The Grumpy Designer se enfrenta al malware de WordPress

Publicado: 2022-10-12

Si bien algunas profesiones se desvanecen con el tiempo, siempre habrá una necesidad de diseñadores web. ¿Por qué? Porque con cada año que pasa, el trabajo se vuelve más complejo. Llegan nuevas responsabilidades que van más allá del alcance de las herramientas automatizadas y sin código.

La seguridad del sitio web es un buen ejemplo. Siempre ha sido una preocupación, incluso cuando comencé en este camino a mediados de la década de 1990. En ese entonces, la principal preocupación era una contraseña FTP pirateada o un ex colega enojado que desfiguraba o borraba archivos. En estos días, es mucho más. Algo así como un molesto insecto que se ha transformado en un enorme monstruo marino.

Y ese monstruo ha envuelto completamente sus tentáculos alrededor de este diseñador gruñón. El trabajo se ha convertido en un círculo vicioso de infección, limpieza y reinfección de malware. Luego repita.

El objetivo principal de la malevolencia del monstruo es WordPress. Eso no debería ser una sorpresa, ya que el sistema de administración de contenido (CMS) está constantemente bajo ataque. Viene con el territorio de impulsar más del 40% de la web.

Lamentablemente, sé que no soy el único que enfrenta este tipo de debacle. Con eso, quería compartir algunas diatribas, pensamientos y sugerencias para volver a poner a ese monstruo en su lugar.

Ser cuidadoso no es suficiente

La fría realidad de la seguridad del sitio web es que no hay garantías. Prácticamente todos los sitios pueden verse comprometidos por malware. Le sucede incluso a los más cuidadosos entre nosotros.

Como se aplica a WordPress, tener cuidado significa tener en cuenta algunos conceptos básicos:

  • Verificar el tema y los complementos que instalamos;
  • Aplicar actualizaciones de forma rutinaria;
  • Usar contraseñas seguras y complejas;
  • Alojar el sitio en un servicio que se toma en serio la seguridad;
  • Asegurarse de que los permisos de los archivos estén en línea con las recomendaciones de WordPress;
  • Agregar capas adicionales de defensa, como complementos de seguridad y firewalls;

Si bien hay más que eso, las acciones anteriores proporcionan una base sólida. La idea es proteger contra los tipos de ataques más básicos. Con suerte, también disuadirá algunos intentos más complejos.

El aspecto frustrante de este enfoque es que usted es tan fuerte como el eslabón más débil de su seguridad. Incluso los complementos de buena reputación pueden contener agujeros de seguridad. Y hay una multitud de vectores que un atacante puede usar para causar problemas, incluidos algunos sobre los que no tenemos control directo.

Por lo tanto, tener cuidado no es suficiente para protegerse de todos los ataques.

Un enfoque cauteloso de la seguridad de WordPress es excelente, pero no hay garantías.

Limpiar un hack es una pérdida de recursos

A pesar de tomar medidas para evitar problemas de seguridad, aún ocurren ataques. Y cuando lo hacen, limpiar las secuelas puede ser una tarea ardua.

El proceso implica identificar cualquier archivo malicioso, incluidos los archivos principales legítimos de WordPress que podrían haber sido modificados. Los escáneres de seguridad como los que se encuentran en el complemento de Wordfence pueden ayudar a identificar archivos, pero hay advertencias.

Si la cuenta de administrador de un sitio se ha visto comprometida, o si un atacante usó un agujero de seguridad para obtener acceso al panel de control de WordPress, todas las apuestas están canceladas. Tendrían la capacidad de desactivar un complemento de seguridad. A partir de ahí, podrían causar todo tipo de estragos sin ser detectados.

Además, determinar cómo el malware llegó a su sitio rara vez es sencillo. No puedo contar la cantidad de veces que pensé que había encontrado al culpable, solo para demostrar que estaba equivocado después de infecciones posteriores. A menudo se necesita revisar archivos y estudiar blogs de seguridad para obtener una respuesta. Sin embargo, algunos problemas pueden seguir siendo un misterio.

Esto no solo es estresante para todos los involucrados, sino que también dificulta su capacidad para trabajar en otros proyectos. Una brecha de seguridad es un tipo de situación de manos a la obra. Si eres un trabajador independiente, tus manos están inevitablemente atadas con la reparación de un sitio pirateado.

La remediación de malware le quita un tiempo precioso a otras tareas.

¿Qué más pueden hacer los diseñadores web?

Como mencioné anteriormente, hay mucho dentro de nuestro control. Los diseñadores web pueden tomar decisiones informadas, pero nuestros proyectos aún pueden ser víctimas del malware. En cierto modo, parece una situación desesperada.

Sin embargo, las amenazas a la seguridad no van a desaparecer. En todo caso, seguirán creciendo exponencialmente. Eso significa que tenemos que seguir intentándolo.

Aquí hay algunas estrategias que podrían ayudar:

Conviértete en un minimalista de complementos

Si bien nunca es una buena idea mantener instalados complementos de WordPress innecesarios, también puede ser peligroso. Por eso vale la pena quitar todo lo que no necesites.

En algunos casos, puede valer la pena crear un complemento personalizado barebones cuando sea posible. Los bots maliciosos intentan detectar vulnerabilidades conocidas dentro del núcleo de WordPress y complementos específicos. Esta puede ser una forma de reducir el riesgo sin dejar de mantener la funcionalidad.

Independientemente, también es una buena idea mantenerse al día con lo que sucede con los complementos que instala. Asegúrese de que se actualicen regularmente y trate de evitar los que ya no se mantienen.

Pida a los clientes que inviertan en seguridad

La seguridad puede convertirse en una parte importante del trabajo de un diseñador web. Se requiere mucho trabajo para fortalecer un sitio web y mitigar cualquier problema que surja. Pero nuestros precios no siempre reflejan esa realidad.

Por lo tanto, tiene sentido pedir a los clientes que inviertan en esta área. Al recomendar herramientas y servicios relacionados con la seguridad, está agregando capas adicionales de protección de manera proactiva. Y al incluir controles de seguridad regulares en sus paquetes de mantenimiento, estará atento a lo que sucede.

Otro beneficio de esta estrategia es que está creando conciencia sobre la seguridad. Cuando los clientes comprendan mejor el tema, será más probable que tomen medidas preventivas.

Haga un plan para la limpieza

Es seguro decir que ninguno de nosotros quiere lidiar con un sitio pirateado. Hacemos todo lo posible para tratar de evitar que suceda. Y... sucede de todos modos.

Como tal, es mejor prepararse para este escenario en lugar de enterrar la cabeza en la arena. Desarrolle un proceso que lo ayude a limpiar eficientemente un sitio comprometido.

Puede que no siempre funcione la primera (o segunda) vez. Pero cada fracaso es una buena experiencia de aprendizaje. Eventualmente, perfeccionará el proceso y aumentará sus probabilidades de éxito.

Obtenga ayuda profesional

Administrar la seguridad del sitio web es complicado y frustrante, lo suficiente como para ponernos a cualquiera en terapia. Ese tipo de ayuda profesional siempre es bienvenida. Pero no es del tipo del que estoy hablando aquí.

Más bien, estoy hablando de trabajar con profesionales de la seguridad. Por ejemplo, servicios que ayudan a bloquear los sitios web de sus clientes y eliminar cualquier infección.

Hay un costo involucrado, uno que puede transferir a sus clientes. Y puede salvar su cordura a largo plazo.

Hay pasos adicionales que los diseñadores web pueden tomar para aumentar la seguridad de WordPress.

El caos del malware es la nueva normalidad

En cierto modo, proteger un sitio web es como un juego del gato y el ratón. Por cada hueco que cierras, aparece otro. Los actores maliciosos evolucionan constantemente sus métodos para penetrar en WordPress y otras plataformas. Y ninguno de nosotros es inmune.

Esto hace que nuestro trabajo sea más difícil y lento. Y también encarece el mantenimiento del sitio web para nuestros clientes.

Ciertamente, esto no es lo que imaginé cuando comencé como diseñador web. Es poco probable que muchos de nosotros nos hayamos metido en esta industria porque disfrutamos limpiando malware. Pero nos guste o no, esta es la nueva normalidad. Y somos la última línea de defensa contra este proverbial monstruo marino. No podemos darnos el lujo de caer sin luchar.