En nuestro últimos posts hemos estado hablando sobre WordPress y los métodos para mejorar su seguridad. En esta oportunidad, siguiendo con el tema de la seguridad, veremos algunos método para encontrar vulnerabilidades en WordPress.
Vulnerabilidades en WordPress: ¿cómo saber si mi sitio es vulnerable?
Para poder detectarlo, primero que nada debemos verificar que hemos tomado todas las acciones mencionadas en nuestros posts anteriores: aumentar la seguridad al máximo, chequear plugins, tener todo actualizado a las últimas versiones y utilizar prácticas para prevenir malware.
Si no hemos cumplido con alguna de ellas, entonces sabemos que contamos con vulnerabilidades en WordPress. Ahora bien, si ya hemos completado todos los pasos para mejorar nuestra seguridad, ya estamos en condiciones de chequear si estamos fallando en alguno de ellos.
Ya he securizado mi web, ¿cómo sé si aún sigue vulnerable?
Bien, ahora que tenemos nuestra web securizada, procederemos a llevar a cabo varios escaneos que detectarán si hemos fallado en alguno de los puntos antes recomendados. Para ello tenemos varias opciones, aunque es recomendable realizar todos los chequeos que podamos, ya que cada uno nos va a aportar algo distinto, y algunos pueden encontrar cosas que quizás otros no.
Web Online
Una forma muy fácil de chequear vulnerabilidades en WordPress es utilizando webs online específicas para ello. Esto es realmente sencillo pues solo basta con ingresar la URL y dejar que la web haga su trabajo.
Igualmente, en algunos casos algunas de ellas puede que te pidan verificación del dominio. Para poder verificar vía web si tienes vulnerabilidades en WordPress puedes usar: detectify.com, sucuri.net, quttera.com o virustotal.com, entre otras. Realmente hay muchas de ellas, pero estas son de las más usadas.
Plugins
Otro método es buscar vulnerabilidades a través de plugins de WordPress, de hecho en algunos casos son totalmente recomendados, ya que algunos de ellos corren constantemente y encuentran las vulnerabilidades al instante, así como también Malware, código malicioso, etc.
Tales plugins pueden ser Plugin Vulnerabilities, WordFence, Sucuri Security y Plugin Security Scanner.
Otras alternativas
Una alternativa que es bastante efectiva es instalar WPScan, herramienta que nos permite detectar muchos aspectos en los que nuestra web puede encontrarse vulnerable. Simplemente debemos instalarla y ejecutarla en nuestra PC y chequear con ella nuestro sitio.
Para chequear nuestro sitio debemos correr este comando:
ruby wpscan.rb –url dominio.com
WPScan nos irá dando una lista de vulnerabilidades conocidas, que puede incluir plugins, themes, archivos, usuarios, etc.
Como podemos ver hay muchas formas de detectar si tenemos vulnerabilidades en WordPress, desde verificaciones online y con plugins hasta usando herramientas de escritorio. También debemos tener en cuenta que hay opciones que son más sencillas y rápidas, e incluso con los plugins por ejemplo podemos detectarlas inmediatamente y recibir las alertas vía mail.