Cómo desarrollar una estrategia de seguridad del sitio web de WordPress que funcione: una lista de verificación detallada de seguridad del sitio web de WordPress
Publicado: 2024-01-12Si bien muchos propietarios de sitios web son plenamente conscientes de la importancia de seguir buenas prácticas de seguridad para proteger la información confidencial y los datos de los clientes de los piratas informáticos, la verdad es que la gran mayoría de esos propietarios de sitios web en realidad no siguen un buen plan de seguridad que funcione. .
Verá, la seguridad del sitio web va mucho más allá de simplemente establecer contraseñas seguras o habilitar la autenticación de dos factores para iniciar sesión. ¿Sabía que solo ocurren el 8% de las infracciones de WordPress ?
Los piratas informáticos y los ciberdelincuentes simplemente se están volviendo mucho más sofisticados que nunca, y el resultado de esto es que los sitios web y blogs en Internet también se están volviendo cada vez más vulnerables.
Pero la buena noticia es que cuando se trata de seguridad de sitios web, hay una gran cantidad de cosas diferentes que puedes hacer para reforzar tus defensas, detener a los piratas informáticos y reducir tus vulnerabilidades, y de eso vamos a hablar hoy. repasando una serie de pasos y estrategias que puede utilizar para aumentar considerablemente la seguridad de su sitio web.
¿Por qué es importante la seguridad del sitio web?
La seguridad del sitio web es crucial por varias razones, ya que protege tanto al propietario del sitio web como a sus usuarios. A continuación se presentan algunas razones clave por las que la seguridad del sitio web es importante:
- Proteger los datos del usuario
- Prevención de violaciones de datos
- Mantener la confianza del usuario
- Protección contra malware y virus
- Evitar las listas negras
- Garantizar la continuidad del negocio
- Cumplir con los requisitos reglamentarios
- Prevención de la desfiguración
- Mejorando el SEO
- Mitigar las pérdidas financieras.
Entonces puedes ver por qué la seguridad del sitio web de WordPress es importante.
Diez listas de verificación de seguridad de sitios web para configurar la estrategia de seguridad perfecta
A continuación se detallan algunos pasos básicos que puede seguir para desarrollar una estrategia de seguridad de sitios web que realmente funcione:
- Detener intentos de inicio de sesión por fuerza bruta
- Cuidado con la inyección SQL
- Elija una plataforma de alojamiento segura
- Utilice la última versión de complementos
- Instalar un certificado SSL
- Actualice la versión de WordPress periódicamente
- Utilice credenciales de inicio de sesión seguras de WP-Admin
- Configurar la lista segura y la lista de bloqueo para la página de administración
- Utilice temas confiables de WordPress
- Elimine los complementos y temas de WordPress no utilizados.
Veámoslos en detalles.
Detener intentos de inicio de sesión por fuerza bruta
Una de las amenazas más comunes a las que se enfrentan los propietarios de sitios web cada día es que los piratas informáticos los bombardean con intentos de inicio de sesión por fuerza bruta .
Un intento de inicio de sesión por fuerza bruta es donde los piratas informáticos utilizan software especializado para probar cada combinación de símbolos, números, caracteres y letras hasta que encuentran una combinación que les permita acceder.
Siempre que su sitio web utilice autenticación de usuario, es muy probable que algún día se convierta en el objetivo de un ataque de fuerza bruta, si aún no lo ha hecho.
Afortunadamente, existen algunos métodos a tu disposición para detener los ataques de fuerza bruta. La forma más sencilla es permitir a los usuarios sólo un número limitado de intentos de inicio de sesión dentro de un período de tiempo específico.
Sin embargo, el problema con este método es que el pirata informático puede bloquear grandes cantidades de cuentas de usuario, lo que provocará una DoS (denegación de servicio).
Un método aún mejor que puede utilizar es cerrar sesión en una dirección IP completa después de una cantidad suficiente de intentos fallidos de inicio de sesión. O, alternativamente, otro método que puede utilizar será diseñar su sitio web para dirigir al usuario a una página de error "HTTP 401" después de un número insuficiente de intentos de inicio de sesión.
Cuidado con la inyección SQL
Un ataque de inyección SQL es una técnica de piratería de inyección de código en la que un ciberdelincuente intentará insertar declaraciones SQL (lenguaje de consulta estructurado) en los campos de entrada.
La razón por la que podrán lograr esto es debido a una codificación deficiente en sus aplicaciones web que las deja vulnerables.
Por lo tanto, para detener una inyección SQL antes de que suceda, deberá utilizar consultas de base de datos escritas y parametrizadas, lo que puede realizar utilizando un lenguaje de programación como PHP o Java, entre otros.
Elija una plataforma de alojamiento segura
Uno de los factores más importantes a considerar al elegir un proveedor de alojamiento web es la seguridad.
Dicho esto, no hay sólo un factor de seguridad a considerar con un proveedor de alojamiento web, sino varios.
Como mínimo, querrás elegir un proveedor de alojamiento web que te ofrezca todas y cada una de las siguientes prácticas de seguridad, presentadas en orden alfabético:
- Cortafuegos
- Protección DDoS
- Privacidad del nombre de dominio
- Filtro de spam
- Protección contra el virus
De estos, uno de los más importantes es el firewall o un software diseñado para filtrar las solicitudes a su servidor web. Luego bloquearán ciertas solicitudes, en función de una variedad de factores, antes de que lleguen a su servidor web.
También es particularmente importante tener protección DDoS. Un ataque DDoS, o de denegación de servicio distribuido, es un ataque en el que se envían miles de solicitudes a su sitio web simultáneamente, lo que sobrecarga el sitio web y provoca que se cierre.
La protección DDoS del servidor web de su elección analizará la actividad DDoS en su sitio web para bloquear ciertas solicitudes y al mismo tiempo permitir el paso del tráfico legítimo. Dicho esto, si bien la mayoría de los proveedores de alojamiento web ofrecen firewalls, no todos ofrecen servicios de protección DDoS, así que tenga cuidado con su selección.
Utilice la última versión de complementos
Actualizar sus complementos es otra estrategia de seguridad de importancia crítica a seguir. Cuanto más tiempo pasen tus complementos sin recibir una actualización, es mucho más probable que tengan vulnerabilidades de piratería.
Esto se debe a que los desarrolladores de complementos de sitios web de buena reputación siempre están trabajando arduamente para parchear las vulnerabilidades y actualizar sus complementos para mantenerlos menos expuestos a los ataques.
Dicho esto, más de cuatro de cada cinco sitios web de WordPress ni siquiera tienen complementos actualizados, aunque actualizarlos es uno de los procedimientos de seguridad más fáciles de realizar.
Todo lo que tendrá que hacer para actualizar su complemento es ir a la pestaña 'Complementos' (si está ejecutando WordPress) en el panel y luego verificar si alguno de sus complementos está desactualizado.
Si es así, simplemente seleccione "Actualizar ahora" y estará listo. Sencillo, ¿verdad? Y, sin embargo, es sorprendente que la mayoría de los propietarios de sitios web de WordPress no lo hagan.
Instalar un certificado SSL
Por último, pero no menos importante, otro paso de seguridad importante a seguir será instalar un certificado SSL .
Un certificado SSL es simplemente un archivo de datos que vinculará una clave criptográfica a los detalles de su servidor web. Esto activa el protocolo HTTPS, que permite conexiones seguras entre su servidor y el navegador web.
Si bien los certificados SSL se utilizan comúnmente para proteger la información y los datos financieros, sigue siendo muy importante utilizarlos independientemente del tipo de sitio web que esté ejecutando.
Actualice la versión de WordPress periódicamente
Las actualizaciones periódicas de software de WordPress son cruciales para mejorar el rendimiento y fortalecer la seguridad, protegiendo eficazmente su sitio contra las amenazas cibernéticas.
Actualizar su versión de WordPress se destaca como una de las medidas más simples y efectivas para reforzar la seguridad. A pesar de esto, aproximadamente el 50% de los sitios de WordPress persisten en ejecutar versiones anteriores, lo que los deja más vulnerables a posibles amenazas.
Para verificar si su versión de WordPress está actualizada, inicie sesión en su área de administración de WordPress y navegue hasta Panel → Actualizaciones en el panel de menú izquierdo. Si indica que su versión no está actualizada, le recomendamos encarecidamente actualizarla lo antes posible.
Es esencial estar atento a las futuras fechas de lanzamiento de actualizaciones para garantizar que su sitio no ejecute versiones obsoletas de WordPress. Además, le recomendamos mantener sus temas y complementos actualizados. Los temas y complementos obsoletos pueden provocar conflictos con el software central de WordPress recientemente actualizado, lo que genera errores y una mayor susceptibilidad a las amenazas a la seguridad.
Siga estos sencillos pasos para solucionar temas y complementos obsoletos:
- Navegue a su panel de administración de WordPress y vaya a Panel → Actualizaciones.
- Desplácese hacia abajo hasta las secciones Complementos y Temas y revise la lista de temas y complementos listos para actualizaciones. Tenga en cuenta que puede actualizarlos de forma colectiva o individual.
- Haga clic en "Actualizar complementos" para asegurarse de que su sitio de WordPress permanezca seguro y funcione sin problemas con las últimas versiones de software.
Utilice credenciales de inicio de sesión seguras de WP-Admin
Con frecuencia, los usuarios cometen un error común al emplear nombres de usuario fáciles de adivinar, como "admin", "administrador" o "prueba", lo que aumenta el riesgo de que su sitio sea víctima de ataques de fuerza bruta. Además de esto, los atacantes a menudo aprovechan dichas vulnerabilidades para atacar sitios de WordPress que carecen de una protección sólida con contraseña.
Para mejorar la seguridad de su sitio, recomendamos encarecidamente adoptar una combinación única y compleja de nombre de usuario y contraseña. Como alternativa, considere seguir estos pasos para establecer una nueva cuenta de administrador de WordPress con un nombre de usuario distintivo:
- Desde su Panel de WordPress, navegue hasta Usuarios → Agregar nuevo .
- Cree un nuevo usuario y asígnele el rol de Administrador . Agregue una contraseña y presione el botón Agregar nuevo usuario una vez que haya terminado.
Configurar la lista segura y la lista de bloqueo para la página de administración
Se puede proteger su página de inicio de sesión contra el acceso no autorizado y posibles ataques de fuerza bruta implementando el bloqueo de URL. Esto implica utilizar un servicio de firewall de aplicaciones web (WAF) diseñado para WordPress, como Cloudflare o Sucuri.
Al utilizar Cloudflare, puede configurar una regla de bloqueo de zona para mejorar la seguridad de su sitio. Esta regla le permite definir URL específicas que desea bloquear, además de especificar el rango de IP permitido que puede acceder a estas URL. En consecuencia, las personas fuera del rango de IP designado no podrán acceder a las URL especificadas.
Utilice temas confiables de WordPress
Los temas de WordPress anulados son réplicas no autorizadas de los temas premium originales, a menudo comercializados a precios más bajos para atraer a los usuarios. Sin embargo, estos temas suelen conllevar una gran cantidad de problemas de seguridad.
Con frecuencia, los proveedores de temas anulados resultan ser piratas informáticos que han comprometido los temas premium originales al incorporar código malicioso, incluido malware y enlaces de spam. Además, estos temas pueden servir como posibles puertas traseras para otros exploits, lo que representa una amenaza para la seguridad de su sitio de WordPress.
Dado que los temas anulados se distribuyen ilegalmente, los usuarios no reciben ningún soporte de los desarrolladores legítimos. Esto implica que, en caso de cualquier problema con su sitio, deberá solucionarlo y protegerlo de forma independiente.
Para mitigar el riesgo de ser blanco de piratas informáticos, recomendamos encarecidamente seleccionar un tema de WordPress de su repositorio oficial o de desarrolladores acreditados. Alternativamente, considere explorar temas de terceros en mercados de temas reconocidos como ThemeForest, donde está disponible una amplia selección de temas premium, lo que garantiza calidad y seguridad.
Eliminar complementos y temas de WordPress no utilizados
Mantener complementos y temas no utilizados en el sitio puede ser perjudicial, especialmente si los complementos y temas no se han actualizado. Los complementos y temas obsoletos aumentan el riesgo de sufrir ataques cibernéticos, ya que los piratas informáticos pueden utilizarlos para acceder a su sitio.
Siga estos pasos para eliminar un complemento de WordPress no utilizado:
- Vaya a Complementos → Complementos instalados .
- Verás la lista de todos los complementos instalados. Haga clic en Eliminar debajo del nombre del complemento.
Tenga en cuenta que el botón Eliminar solo estará disponible después de desactivar el complemento.
Mientras tanto, estos son los pasos para eliminar un tema no utilizado :
- Desde su panel de administración de WordPress, vaya a Apariencia → Temas .
- Haga clic en el tema que desea eliminar.
- Aparecerá una ventana emergente que muestra los detalles del tema. Haga clic en el botón Eliminar en la esquina inferior derecha.
Puede seguir estos para crear la lista de verificación de seguridad perfecta para el sitio web de WordPress.
Bonificación: cómo utilizar la seguridad del sitio web de WordPress mediante complementos de seguridad de WordPress
WordPress tiene bastantes complementos de seguridad eficaces para ayudarle a proteger su sitio web. Estos complementos facilitarán su trabajo y podrá encargarse de tareas complejas sin ningún conocimiento técnico.
Así es como puede utilizar los complementos de WordPress:
- Habilite la autenticación de dos factores para WP-Admin : con un complemento como WordFence Security , puede habilitar la autenticación de dos factores. Agregará una segunda capa de protección a su sitio de WordPress.
- Haga una copia de seguridad de WordPress con regularidad : debido a las actualizaciones de WordPress o de complementos/temas, su sitio puede fallar o puede perder datos. Con un complemento de WordPress, puede mantener una copia de seguridad de su sitio web con regularidad.
- Limitar los intentos de inicio de sesión : WordPress permite intentos ilimitados de iniciar sesión y se abre a ataques externos. Puede utilizar un complemento como Loginizer para limitar los intentos de inicio de sesión.
- Cambie la URL de la página de inicio de sesión de WordPress : todos los sitios web de WordPress comparten la misma URL de inicio de sesión predeterminada: sudominio.com/wp-admin . Depender de esta URL de inicio de sesión predeterminada puede hacerla susceptible a intentos de piratería, ya que proporciona un objetivo predecible para los atacantes. Para mejorar la seguridad, complementos como WPS Hide Login y Change wp-admin Login ofrecen la opción de personalizar su URL de inicio de sesión.
- Monitorear la actividad del usuario : lo que hacen sus usuarios también es una parte importante de la seguridad del sitio web. Hay bastantes complementos de registro de actividad de WordPress para ayudarte con eso.
Guías para ayudarle a proteger su sitio web:
- Cómo detectar, eliminar y proteger su sitio de WordPress contra malware
- Principales complementos de seguridad de WordPress
- Cómo los complementos de seguridad y firewall de WordPress pueden proteger su sitio web
Conclusión
Si bien se podría pensar que la mayoría de los propietarios de sitios web tomarían las medidas de seguridad anteriores, la verdad es que la mayoría de ellos no lo hacen.
Si usted es uno de esos propietarios de sitios web que se salta una o más de las estrategias de seguridad de este artículo, la buena noticia es que puede tomar medidas para cambiar eso tan pronto como hoy.
Esta es una publicación invitada de Samuel Bocetta . Es un analista de ciberseguridad jubilado que actualmente informa sobre las tendencias en criptografía y ciberdelincuencia.