Phishing en WordPress: cómo evitar que te roben el acceso con Unfiltered HTML
Compartir artículo
WordPress es una de las plataformas más utilizadas para la creación de sitios web y blogs, pero su gran popularidad también lo convierte en un blanco atractivo para los ciberdelincuentes.
Entre las técnicas de ataque más comunes se encuentra el phishing a través de la funcionalidad “Unfiltered HTML“. Este tipo de ataquepermite a los ciberdelincuentes inyectar código malicioso en páginas web, comprometiendo la seguridad de los usuarios y administradores. Los atacantes pueden engañar a las víctimas para que ingresen sus credenciales en una página falsa, obteniendo acceso completo a su perfil de WordPress.
En este artículo, te explicaremoscómo funciona este tipo de ciberataque, cómo puedes protegerte, y cómo Latch, la plataforma de control de autorizaciones de TU, puede ayudarte a reforzar la seguridad de tu sitio web.
¿Qué es el phishing con Unfiltered HTML?
El “Unfiltered HTML” es una funcionalidad en WordPress que permite a los usuarios con ciertos privilegios insertar código HTML sin restricciones. Si bien esta opción es útil para administradores y desarrolladores, también representa un gran riesgo si es explotada por ciberdelincuentes.
Los atacantes pueden aprovechar esta vulnerabilidad para inyectar código malicioso en publicaciones o páginas, lo que les permite manipular el contenido sin que los usuarios lo noten.
También pueden crear formularios de inicio de sesión falsos diseñados para robar credenciales, redirigir a las víctimas a sitios de phishing e incluso insertar scripts ocultos que registran las teclas pulsadas, conocidos como keyloggers. Debido a que las páginas afectadas pueden parecer completamente legítimas, este tipo de ataque suele pasar desapercibido, aumentando el riesgo para los usuarios.
Consejos sobre cómo proteger tu sitio web en WordPress ante ciberataques como el phishing
Para evitar que los atacantes exploten la funcionalidad de “Unfiltered HTML”, te dejamos unos consejos sobre cómo proteger tu sitio web en WordPress de manera efectiva, asegurando la integridad de tu sitio y protegiendo a tus usuarios de posibles ataques:
- Restringe el uso de “Unfiltered HTML”: si no es estrictamente necesario, desactiva esta funcionalidad para reducir los riesgos. Puedes hacerlo limitando los permisos de los usuarios y utilizando plugins de seguridad que bloqueen código HTML no autorizado.
- Usa plugins de seguridad: existen diversas herramientas diseñadas para proteger tu WordPress contra ataques como por ejemplo Wordfence Security o IThemes Security. Estos plugins pueden detectar y bloquear intentos de inyección de código malicioso.
- Implementa autenticación de doble factor (2FA): el uso de una segunda capa de autenticación dificulta que los atacantes accedan a tu WordPress incluso si obtienen tus credenciales. Y aquí es donde Latch se convierte en un aliado clave.
Cómo TU Latch refuerza la seguridad de tu sitio web en WordPress
Latch es una plataforma de control de autorizaciones desarrollada por TU, la marca de innovación y tecnología de Telefónica Innovación Digital. Esta herramienta proporciona una capa adicional de seguridad para proteger los servicios digitales de empresas y usuarios contra diversas amenazas, integrándose fácilmente en entornos como WordPress.
Al configurar Latch, los usuarios obtienen el control total sobre quién puede acceder a su sitio. Incluso si un ciberdelincuente logra obtener las credenciales, no podrá entrar sin la autorización explícita del usuario, lo que añade una capa crucial de protección contra ataques de phishing y otros intentos de intrusión.
La flexibilidad de Latch permite su integración en múltiples sectores, desde fintech hasta educación, e-commerce, salud o servicios legales. Su diseño intuitivo facilita su uso, lo que lo convierte en una solución ideal para organizaciones que buscan proteger sus sistemas críticos sin complicaciones técnicas adicionales.
La implementación de Latch en WordPress no solo refuerza la seguridad, sino que también proporciona a los usuarios una forma sencilla de gestionar sus accesos y autorizaciones. Esto es especialmente valioso en un entorno donde la seguridad es primordial para prevenir ataques comunes en plataformas de gestión de contenidos.
Además, Latch permite aplicar un enfoque de Defensa en Profundidad con su herramienta WordPress in Paranoid Mode, que añade varias capas de protección:
- A nivel de usuario: implementa autenticación en dos factores (2FA) mediante el plugin de Latch para WordPress, reforzando el proceso de inicio de sesión.
- A nivel de conexión SSH: protege el acceso al servidor Linux donde está alojado WordPress mediante la integración de Latch en la conexión SSH.
- En las tablas de WordPress: refuerza la integridad de la base de datos configurando triggers en operaciones SQL clave como insert, update y delete.
- WordPress protegido con Latch: garantiza la protección de la identidad del usuario, el acceso administrativo y la seguridad de la información mediante su modo paranoico.
Descubre cómo Latch puede reforzar la seguridad de tus cuentas como WordPress con nuestro Plan Profesional disponible para empresas y desarrolladores, pruébalo ahora de forma gratuita.
Graduada en Marketing y una especialización en herramientas digitales. Disfruto muchísimo de la música en directo y de la incertidumbre ante nuevas experiencias y etapas. A día de hoy, trabajo en el departamento de Product Marketing de CDO Telefónica.
