguen tu sitio dentro de la lista negra. Y todo esto puede estar sucediendo sin que te des cuenta.
- Escanear frecuentemente tu sitio podría ayudarte a encontrar amenazas de seguridad y prevenir que tu sitio sea hackeado.
Herramientas gratuitas para escanear WordPress
Realizar un escaneo básico para encontrar posibles vulnerabilidades en tu sitio de WordPress no es una tarea difícil ni cara. Existen varios escáneres remotos y plugins gratuitos que escanean tu sitio para encontrar software malicioso.
La diferencia importante entre ambos es que los escáneres remotos solo ven la reproducción final de tu sitio web, así como se ve en tu explorador. Estos visitan tu sitio casi de igual forma que un robot de motor de búsqueda. No se adentra dentro del servidor, por lo que cualquier elemento dañino dentro de tu servidor se mantendrá desapercibido.
Por el otro lado, cuando instalas un plugin, este tiene acceso al ambiente de alojamiento web (hosting) y realiza un escaneo más profundo.
Escaneres Remotos
Los escáneres remotos son herramientas que te permiten realizar un escaneo preliminar y encontrar fallos de seguridad. Son un control rápido para tu inspección de seguridad. La mayoría de los escáneres funcionan de la misma manera, simplemente tienes que insertar la URL de tu sitio. Después, la web como se muestra en el explorador será escaneada en unos momentos y un reporte será generado. Muchas vulnerabilidades son mostradas en este reporte. Algunas herramientas también sugieren medidas correctoras que puedes realizar.
Algunos escáneres remotos están específicamente diseñados para escanear sitios de WordPress, mientras que otros incluyen esta función dentro de una lista de funciones.
WPSCANS
Si estás buscando un escáner específico para WordPress, WPScans es la opción. En tu sitio, ingresa la URL de la web para hacer un escaneo, o te puedes registrar para una cuenta gratis o Premium.
La cuenta gratuita te da derecho a un escaneo semanal. Si manejas múltiples sitios de WordPress, puedes mantener el control de la seguridad de cada uno dentro de un único tablero. También recibirás alertas por correo electrónico si se encuentra algún bug o si una hay una actualización disponible para WordPress.
Un reporte básico recoge en una lista con algunas fallas de seguridad (si las hubiera), además de decirte cómo puedes solucionar el problema. También es posible revisar registros de escaneos anteriores para tener una referencia. WPScans cuenta con una gran base de datos con los bugs y amenazas de seguridad más recientes, los que significa que las amenazas más comunes podrán ser descubiertas con este escáner.
WORDPRESS SECURITY SCAN
WordPress Security Scan también ofrece dos opciones: la versión básica que es gratuita y una versión Premium con funcionalidades avanzadas. Lleva a cabo un control, llamando a un número de páginas por medio de solicitudes regulares y analiza la fuente HTML correspondiente. Un escaneo revelará fallas de seguridad obvias de WordPress, así como recomendarte mejoras de seguridad en la configuración que podrán prevenir ataques en el futuro.
El escáner gratuito revisa la versión de WordPress, la reputación del host, geolocalización y la reputación del sitio dentro de Google. También revisa ligas externas, lista de plugins y un directorio de indexación de los plugins. Recoge en una lista los iframes que se encuentran presentes y los archivos JavaScript vinculados, los cuales son comúnmente utilizados para suministrar código maligno. Así podrás revisar cualquier fuente que no te parezca familiar.
GRAVITYSCAN
Un nuevo participante en esta área es Gravityscan, del mismo equipo detrás de Wordfence Security. El reciente escáner de programas maliciosos y de vulnerabilidades hace un escaneo exhaustivo a cualquier tipo de sitio, incluyendo WordPress. Este programa lleva a cabo un escaneo extensivo del sitio para encontrar problemas de seguridad y vulnerabilidades. No solamente revisa el estado dentro de la lista negra, sino que también examina las ligas dentro de tu sitio para verificar que no estés vinculando a sitios dentro de la lista negra.
Ofrecen un Acelerador opcional que realiza un escaneo profundo de tu servidor al mismo tiempo que acelera el tiempo del escaneo. Este Acelerador en un archivo en PHP que utiliza un código público de encriptado mientras se comunica con el servidor de Gravityscan. Por 10$ dólares mensuales puedes actualizar al plan Premium.
WP LOOP
WP Loop trabaja de manera muy similar a los otros escáneres, ingresas la URL de tu sitio y presionas el botón de “Escanear”. Detecta información de la versión de WordPress, nombres de usuario o intentos fracasados de inicio de sesión.
También revisa si los archivos readme.html, install.php y upgrade.php son accesibles mediante http y si la carpeta uploads es navegable. Pero para tener un escaneo más significativo realiza más de 40 pruebas. Ellos te sugieren instalar el plugin Security Ninja.
SUCURI SITECHECK
Sucuri es un nombre muy conocido en seguridad de sitios web. Este compila reportes de vulnerabilidad regulares y fáciles de comprender. El «SiteCheck» realizará un escaneo de todos los sitios, incluyendo WordPress, donde revelará malware conocido, software anticuado y errores del sitio web. También te dará a conocer tu estatus en la lista negra de sitios ofrecidos por Google, AVG Antivitus, McAfee y Norton.
Este escáner compara todas tus páginas con la base de datos de Sucuri y reporta cualquier anomalía. El reporte también te recomienda como deberías de solucionar estas anomalías.
VIRUS TOTAL
En lugar de tener que ingresar la URL de tu sitio WordPress en varios escáneres, lo puedes hacer desde Virus Total, el cuál es dependiente de Google. Acumula los resultados del escaneo desde múltiples sitios como Avira, Comodo, Sucuri y Quettera.
La ventaja de este método es que puedes detectar falsas alarmas más fácilmente. Sabrás si algún recurso inofensivo está siendo erróneamente clasificado como malware cuando corres tu URL por varios escáneres. Esta herramienta no es específica para WordPress, y cualquier tipo de sitio puede utilizar este escáner. Virus Total no es una herramienta comprensiva de pruebas contra virus, si no que es una acumulación de escaneo desde diferentes escáneres.
Los archivos y URL ingresados en Virus Total serán compartidos con compañías de seguridad para mejorar la seguridad general de la web.
Plugins para Escanear WordPress
Como le he mencionado antes, para tener un escaneo más profundo de tu sitio necesitarás la ayuda de un plugin. La mayoría de los plugins de seguridad, como Wordfence, Sucuri o Exploit Scanner, incluyen escaneo de malware dentro de sus funcionalidades.
QUTTERA
Además de ofrecer un escaneo rápido en línea, también ofrece un escáner específico para WordPress, el cuál requiere de una descarga del plugin a tu sitio web de WordPress. Este plugin rastrea todo tu sitio para encontrar código sospechoso, multimedia maligna y amenazas ocultas. Después te permite conocer si estás listado dentro de las listas negras.
Los servidores remotos de Quttera escanean los datos. Al terminar el escaneo, recibirás un reporte detallado de la investigación, el cuál también contendrá recomendaciones a tomar. Estos reportes se clasifican como Limpio, Potencialmente Sospechoso, Sospechoso y Maligno.
WORDFENCE
Wordfence es un plugin completo que escanea cualquier cosa relacionada con WordPress en tu sitio, incluyendo el código fuente y archivos multimedia. También hay una función que escaneará archivos que no tienen relación con WordPress. Su Fuente de amenazas es siempre actualizada, la cuál es utilizada para ubicar software sospechoso.
El escaneo busca más de 44.000 malware conocidos y backdoor. Así como URL de phishing en todos tus comentarios, publicaciones y archivos. Y no solo eso, también escanea los archivos fuente, los temas y los plugins, para luego compararlos con los archivos dentro del repositorio de WordPress.
Conclusión
Estos escáneres en línea y plugins hacen un trabajo básico de descubrir malware y vulnerabilidades. Para un análisis más exhaustivo y recomendaciones a detalle para reducir vulnerabilidades, necesitarás considerar sus planes Premium. Estos planes te ofrecen servicios como monitoreo, limpieza y soporte técnico cuando te enfrentas a una amenaza.
Para terminar, como te he mencionado al inicio, escanear tu sitio es solo el primer paso en la seguridad de WordPress. ¿Utilizas alguna de estas herramientas o plugins para la seguridad de tu sitio web con WordPress? Espero tus comentarios a continuación …
CubeNode dice
Genial este post, Pedro. Me ha sido súper útil y quería pasarme a agradecértelo. ¡Gracias y un abrazo!
Juan dice
Gracias por esta buena dosis de escáneres …. Hay alguno que no ve va … seria bueno actualizar el post.
Hola Juan. El post es de hace dos meses. Mas actualizado imposible. Saludos!
Un listado muy interesante, yo estoy buscando alguno para detectar código de los que mina bitcoin. ¿Conoces alguno?.
Gracias.
Cualquier código extraño que entra en tu sitio web de WordPress lo pueden detectar estas herramientas. Saludos!