Cómo proteger su sitio web de WordPress [La única guía que necesitará]
Publicado: 2021-08-05
Los usuarios de WordPress tienden a dedicar mucho tiempo al diseño, el contenido y la optimización de su sitio web, pero a menudo olvidan un factor esencial: la seguridad del sitio web. Si bien puede parecer un asunto aburrido para las personas que no son desarrolladores, mantener su WordPress seguro es una parte fundamental de la gestión de su negocio.
¿Por qué puedes preguntar?
Exploremos esta pregunta juntos.
Muchas personas ignoran esta información porque nunca se han ocupado de un sitio web pirateado y, por lo tanto, simplemente no pueden imaginar la molestia, el tiempo y el esfuerzo que puede causar resolverlo.
En primer lugar, si tiene un negocio en línea, o al menos administra parte de su negocio a través del sitio web, un ataque de piratas informáticos inevitablemente detendrá su proceso de trabajo. Si posee una tienda en línea, no podrá vender; si reserva citas a través de su sitio web, no podrá hacerlo.
Para las tiendas en línea de gran volumen, esto es particularmente malo: no solo no podrá vender durante un tiempo, sino que también puede perder pedidos. Las copias de seguridad del sitio web generalmente se crean una vez al día, y si lo piratean horas después de que se haya hecho, todos los pedidos realizados mientras tanto se perderán.
Si su sitio web está operativo, es posible que aún se haya producido un ataque; por ejemplo, se pueden inyectar enlaces en el código y apuntar a otros sitios web.
Si monetiza su sitio web a través de anuncios, es posible que sus anuncios se reemplacen con los anuncios de otra persona (y, por lo tanto, muestre anuncios de los que no obtendrá ningún ingreso).
Hay muchos casos en los que su sitio web puede verse comprometido, y le llevará días, si no semanas, darse cuenta. En el escenario con la inyección de enlaces de spam, esto puede afectar su SEO (ya que a Google no le gustan los enlaces de spam). Como resultado, su clasificación de Google podría verse afectada y puede llevarle mucho, mucho tiempo reparar este tipo de daño.
También está el tema de la confianza del cliente; las personas se preocupan mucho cuando escuchan que un sitio web que usan ha sido pirateado.
El uso de certificados SSL ha evitado las consecuencias más graves, como la filtración de números de tarjetas de crédito, pero aún se pueden obtener algunos datos. Los usuarios pueden asociar un ataque de piratas informáticos en su sitio web con una seguridad deficiente y decidir dejar de usar sus servicios por completo.
En general, si su sitio web es pirateado, puede repararlo, pero proteger su WordPress en primer lugar es una forma mucho más sencilla de hacerlo.
Si ya ha ocurrido un ataque, puede usar un complemento para escanear su sitio web, pero la mayoría de los complementos disponibles solo señalarán qué archivo(s) se ha(n) modificado(s) recientemente, y aún tendrá que limpiar todo manualmente.
Otra forma de intentar solucionar esto es restaurar una copia de seguridad de su sitio web. Esto, sin embargo, no es una solución 100% garantizada, especialmente si no está seguro de cuándo fue pirateado su WordPress (y, por lo tanto, qué copia de seguridad está limpia).
También puede comunicarse con una agencia especializada que ofrece eliminación de malware y asistencia técnica; actuarán relativamente rápido y limpiarán su WordPress por usted, pero tiene un costo, por supuesto.
Debe tener en cuenta que incluso si logra reparar el daño, esta situación puede volver a ocurrir (y probablemente lo hará) si no configura la protección adecuada.
Lo mejor que puede hacer aquí es actuar de forma preventiva y proteger su sitio web adoptando un enfoque detallado y completo de la protección.
Pero ¿qué significa esto?
Entonces, ¿cómo proteges tu sitio web de WordPress ? ¿Qué pasos prácticos puede tomar? ¡Nos alegra que hayas preguntado! Sigue leyendo.
La forma en que generalmente se elige el alojamiento web es a través de la recomendación de un amigo, a través de la agencia que crea el sitio web o mediante una investigación en línea.
Lo que los usuarios sin experiencia suelen buscar es el precio más bajo. Sin embargo, como ocurre con la mayoría de las cosas en la vida, el alojamiento confiable y de alta calidad costará más y también le ofrecerá más. Los buenos proveedores de alojamiento ofrecen muchas características de seguridad que podrían significar la diferencia entre tener que lidiar con un sitio web pirateado o no.
Por otro lado, los proveedores de hospedaje de bajo costo toman atajos cada vez que pueden para cubrir la diferencia y, desafortunadamente, la seguridad es un área que sufre mucho.
Permítanos darle un ejemplo de algunas de las características que ponemos a disposición de nuestros clientes. Además de las opciones clásicas, como la protección DDoS, los certificados SSL y los firewalls de aplicaciones web, tenemos algunas que mejorarán la seguridad de su sitio web.
Una de ellas es Patchman, una aplicación que puede ser de gran utilidad para los usuarios que no actualizan automáticamente su WordPress. Patchman escanea su instalación y corrige cualquier vulnerabilidad conocida en los archivos principales de WordPress y numerosos complementos populares. En lugar de actualizar automáticamente el software para solucionar la vulnerabilidad, lo que podría causar problemas de dependencia que rompieran el sitio, Patchman aplica la corrección de seguridad a la versión instalada actualmente.
Puede estar completamente seguro de que los parches aplicados se realizarán de manera segura y sin dañar su sitio web.
Si opta por un alojamiento compartido, es imperativo elegir un alojamiento seguro y de alto rendimiento. Muchas empresas también ofrecen alojamiento de WordPress, que está configurado específicamente para WordPress y su sitio normalmente funcionará mucho mejor en él.
Si tiene un sitio web de gran volumen y elige actualizar su cuenta de alojamiento, opte por el servidor dedicado totalmente administrado que garantizará un mayor nivel de seguridad, a diferencia de su contraparte más barata (no administrada).
Considerándolo todo, haga una investigación exhaustiva sobre el alojamiento web y no deje que el precio lo guíe en su elección.
La razón por la que esto sucede se debe a las vulnerabilidades descubiertas por los piratas informáticos. Si está interesado en leer más sobre el tema, le recomendamos este artículo, pero para resumir, las vulnerabilidades son "agujeros" en el código de la aplicación que está utilizando. Hay una batalla constante entre los piratas informáticos y los desarrolladores de software, donde los piratas informáticos encuentran y explotan las vulnerabilidades de seguridad, y los desarrolladores buscan parchearlas rápidamente.
Al igual que otras aplicaciones de CMS, WordPress pasa por ciclos de actualizaciones, en los que se agregan nuevas funciones y los desarrolladores trabajan para corregir las vulnerabilidades conocidas. Cada año, generalmente hay de 1 a 3 actualizaciones importantes y muchas menores, todas las cuales son críticas para la seguridad, ya que casi siempre contienen parches de seguridad.
Pero espera, si tienes algo como Patchman, ¿por qué necesitas actualizarlo?
Patchman cubre los archivos principales de WordPress y algunos de los complementos más populares, pero muchos complementos no se parchean a través de la aplicación. Esto significa que todos esos complementos, si se dejan desactualizados, se convertirán fácilmente en un punto de entrada para que los piratas informáticos hagan lo que quieran en su sitio web.
Mantener tu WordPress actualizado es bastante fácil.
En primer lugar, todas las versiones posteriores a la 5.6 (lanzadas en diciembre de 2020) tienen habilitadas las actualizaciones automáticas, lo que significa que no es necesario que haga nada. Si ese no es el caso por alguna razón (digamos que su desarrollador las deshabilitó), hay un par de formas en que puede habilitar sus actualizaciones automáticas.
Una es a través de Softaculous, la aplicación que suelen utilizar los usuarios de cPanel para instalar WordPress en sus servidores. El WordPress Manager de Softaculous te permite configurar actualizaciones automáticas; puede seleccionar actualizar automáticamente solo actualizaciones menores o también mayores.
Además, puede optar por actualizar automáticamente sus complementos y temas también. Lo mejor de todo es que se realizará una copia de seguridad antes de cualquier actualización automática en caso de que sea necesario revertirla.
Otra opción, si tiene alguna habilidad para modificar su código, es usar la configuración de actualizaciones automáticas nativas de WordPress; obtenga más información sobre esto directamente en la KB de WordPress.
Mucha gente usa el nombre de usuario "admin" ya que este aparece por defecto cuando usa una aplicación de software como Softaculous para instalar su WordPress.
No utilice el nombre de usuario predeterminado , lo que facilitará las cosas a los piratas informáticos: elija un nombre de usuario diferente, como su dirección de correo electrónico. Si se le ha entregado un usuario ya creado con este nombre de usuario, cree un nuevo administrador y elimine el existente.
Lo mismo ocurre con su contraseña; cuanto más fuerte sea, mejor. Elige una contraseña larga que incluya dígitos y caracteres especiales o, mejor aún, genera una aleatoria.
Si le preocupa olvidar su contraseña, intente idear un sistema que pueda ayudarlo a recordarla. A algunas personas les gusta usar una combinación estática de caracteres + el nombre del sitio web como diferenciador (¡Jack1990Apple!), Otros optan por contraseñas asociativas.
Por supuesto, simplemente puede guardar sus datos de inicio de sesión y no preocuparse de si los recordará o no. ¡Sin embargo, no use su navegador para almacenar sus datos de inicio de sesión! Esta es una opción bastante insegura (y comúnmente utilizada).
Si desea almacenar sus datos de inicio de sesión para no tener que escribirlos cada vez, use un administrador de contraseñas como Lastpass: tienen un plan gratuito y sus datos de inicio de sesión estarán lo más seguros posible. Con el administrador de contraseñas, debe recordar solo 1 contraseña (la maestra) y también almacenar los detalles de la tarjeta de crédito.
Los clientes en el servicio de alojamiento compartido de Kualo también están protegidos contra ataques de inicio de sesión de fuerza bruta automáticamente, con intentos de fuerza bruta limitados y bloqueados.
Esto significa que incluso si los piratas informáticos tienen sus datos de inicio de sesión exactos, no podrán iniciar sesión sin esa autenticación adicional.
Puede instalar un complemento como WP 2FA y obligar a otros usuarios de su sitio web a usarlo también (especialmente si tienen derechos de administrador o editor). Recuerda siempre descargar tus códigos de respaldo y guardarlos en un lugar seguro, en caso de que pierdas el acceso a tu teléfono.
De cualquier manera, si lo deja así, será mucho más fácil para los piratas informáticos identificar la entrada a su backend y comenzar un ataque de fuerza bruta.
Cambie la URL (slug) a su página de inicio de sesión usando un complemento como ThemeMyLogin o busque un complemento de seguridad que incluya varias características que enumeramos (2FA, límite de intentos de inicio de sesión, etc.).
También hay un excelente artículo de AprenderWP sobre cómo cambiar manualmente su URL de inicio de sesión, pero si no se siente cómodo administrando el código, es mejor no ir allí.
Por otro lado, cada complemento que instala es otra pieza de código que debe cuidarse (es decir, actualizarse). Una multitud de complementos también aumenta el riesgo de incompatibilidad, esto es cuando dos o más complementos no pueden funcionar juntos, por lo que debe evitar instalar complementos que pueda prescindir.
Algunos de los mejores complementos de seguridad combinarán varias características, como se mencionó anteriormente, reduciendo así la cantidad de complementos que tendrá que instalar para hacer todas las cosas de las que estamos hablando. Algunos grandes ejemplos son:
Si varios usuarios con derechos de administrador trabajan en su sitio web, esta es una excelente manera de mantener un registro de lo que se está haciendo.
Desde una perspectiva de seguridad, puede mostrarle diversa información que puede ser muy útil, desde intentos de inicio de sesión fallidos hasta cambios en los archivos y configuraciones del sitio de WordPress. Si eres alguien a quien le gusta realizar el mantenimiento de su propio sitio web, esta función es imprescindible.
Una excelente opción (y gratuita) es el registro de actividad de WP, un complemento que existe desde hace años y también es conocido tanto por su registro detallado como por la simplicidad de su interfaz.
Antes, se requería un SSL para los sitios web que necesitaban ser seguros para transacciones específicas como pagos. Hoy en día, sin embargo, no importa si está procesando pagos en su sitio web o no. SSL es obligatorio para cualquier sitio web que procese información confidencial como contraseñas, nombres, direcciones, etc.
La mecánica detrás de escena de esto es la siguiente: sin un SSL en su sitio web, todos los datos transferidos entre el navegador web del usuario y su servidor web se entregan en texto sin formato que los piratas informáticos pueden leer.
Una vez que instala un SSL, la información confidencial se cifra antes de transferirse entre las dos partes: el navegador web del usuario y su servidor, protegiéndola de terceros con intenciones maliciosas.
Google reconoció la importancia de un certificado SSL hace un tiempo y comenzó a mostrar en las primeras posiciones los sitios web que podían ofrecer una transferencia de información encriptada.
Además, en 2018, Google advirtió a todos los propietarios de sitios web que cada sitio que no tenga SSL activo se mostraría como "No seguro" en la URL. Esto hace que el certificado SSL sea una necesidad absoluta; la buena noticia es que es bastante fácil de obtener y, además, en algunas empresas de hosting (¡incluida Kualo!) se incluye un SSL de forma gratuita.
Muchas veces, al instalar un nuevo tema/complemento o al trabajar activamente en su sitio, algo puede fallar, por lo que, sin duda, es imprescindible contar con una copia de seguridad.
Si bien la mayoría de los proveedores de alojamiento confiables configurarán esas copias de seguridad diarias para usted, no es una mala idea aprender a hacerlas manualmente o usar un complemento de copia de seguridad como UpdraftPlus o BackupBuddy. Ambos tienen la opción de cargar las copias de seguridad de su sitio web en servicios en la nube como Amazon o exportarlas localmente.
También puede usar la función Softaculous Backup a la que se puede acceder fácilmente en su cPanel. La buena noticia es que ofrece la máxima simplicidad y no tiene costo adicional. La mala noticia es que, a diferencia de sus contrapartes, cargará las copias de seguridad en su cuenta de alojamiento, por lo que utilizará espacio en disco y también se almacenará en el mismo lugar que el sitio web. Si algo le sucediera a su cuenta (por ejemplo, eliminar archivos por accidente o una intrusión manual de un pirata informático), su copia de seguridad también podría verse comprometida.
¡Recuerde siempre crear una copia de seguridad si planea trabajar en su WordPress y no está seguro de los resultados finales!
Si está ejecutando un sitio web de comercio electrónico de alto tráfico, las copias de seguridad por hora pueden ser la mejor opción para usted. Como se mencionó anteriormente, los sitios web que generan muchos pedidos pueden sufrir pérdidas significativas en caso de que tengan que restaurar una copia de seguridad realizada varias horas antes.
Puede hacerlo agregando un fragmento de código a su archivo wp-config.php:
Puede hacerlo abriendo un editor de texto como el Bloc de notas y pegando este código:
<Archivos *.php>
Negar todo
</Archivos>
Guarde este archivo como .htaccess y cárguelo en las carpetas /wp-content/uploads/ de su sitio web mediante un cliente FTP o a través de su Administrador de archivos en cPanel.
Por ejemplo, si un pirata informático quisiera probar 1000 contraseñas diferentes en sus sitios web, tendría que hacer 1000 intentos de inicio de sesión por separado que serán detectados por su complemento de seguridad o firewall. Sin embargo, si mantiene habilitado XML-RPC, un pirata informático podría usar la función system.multicall y probar 1000 contraseñas diferentes con 30-60 solicitudes.
Es por eso que recomendamos enfáticamente deshabilitarlo, y puede hacerlo simplemente agregando un código en su archivo .htaccess:
En la línea 5, debe insertar su propia IP si esa es la única de la que desea conservar XML-RPC (de lo contrario, simplemente elimínela).
Nota: Si usted es uno de nuestros usuarios, no es necesario realizar este paso, ya que su XMLRPC estará protegido por la función de protección de fuerza bruta de LiteSpeed.
Una excelente manera de lidiar con esto es evitar que los bots abusivos obtengan acceso a su WordPress. Inserte el siguiente código en el archivo .htaccess.
Ofrezca a cualquiera de los usuarios de su sitio web la menor cantidad de acceso posible. Si tiene un escritor de contenido, por ejemplo, no es necesario que le proporcione una cuenta de administrador; un usuario de Editor funcionará bien. No comparta su cuenta a menos que sea absolutamente necesario, y si lo hace, cambie su contraseña tan pronto como quien se la haya dado ya no la necesite.
No comparta sus detalles de alojamiento también a menos que sea absolutamente necesario.
No use temas y complementos de WordPress anulados (descargados ilegalmente)
En algún momento, puede convertirse en una tentación ahorrar algo de dinero y descargar un complemento o tema sin licencia. En este caso, pagará de otra manera, muy probablemente colocando una puerta trasera en su WordPress. Los piratas informáticos a menudo ocultan enlaces de spam o códigos maliciosos dentro de los elementos sin licencia y los ofrecen para su descarga gratuita.
Evítelos a toda costa y si encarga un sitio web o una función, asegúrese de confirmar con el desarrollador que todo tiene la licencia adecuada.
¿Le resulta difícil seguir alguno de los consejos ofrecidos? ¿Nos perdimos algo importante? ¡Envíenos un ping en los comentarios, nos encantaría escuchar sus pensamientos!
O si está listo para cambiar al alojamiento de WordPress súper seguro de Kualo, consulte nuestros planes aquí.
¿Por qué puedes preguntar?
Exploremos esta pregunta juntos.
¿Por qué es importante proteger su WordPress?
Al igual que otras cosas relacionadas con la seguridad en la vida, la seguridad del sitio web es un mal necesario. Por lo general, cuando encarga a un desarrollador o una agencia que cree un sitio web para usted, aparecerá el tema de la seguridad. Los expertos saben de primera mano con qué frecuencia se piratean los sitios web, especialmente los sitios web de WordPress debido a la popularidad de la plataforma. Por lo general, le aconsejarán que proteja su sitio web de varias maneras y pueden recomendarle algunas prácticas de seguridad bien conocidas.Muchas personas ignoran esta información porque nunca se han ocupado de un sitio web pirateado y, por lo tanto, simplemente no pueden imaginar la molestia, el tiempo y el esfuerzo que puede causar resolverlo.
En primer lugar, si tiene un negocio en línea, o al menos administra parte de su negocio a través del sitio web, un ataque de piratas informáticos inevitablemente detendrá su proceso de trabajo. Si posee una tienda en línea, no podrá vender; si reserva citas a través de su sitio web, no podrá hacerlo.
Para las tiendas en línea de gran volumen, esto es particularmente malo: no solo no podrá vender durante un tiempo, sino que también puede perder pedidos. Las copias de seguridad del sitio web generalmente se crean una vez al día, y si lo piratean horas después de que se haya hecho, todos los pedidos realizados mientras tanto se perderán.
Si su sitio web está operativo, es posible que aún se haya producido un ataque; por ejemplo, se pueden inyectar enlaces en el código y apuntar a otros sitios web.
Si monetiza su sitio web a través de anuncios, es posible que sus anuncios se reemplacen con los anuncios de otra persona (y, por lo tanto, muestre anuncios de los que no obtendrá ningún ingreso).
Hay muchos casos en los que su sitio web puede verse comprometido, y le llevará días, si no semanas, darse cuenta. En el escenario con la inyección de enlaces de spam, esto puede afectar su SEO (ya que a Google no le gustan los enlaces de spam). Como resultado, su clasificación de Google podría verse afectada y puede llevarle mucho, mucho tiempo reparar este tipo de daño.
También está el tema de la confianza del cliente; las personas se preocupan mucho cuando escuchan que un sitio web que usan ha sido pirateado.
El uso de certificados SSL ha evitado las consecuencias más graves, como la filtración de números de tarjetas de crédito, pero aún se pueden obtener algunos datos. Los usuarios pueden asociar un ataque de piratas informáticos en su sitio web con una seguridad deficiente y decidir dejar de usar sus servicios por completo.
En general, si su sitio web es pirateado, puede repararlo, pero proteger su WordPress en primer lugar es una forma mucho más sencilla de hacerlo.
¿Se puede arreglar un WordPress hackeado?
Si no está familiarizado con el proceso, arreglar un sitio web de WordPress pirateado puede ser bastante complicado. Limpiar el código infectado requiere un tipo específico de conocimiento. A diferencia de muchos otros problemas técnicos, sería difícil buscar en Google una solución rápida debido a la naturaleza variable de los ataques de piratas informáticos.Si ya ha ocurrido un ataque, puede usar un complemento para escanear su sitio web, pero la mayoría de los complementos disponibles solo señalarán qué archivo(s) se ha(n) modificado(s) recientemente, y aún tendrá que limpiar todo manualmente.
Otra forma de intentar solucionar esto es restaurar una copia de seguridad de su sitio web. Esto, sin embargo, no es una solución 100% garantizada, especialmente si no está seguro de cuándo fue pirateado su WordPress (y, por lo tanto, qué copia de seguridad está limpia).
También puede comunicarse con una agencia especializada que ofrece eliminación de malware y asistencia técnica; actuarán relativamente rápido y limpiarán su WordPress por usted, pero tiene un costo, por supuesto.
Debe tener en cuenta que incluso si logra reparar el daño, esta situación puede volver a ocurrir (y probablemente lo hará) si no configura la protección adecuada.
Lo mejor que puede hacer aquí es actuar de forma preventiva y proteger su sitio web adoptando un enfoque detallado y completo de la protección.
Pero ¿qué significa esto?
Entonces, ¿cómo proteges tu sitio web de WordPress ? ¿Qué pasos prácticos puede tomar? ¡Nos alegra que hayas preguntado! Sigue leyendo.
Pasos prácticos para proteger su sitio web de WordPress
1. Elija un buen proveedor de alojamiento
Antes de centrarse en cualquier otro paso de seguridad, es fundamental elegir una base sólida para su sitio web. Trabajar con un buen proveedor de alojamiento que pueda ofrecerle múltiples capas de seguridad es la forma más sencilla de proteger su sitio web de futuros ataques cibernéticos. La elección de un proveedor de hospedaje web rara vez es algo que las personas planifiquen meticulosamente, especialmente si no han tenido negocios en línea durante años.La forma en que generalmente se elige el alojamiento web es a través de la recomendación de un amigo, a través de la agencia que crea el sitio web o mediante una investigación en línea.
Lo que los usuarios sin experiencia suelen buscar es el precio más bajo. Sin embargo, como ocurre con la mayoría de las cosas en la vida, el alojamiento confiable y de alta calidad costará más y también le ofrecerá más. Los buenos proveedores de alojamiento ofrecen muchas características de seguridad que podrían significar la diferencia entre tener que lidiar con un sitio web pirateado o no.
Por otro lado, los proveedores de hospedaje de bajo costo toman atajos cada vez que pueden para cubrir la diferencia y, desafortunadamente, la seguridad es un área que sufre mucho.
Permítanos darle un ejemplo de algunas de las características que ponemos a disposición de nuestros clientes. Además de las opciones clásicas, como la protección DDoS, los certificados SSL y los firewalls de aplicaciones web, tenemos algunas que mejorarán la seguridad de su sitio web.
Una de ellas es Patchman, una aplicación que puede ser de gran utilidad para los usuarios que no actualizan automáticamente su WordPress. Patchman escanea su instalación y corrige cualquier vulnerabilidad conocida en los archivos principales de WordPress y numerosos complementos populares. En lugar de actualizar automáticamente el software para solucionar la vulnerabilidad, lo que podría causar problemas de dependencia que rompieran el sitio, Patchman aplica la corrección de seguridad a la versión instalada actualmente.
Puede estar completamente seguro de que los parches aplicados se realizarán de manera segura y sin dañar su sitio web.
Si opta por un alojamiento compartido, es imperativo elegir un alojamiento seguro y de alto rendimiento. Muchas empresas también ofrecen alojamiento de WordPress, que está configurado específicamente para WordPress y su sitio normalmente funcionará mucho mejor en él.
Si tiene un sitio web de gran volumen y elige actualizar su cuenta de alojamiento, opte por el servidor dedicado totalmente administrado que garantizará un mayor nivel de seguridad, a diferencia de su contraparte más barata (no administrada).
Considerándolo todo, haga una investigación exhaustiva sobre el alojamiento web y no deje que el precio lo guíe en su elección.
2. Mantén tu WordPress actualizado
Este es probablemente el primer consejo que escuchará de su desarrollador web: ¡mantenga todo actualizado! Muchos propietarios de WordPress ignoran esto como regla, ya sea conscientemente o no, y se convierten en objetivos de ataques maliciosos.La razón por la que esto sucede se debe a las vulnerabilidades descubiertas por los piratas informáticos. Si está interesado en leer más sobre el tema, le recomendamos este artículo, pero para resumir, las vulnerabilidades son "agujeros" en el código de la aplicación que está utilizando. Hay una batalla constante entre los piratas informáticos y los desarrolladores de software, donde los piratas informáticos encuentran y explotan las vulnerabilidades de seguridad, y los desarrolladores buscan parchearlas rápidamente.
Al igual que otras aplicaciones de CMS, WordPress pasa por ciclos de actualizaciones, en los que se agregan nuevas funciones y los desarrolladores trabajan para corregir las vulnerabilidades conocidas. Cada año, generalmente hay de 1 a 3 actualizaciones importantes y muchas menores, todas las cuales son críticas para la seguridad, ya que casi siempre contienen parches de seguridad.
Pero espera, si tienes algo como Patchman, ¿por qué necesitas actualizarlo?
Patchman cubre los archivos principales de WordPress y algunos de los complementos más populares, pero muchos complementos no se parchean a través de la aplicación. Esto significa que todos esos complementos, si se dejan desactualizados, se convertirán fácilmente en un punto de entrada para que los piratas informáticos hagan lo que quieran en su sitio web.
Mantener tu WordPress actualizado es bastante fácil.
En primer lugar, todas las versiones posteriores a la 5.6 (lanzadas en diciembre de 2020) tienen habilitadas las actualizaciones automáticas, lo que significa que no es necesario que haga nada. Si ese no es el caso por alguna razón (digamos que su desarrollador las deshabilitó), hay un par de formas en que puede habilitar sus actualizaciones automáticas.
Una es a través de Softaculous, la aplicación que suelen utilizar los usuarios de cPanel para instalar WordPress en sus servidores. El WordPress Manager de Softaculous te permite configurar actualizaciones automáticas; puede seleccionar actualizar automáticamente solo actualizaciones menores o también mayores.
Además, puede optar por actualizar automáticamente sus complementos y temas también. Lo mejor de todo es que se realizará una copia de seguridad antes de cualquier actualización automática en caso de que sea necesario revertirla.
Otra opción, si tiene alguna habilidad para modificar su código, es usar la configuración de actualizaciones automáticas nativas de WordPress; obtenga más información sobre esto directamente en la KB de WordPress.
3. Elija un nombre de usuario y una contraseña seguros
Los intentos de piratería de WordPress más comunes incluyen el uso de datos de inicio de sesión robados. Estamos hablando del llamado ataque de fuerza bruta, un tipo de ataque cibernético eficiente y sencillo, en el que los piratas informáticos permiten que una computadora pruebe diferentes combinaciones de nombres de usuario y contraseñas hasta encontrar las correctas.Mucha gente usa el nombre de usuario "admin" ya que este aparece por defecto cuando usa una aplicación de software como Softaculous para instalar su WordPress.
No utilice el nombre de usuario predeterminado , lo que facilitará las cosas a los piratas informáticos: elija un nombre de usuario diferente, como su dirección de correo electrónico. Si se le ha entregado un usuario ya creado con este nombre de usuario, cree un nuevo administrador y elimine el existente.
Lo mismo ocurre con su contraseña; cuanto más fuerte sea, mejor. Elige una contraseña larga que incluya dígitos y caracteres especiales o, mejor aún, genera una aleatoria.
Si le preocupa olvidar su contraseña, intente idear un sistema que pueda ayudarlo a recordarla. A algunas personas les gusta usar una combinación estática de caracteres + el nombre del sitio web como diferenciador (¡Jack1990Apple!), Otros optan por contraseñas asociativas.
Por supuesto, simplemente puede guardar sus datos de inicio de sesión y no preocuparse de si los recordará o no. ¡Sin embargo, no use su navegador para almacenar sus datos de inicio de sesión! Esta es una opción bastante insegura (y comúnmente utilizada).
Si desea almacenar sus datos de inicio de sesión para no tener que escribirlos cada vez, use un administrador de contraseñas como Lastpass: tienen un plan gratuito y sus datos de inicio de sesión estarán lo más seguros posible. Con el administrador de contraseñas, debe recordar solo 1 contraseña (la maestra) y también almacenar los detalles de la tarjeta de crédito.
4. Limite los intentos de inicio de sesión
Otra forma de prevenir los ataques de fuerza bruta (una vez más, intentarán ingresar adivinando sus detalles) es simplemente limitando la cantidad de intentos de inicio de sesión. Afortunadamente, esto es algo bastante fácil de hacer; simplemente instale un complemento como Loginizer o, si está utilizando un complemento de seguridad, verifique si no ofrece esto como una función.Los clientes en el servicio de alojamiento compartido de Kualo también están protegidos contra ataques de inicio de sesión de fuerza bruta automáticamente, con intentos de fuerza bruta limitados y bloqueados.
5. Usa 2FA (autenticación de dos factores)
La autenticación de dos factores se ha convertido en algo así como un estándar de oro en los últimos años. De hecho, muchos sitios web de buena reputación obligarán a sus usuarios a implementar 2FA en su cuenta como una de las formas más confiables de protegerla. La forma en que funciona es que requerirá una autenticación adicional (generalmente a través de su teléfono) cada vez que inicie sesión desde un dispositivo que no se reconoce.Esto significa que incluso si los piratas informáticos tienen sus datos de inicio de sesión exactos, no podrán iniciar sesión sin esa autenticación adicional.
Puede instalar un complemento como WP 2FA y obligar a otros usuarios de su sitio web a usarlo también (especialmente si tienen derechos de administrador o editor). Recuerda siempre descargar tus códigos de respaldo y guardarlos en un lugar seguro, en caso de que pierdas el acceso a tu teléfono.
6. Cambia la URL de tu página de inicio de sesión
Al igual que el nombre de usuario "admin", otro detalle notorio de WordPress cuando se trata de acceso de inicio de sesión es su página de inicio de sesión. El predeterminado es "www.yourwebsite.com/wp-login.php" o "www.yourwebsite.com/wp-admin"De cualquier manera, si lo deja así, será mucho más fácil para los piratas informáticos identificar la entrada a su backend y comenzar un ataque de fuerza bruta.
Cambie la URL (slug) a su página de inicio de sesión usando un complemento como ThemeMyLogin o busque un complemento de seguridad que incluya varias características que enumeramos (2FA, límite de intentos de inicio de sesión, etc.).
También hay un excelente artículo de AprenderWP sobre cómo cambiar manualmente su URL de inicio de sesión, pero si no se siente cómodo administrando el código, es mejor no ir allí.
7. Instale un complemento de seguridad
Al momento de escribir este artículo, hay más de 50 millones de complementos disponibles, tanto gratuitos como de pago. Sería una pena no aprovechar la gran base de complementos que pueden proteger su instalación de ataques maliciosos.Por otro lado, cada complemento que instala es otra pieza de código que debe cuidarse (es decir, actualizarse). Una multitud de complementos también aumenta el riesgo de incompatibilidad, esto es cuando dos o más complementos no pueden funcionar juntos, por lo que debe evitar instalar complementos que pueda prescindir.
Algunos de los mejores complementos de seguridad combinarán varias características, como se mencionó anteriormente, reduciendo así la cantidad de complementos que tendrá que instalar para hacer todas las cosas de las que estamos hablando. Algunos grandes ejemplos son:
- Seguridad de Wordfence: otra opción frecuente repleta de funciones. Ideal para usuarios con múltiples sitios web a través de su Wordfence central, el complemento verifica WordPress en busca de varios riesgos de seguridad, como código malicioso, inyecciones de spam e incluso URL incorrectas.
- WP Cerber Security: un excelente complemento que presenta una poderosa combinación de opciones, muchas de las cuales se recomiendan en este artículo. De hecho, este es probablemente uno de los complementos con la lista más completa de funciones de seguridad.
- All in One WP Security: este complemento es muy popular entre los usuarios con menos experiencia técnica, y tampoco hay una versión paga, por lo que no hay restricciones de ningún tipo. Requerirá más configuración manual, pero su simplicidad asegura una curva de aprendizaje relativamente plana.
8. Instale un complemento de registro de actividad
Este es un buen consejo que puede ser útil en muchas ocasiones. El complemento de registro de actividad registrará y mostrará registros de cualquier actividad realizada por diferentes usuarios en su sitio web. Piense en ello como una especie de cámara de CCTV, vigilando todo lo que sucede en su sitio web (¡en formato de texto, por supuesto!)Si varios usuarios con derechos de administrador trabajan en su sitio web, esta es una excelente manera de mantener un registro de lo que se está haciendo.
Desde una perspectiva de seguridad, puede mostrarle diversa información que puede ser muy útil, desde intentos de inicio de sesión fallidos hasta cambios en los archivos y configuraciones del sitio de WordPress. Si eres alguien a quien le gusta realizar el mantenimiento de su propio sitio web, esta función es imprescindible.
Una excelente opción (y gratuita) es el registro de actividad de WP, un complemento que existe desde hace años y también es conocido tanto por su registro detallado como por la simplicidad de su interfaz.
9. Instalar un Certificado SSL
Esto debería ser evidente, pero incluyamos esta recomendación para estar seguros.Antes, se requería un SSL para los sitios web que necesitaban ser seguros para transacciones específicas como pagos. Hoy en día, sin embargo, no importa si está procesando pagos en su sitio web o no. SSL es obligatorio para cualquier sitio web que procese información confidencial como contraseñas, nombres, direcciones, etc.
La mecánica detrás de escena de esto es la siguiente: sin un SSL en su sitio web, todos los datos transferidos entre el navegador web del usuario y su servidor web se entregan en texto sin formato que los piratas informáticos pueden leer.
Una vez que instala un SSL, la información confidencial se cifra antes de transferirse entre las dos partes: el navegador web del usuario y su servidor, protegiéndola de terceros con intenciones maliciosas.
Google reconoció la importancia de un certificado SSL hace un tiempo y comenzó a mostrar en las primeras posiciones los sitios web que podían ofrecer una transferencia de información encriptada.
Además, en 2018, Google advirtió a todos los propietarios de sitios web que cada sitio que no tenga SSL activo se mostraría como "No seguro" en la URL. Esto hace que el certificado SSL sea una necesidad absoluta; la buena noticia es que es bastante fácil de obtener y, además, en algunas empresas de hosting (¡incluida Kualo!) se incluye un SSL de forma gratuita.
10. Configurar copias de seguridad
Si bien es posible que las copias de seguridad no funcionen al 100% si necesita solucionar un problema de WordPress, son su primera línea de defensa. Una copia de seguridad del sitio web puede ser útil no solo cuando hay un ataque de piratas informáticos, sino también cuando hay problemas técnicos.Muchas veces, al instalar un nuevo tema/complemento o al trabajar activamente en su sitio, algo puede fallar, por lo que, sin duda, es imprescindible contar con una copia de seguridad.
Si bien la mayoría de los proveedores de alojamiento confiables configurarán esas copias de seguridad diarias para usted, no es una mala idea aprender a hacerlas manualmente o usar un complemento de copia de seguridad como UpdraftPlus o BackupBuddy. Ambos tienen la opción de cargar las copias de seguridad de su sitio web en servicios en la nube como Amazon o exportarlas localmente.
También puede usar la función Softaculous Backup a la que se puede acceder fácilmente en su cPanel. La buena noticia es que ofrece la máxima simplicidad y no tiene costo adicional. La mala noticia es que, a diferencia de sus contrapartes, cargará las copias de seguridad en su cuenta de alojamiento, por lo que utilizará espacio en disco y también se almacenará en el mismo lugar que el sitio web. Si algo le sucediera a su cuenta (por ejemplo, eliminar archivos por accidente o una intrusión manual de un pirata informático), su copia de seguridad también podría verse comprometida.
¡Recuerde siempre crear una copia de seguridad si planea trabajar en su WordPress y no está seguro de los resultados finales!
Si está ejecutando un sitio web de comercio electrónico de alto tráfico, las copias de seguridad por hora pueden ser la mejor opción para usted. Como se mencionó anteriormente, los sitios web que generan muchos pedidos pueden sufrir pérdidas significativas en caso de que tengan que restaurar una copia de seguridad realizada varias horas antes.
Más pasos prácticos para proteger su sitio web de WordPress [Avanzado]
Los consejos que encontrarás en esta sección requieren un conocimiento un poco más avanzado en el manejo de tu WordPress y confianza para escribir directamente en su código. Si no se siente cómodo con estos pasos, es recomendable consultar a un desarrollador de WordPress que pueda ayudarlo a ejecutarlos.11. Deshabilitar la edición de archivos
WordPress viene con un editor de código incorporado, que le permite editar su tema y archivos de complementos desde su panel de administración. Si la persona equivocada obtiene acceso a su panel de administración, eso podría ser un gran riesgo de seguridad. Es por eso que recomendamos deshabilitar esta función.Puede hacerlo agregando un fragmento de código a su archivo wp-config.php:
1 // Disallow file edit
2 define( 'DISALLOW_FILE_EDIT', true );12. Deshabilite la ejecución de archivos PHP para directorios específicos de WordPress
Agregue otra capa de protección al deshabilitar la ejecución de archivos PHP en directorios donde no es necesario. La razón por la que desea hacer eso es porque los piratas informáticos a menudo usan la función para cargar archivos de acceso de puerta trasera o malware a su sitio de WordPress. Este es un paso peligroso si no sabe lo que está haciendo, ya que su sitio puede dejar de funcionar, ¡así que tenga cuidado! El directorio que está buscando es /wp-content/uploads/Puede hacerlo abriendo un editor de texto como el Bloc de notas y pegando este código:
<Archivos *.php>
Negar todo
</Archivos>
Guarde este archivo como .htaccess y cárguelo en las carpetas /wp-content/uploads/ de su sitio web mediante un cliente FTP o a través de su Administrador de archivos en cPanel.
13. Deshabilitar XML-RPC
Una vez que se usó XML-RPC para conectar su sitio de WordPress con aplicaciones web y móviles, pero desde que WordPress lanzó su propia API REST, XML-RPC se convirtió en una responsabilidad en lugar de una característica útil.Por ejemplo, si un pirata informático quisiera probar 1000 contraseñas diferentes en sus sitios web, tendría que hacer 1000 intentos de inicio de sesión por separado que serán detectados por su complemento de seguridad o firewall. Sin embargo, si mantiene habilitado XML-RPC, un pirata informático podría usar la función system.multicall y probar 1000 contraseñas diferentes con 30-60 solicitudes.
Es por eso que recomendamos enfáticamente deshabilitarlo, y puede hacerlo simplemente agregando un código en su archivo .htaccess:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>En la línea 5, debe insertar su propia IP si esa es la única de la que desea conservar XML-RPC (de lo contrario, simplemente elimínela).
Nota: Si usted es uno de nuestros usuarios, no es necesario realizar este paso, ya que su XMLRPC estará protegido por la función de protección de fuerza bruta de LiteSpeed.
14. Restrinja el acceso de los bots
Si bien algunos bots siempre rastrearán su sitio web, los bots malos pueden crear molestias molestas. Podrían ralentizar su flujo de trabajo y/o interrumpir la funcionalidad de su sitio de WordPress, causando así una pérdida de usuarios.Una excelente manera de lidiar con esto es evitar que los bots abusivos obtengan acceso a su WordPress. Inserte el siguiente código en el archivo .htaccess.
SetEnvIfNoCase User-Agent ^$ keep_out
SetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out
SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out
SetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out
Order Allow,Deny
Allow from all
Deny from env=keep_outConsejos no técnicos para mantener tu WordPress seguro
Utilice el principio de privilegio mínimo (POLP)Ofrezca a cualquiera de los usuarios de su sitio web la menor cantidad de acceso posible. Si tiene un escritor de contenido, por ejemplo, no es necesario que le proporcione una cuenta de administrador; un usuario de Editor funcionará bien. No comparta su cuenta a menos que sea absolutamente necesario, y si lo hace, cambie su contraseña tan pronto como quien se la haya dado ya no la necesite.
No comparta sus detalles de alojamiento también a menos que sea absolutamente necesario.
No use temas y complementos de WordPress anulados (descargados ilegalmente)
En algún momento, puede convertirse en una tentación ahorrar algo de dinero y descargar un complemento o tema sin licencia. En este caso, pagará de otra manera, muy probablemente colocando una puerta trasera en su WordPress. Los piratas informáticos a menudo ocultan enlaces de spam o códigos maliciosos dentro de los elementos sin licencia y los ofrecen para su descarga gratuita.
Evítelos a toda costa y si encarga un sitio web o una función, asegúrese de confirmar con el desarrollador que todo tiene la licencia adecuada.
Pensamientos finales
Considere el tiempo (y los fondos) que dedicará a proteger su WordPress como otra inversión comercial crítica. Arreglar un sitio web pirateado le costará considerablemente más; en el caso más desafortunado, incluso podría costarle su negocio. Seguir esta guía no garantizará una protección del 100% contra ataques maliciosos, pero disminuirá significativamente las posibilidades de que eso suceda.¿Le resulta difícil seguir alguno de los consejos ofrecidos? ¿Nos perdimos algo importante? ¡Envíenos un ping en los comentarios, nos encantaría escuchar sus pensamientos!
O si está listo para cambiar al alojamiento de WordPress súper seguro de Kualo, consulte nuestros planes aquí.