Seguridad de WordPress: cómo proteger su sitio de los piratas informáticos

Ya sea que esté lanzando un sitio comercial, una tienda en línea o un blog de pasatiempos, WordPress ofrece flexibilidad, facilidad de uso y funcionalidad avanzada que lo ayudarán a que sea un éxito rotundo.

Pero antes de que esté listo para comenzar, dedique unos minutos a pensar en la seguridad. Proteja su sitio tanto como sea posible para mantenerlo a salvo de piratas informáticos y trabajando para los fanáticos y clientes en todo momento.

¿Por qué es importante la seguridad de WordPress?

Su sitio web les dice a sus visitantes quién es usted, qué tipo de contenido y servicios ofrece y qué pueden esperar de su marca. Es un lugar para causar una excelente primera impresión y generar confianza y lealtad entre los fanáticos existentes.

Por eso es tan importante asegurarse de que su sitio web esté en funcionamiento en todo momento. Si de repente incluye enlaces a malware, comienza a ejecutarse muy lentamente después de un ataque o se desconecta por completo, afectará su reputación.

Si su sitio es pirateado, podría perder dinero debido a la disminución de las vistas, las ventas o las impresiones de anuncios. Puede haber costos involucrados en restaurarlo a un buen estado de funcionamiento. También puede perder clasificaciones en los motores de búsqueda, a veces de forma permanente. Por lo tanto, para ahorrar dinero (¡y salvar las apariencias!), asegúrese de que su sitio web esté bloqueado y seguro.

¿Cómo se piratean los sitios web de WordPress?

Google publicó recientemente una lista de las principales formas en que los piratas informáticos acceden a los sitios web. Veamos algunos de ellos en detalle:

Contraseñas comprometidas

Los ataques de fuerza bruta son una de las formas más comunes en que los piratas informáticos se cuelan en un sitio. Usan bots para probar diferentes nombres de usuario y contraseñas, miles de combinaciones por segundo, hasta que encuentran la correcta.

Complementos y temas inseguros

Las vulnerabilidades que se encuentran en los complementos y los temas son una forma relativamente fácil de que ingresen los malos. Los desarrolladores de temas de alta calidad lanzan parches para esas vulnerabilidades en actualizaciones periódicas, pero no todos los usuarios de WordPress actualizan su sitio con frecuencia. Y las versiones gratuitas anuladas de complementos y temas premium a menudo tienen puertas traseras integradas en su código: puntos de acceso para que los piratas informáticos inicien sesión de forma remota en su sitio y hagan lo que quieran.

Políticas de seguridad débiles

Las malas prácticas de seguridad, como dar acceso al sitio a personas que no lo necesitan o permitir contraseñas inseguras, facilitan que las personas ingresen a su sitio web.

¿Por qué alguien hackearía un sitio web?

1. Quieren robar dinero . Es posible que deseen recopilar información de la tarjeta de crédito del cliente o dirigir a los visitantes a sitios web maliciosos diseñados para estafar a la gente.
2. Quieren capturar información. Pueden vender datos personales a terceros o retener información como rehén a cambio de dinero.
3. Quieren derribar su sitio . Esto generalmente tiene un motivo personal y rara vez es una amenaza para el propietario del sitio web común.
4. Quieren destrozar su sitio. Una vez más, esto suele ser personal. El pirata informático podría desfigurar el sitio web de alguien con quien no está de acuerdo para hacer una declaración.
5. Quieren atacar a otra persona . Los atacantes pueden usar su sitio web para propagar malware o ransomware a través de Internet o usar su servidor web para atacar maliciosamente a otra persona.
6. Quieren aprender. Los hackers tienen que practicar de alguna manera, ¿verdad? Pueden usar su sitio web como un campo de entrenamiento para objetivos más grandes y lucrativos en el futuro.

Cómo proteger su sitio de WordPress de los piratas informáticos

1. Elige un anfitrión de calidad

Su empresa de alojamiento es su socio de seguridad y es importante elegir una con buena reputación. Obtienes lo que pagas, y muchos hosts de descuento no implementan prácticas de seguridad sólidas.

Pero, ¿cómo saber cuál elegir? Aquí hay algunas indicaciones de un proveedor de alojamiento seguro:

• Copias de seguridad regulares, incluidas con su plan o por una tarifa adicional.
• Certificados SSL, que protegen los datos de los visitantes de su sitio.
• Soporte 24/7, en caso de que su sitio sea pirateado.
• Un firewall incorporado, que protege los archivos y la base de datos en su servidor.
• Escaneos de seguridad que lo alertarán sobre códigos y actividades sospechosas en su sitio.
• Una buena reputación. Las reseñas y las recomendaciones suelen ser la mejor manera de determinar la calidad de un anfitrión.

Y recuerde, una empresa con buenos conocimientos y sólida seguridad bien vale cualquier costo adicional. Aquí hay una lista de hosts de WordPress recomendados para comenzar.

2. Mantenga el software actualizado

La forma número uno de mantener su sitio web seguro es actualizar regularmente su software: WordPress, temas y complementos. Los nuevos lanzamientos a menudo corrigen las vulnerabilidades de seguridad, por lo que cuanto antes actualice, mejor.

También puede minimizar los riesgos de seguridad de WordPress eligiendo complementos confiables que sean estables y satisfagan más de una necesidad a la vez. Por ejemplo, Jetpack Security ofrece un conjunto completo de herramientas de seguridad de WordPress integradas en el único complemento de Jetpack. Por lo tanto, también puede beneficiarse de la funcionalidad adicional sin instalar docenas de complementos y aumentar el riesgo de un ataque en su sitio.

3. Cree nombres de usuario y contraseñas seguros

Mantenga a los piratas informáticos adivinando eligiendo un nombre de usuario único y una contraseña segura. Utilice al menos 20 caracteres, una letra mayúscula, una letra minúscula, un número y un símbolo.

Si está creando un sitio con usuarios adicionales, asegúrese de establecer los permisos correctos para cada uno. Es posible que no desee que su nuevo interno tenga acceso a los archivos principales u otros datos importantes, por ejemplo. Aquí hay un excelente artículo sobre los permisos de usuario para WooCommerce, pero gran parte se aplica a cualquier tipo de sitio.

Y si crea una cuenta para un tercero, como un desarrollador, una agencia de marketing o una persona de apoyo, asegúrese de eliminar el acceso una vez que hayan completado su trabajo.

4. Configure copias de seguridad fuera del sitio

Las copias de seguridad son fundamentales para proteger su contenido, trabajo duro y datos de clientes o visitantes. No importa cuál sea el problema con su sitio, tener una copia de seguridad completa a mano significa que puede volver a funcionar rápidamente.

Pero es importante elegir el tipo correcto de copias de seguridad. Por ejemplo, asegúrese de que sus copias de seguridad se almacenen fuera del sitio, en la nube en lugar de en su servidor. Esto significa que, incluso si pierde el acceso a su sitio o si su servidor se ve comprometido, aún puede restaurar una versión limpia.

Ahí es donde brilla Jetpack Backup. No solo almacenan todas las copias de seguridad en los mismos servidores seguros que utilizan para su propio sitio, sino que también mantienen múltiples copias de seguridad cifradas para una capa adicional de protección.

Además, puedes elegir entre dos opciones: en tiempo real y diaria.

Las copias de seguridad en tiempo real son la mejor opción para tiendas en línea, foros de miembros o sitios web que se actualizan periódicamente. Jetpack guarda una copia de tu sitio cada vez que algo cambia: se realiza una venta, se actualiza una página o se agrega un comentario. Esto significa que no perderá una sola venta o información, pase lo que pase.

Las copias de seguridad diarias son una buena opción para los sitios estáticos que no se actualizan con frecuencia. Jetpack guarda sus archivos y base de datos una vez al día en lugar de cuando se realizan cambios.

¿La mejor parte? Es muy fácil de configurar: no hay necesidad de una configuración complicada del servidor. Solo siga unos sencillos pasos y comuníquese con el inigualable equipo de atención al cliente de Jetpack si necesita ayuda.

Puede usar el mejor complemento de copia de seguridad de WordPress como una herramienta independiente o como parte de la suite de seguridad completa.

5. Agregue protección contra ataques de fuerza bruta

Los ataques de fuerza bruta ocurren cuando los piratas informáticos usan bots para adivinar miles de combinaciones de nombre de usuario/contraseña por segundo hasta que finalmente obtienen acceso a su sitio. Estos ataques no solo ponen en riesgo la información de su sitio, sino que también pueden ralentizar las cosas al sobrecargar su servidor.

Si bien la información de inicio de sesión segura definitivamente ayudará, la mejor prevención es una herramienta que los detenga en seco. La función gratuita de protección contra ataques de fuerza bruta de Jetpack bloquea las direcciones IP sospechosas incluso antes de que lleguen a su sitio.

La configuración no podría ser más fácil: todo lo que tiene que hacer es activar la función y puede ver la cantidad de ataques bloqueados directamente desde su tablero. Pista: ¡el promedio es 5,193!

6. Escanea en busca de malware

Si un pirata informático logra ingresar, querrá saberlo de inmediato para poder solucionar el problema. Después de todo, cuanto más tiempo esté inactivo o inseguro su sitio, mayor será el daño a su reputación y datos.

Pero Jetpack Scan busca automáticamente en su sitio malware, malos actores y actividad sospechosa, y lo alerta de inmediato si encuentra algo. Incluso puede arreglar la mayoría de los hacks conocidos con solo un clic, ahorrándole tiempo y dinero.

Y no tendrá que perder tiempo descifrando un lenguaje técnico complicado: el panel de Jetpack Scan explica todo en términos sencillos y lo guía a través de cada paso que debe dar. Puede configurarlo y olvidarlo, descansando tranquilo sabiendo que su sitio web está monitoreado las 24 horas del día, los 7 días de la semana.

Obtenga más información sobre nuestra herramienta de escaneo de malware de WordPress.

7. Implemente el monitoreo del tiempo de inactividad

Ya sea como resultado de un ataque malicioso o de un simple error, si su sitio web deja de funcionar, debe tomar medidas de inmediato. ¡Pero no tiene tiempo para recargar su sitio todo el día para asegurarse de que funciona!

La herramienta de monitoreo del tiempo de inactividad de WordPress de Jetpack vigila tu sitio las 24 horas del día, los 7 días de la semana y te notifica si deja de responder. Luego puede usar el registro de actividad para determinar exactamente qué salió mal y cuándo, para que pueda responder adecuadamente y volver a funcionar en minutos, no en horas o días.

8. Eliminar complementos y temas no utilizados

Cuantos más temas y complementos haya instalado en su sitio, más oportunidades habrá para que un pirata informático los aproveche. Si bien los complementos son una excelente manera de agregar funcionalidad adicional, haga un poco de limpieza y elimine los que ya no usa.

Y, además de un tema predeterminado al que puede recurrir para solucionar errores del sitio, no es necesario almacenar temas adicionales.

Bonificación: ¡eliminarlos también puede mejorar la velocidad de su sitio!

9. Active la autenticación de dos factores para administradores

La autenticación de dos factores es una forma extremadamente efectiva de proteger su página de inicio de sesión porque requiere que un pirata informático tenga tanto su contraseña como un elemento físico, una combinación poco probable. Cuando un administrador inicia sesión en su sitio, tendrá que ingresar un código de un solo uso que se envía a su teléfono.

Jetpack ofrece esta función de forma gratuita, por lo que es una manera fácil de ir un paso más allá de las contraseñas seguras. ¿Tienes varios usuarios? Requiere fácilmente autenticación de dos factores para todos ellos.

10. Configure un cortafuegos de WordPress

Un cortafuegos de WordPress supervisa todo el tráfico que llega a su sitio y actúa como una barrera contra los piratas informáticos. Si bien un buen plan de alojamiento incluye un firewall que protege su servidor, también querrá instalar uno específico para WordPress.

Un buen complemento de firewall tiene una base de datos de información sobre los malos actores (direcciones IP sospechosas, bots maliciosos y tráfico que parece "apagado") y los bloquea antes de que puedan atacar su sitio web. Puede ver algunas de las opciones más populares en el repositorio de complementos de WordPress.

11. Vigile la actividad de su sitio

Cuando tiene un registro de todo lo que sucede en su sitio web, puede revisarlo fácilmente e identificar cualquier cosa sospechosa. Y si su sitio es pirateado, también puede identificar la hora en que ocurrió, saber qué acciones se tomaron y averiguar qué cuentas se comprometieron mucho más fácilmente.

El registro de actividad de Jetpack para WordPress realiza un seguimiento de todos los cambios importantes que ocurren, desde intentos de inicio de sesión y páginas publicadas hasta complementos eliminados, temas actualizados y configuraciones modificadas. Para cada evento, puede ver una marca de tiempo, el usuario que realizó el cambio y una descripción de lo que hizo. Luego puede usar esta información para solucionar problemas o restaurar una copia de seguridad inmediatamente antes de que ocurriera un problema.

¿Qué sucede si mi sitio de WordPress no es seguro?

La mayoría de los atacantes no se dirigen específicamente a usted, solo buscan el sitio al que es más fácil acceder. Por lo tanto, si su sitio de WordPress no está debidamente protegido, es más probable que sea víctima de un hackeo. En última instancia, esto podría conducir a:

• Una reputación dañada . Si su sitio tiene advertencias de seguridad, se cae o redirige a un sitio web sospechoso, no se verá bien para los visitantes del sitio. Pueden perder la confianza en su blog o negocio, perdiendo ventas o ingresos publicitarios.
• Datos de clientes robados . Si un pirata informático accede a su tienda de comercio electrónico, puede recopilar información personal que puede usar o vender a terceros.
• Archivos del sitio web dañados . ¡Podría perder parte o la totalidad de su sitio web, potencialmente años de arduo trabajo!
• Eliminación de los resultados de búsqueda . Si su sitio es pirateado, Google puede bloquearlo y eliminarlo por completo de los resultados de búsqueda.
• Tráfico del sitio perdido . Entre clasificaciones más bajas (o inexistentes) en los motores de búsqueda y personas que no querrán visitar un sitio con una advertencia de seguridad, el tráfico de su sitio puede disminuir significativamente.
• Reducción de los ingresos publicitarios . Las redes publicitarias no quieren que los anuncios de sus clientes se publiquen en sitios inseguros. Por lo tanto, si su sitio es pirateado, podría eliminarse de las redes publicitarias y podría ser prohibido por completo, reduciendo o eliminando sus ingresos por anuncios. Incluso si no se elimina, la reducción del tráfico afectará negativamente a los clics en los anuncios.

¿Cómo sé si mi sitio de WordPress ha sido pirateado?

A veces puede ser difícil saber si su sitio web ha sido pirateado o si está experimentando algún otro tipo de problema. Sin embargo, aquí hay algunas indicaciones de un sitio pirateado:

• Su sitio web tiene una advertencia de seguridad cuando carga su URL.
• Su complemento de seguridad informa un problema.
• Su anfitrión le envía un correo electrónico sobre un problema.
• Su sitio web redirige a otro lugar por completo y usted no ha realizado esa redirección.
• Ves líneas extrañas de código en las páginas de tu sitio.
• Su sitio está completamente inactivo, aunque esto también podría deberse a otras causas.
• Los anuncios en su sitio redirigen a sitios web sospechosos.
• Su sitio carga repentinamente muy lentamente o está actuando de manera extraña en otras formas.

¿Qué hago si mi sitio de WordPress es pirateado?

Si su sitio de WordPress es pirateado, hay algunos pasos que puede seguir para solucionar el problema y recuperar sus archivos y base de datos:

1. Determina qué pasó. Si está utilizando Jetpack, eche un vistazo al registro de actividad para ver quién inició sesión, cuándo y qué cambió. Esto puede ayudarlo a identificar cuentas comprometidas y descubrir qué archivos están afectados.
2. Ejecute un escaneo de malware. Use una herramienta como Jetpack Scan para buscar en los archivos de su sitio web malware u otras indicaciones de un ataque. Si usa la herramienta de escaneo de malware de Jetpack para WordPress, también puede solucionar la mayoría de los problemas con un solo clic.
3. Restaurar una copia de seguridad. Si realiza copias de seguridad regulares de su sitio web, restaure una desde antes de que ocurriera el ataque. Si está utilizando Jetpack Backup, sus archivos se almacenan por separado de su servidor, por lo que no deberían verse comprometidos.
4. Restablezca todas las contraseñas y elimine los usuarios sospechosos . Restablezca todas las contraseñas de su sitio de WordPress y proveedor de alojamiento. Si ve alguna cuenta de usuario sospechosa que no haya creado, elimínela.
5. Contrata a un experto en seguridad de sitios web. Si no puede eliminar el malware por su cuenta o simplemente desea asegurarse de que su sitio sea seguro, considere contratar a un experto en seguridad de un servicio como Codeable.
6. Actualice sus complementos, temas y la versión de WordPress. Esto ayudará a proteger las vulnerabilidades que el pirata informático podría haber aprovechado.
7. Vuelva a enviar su sitio a Google. Si su sitio fue incluido en la lista de bloqueo, use Google Search Console para solicitar una revisión y eliminarlo de la lista.

Para obtener más detalles, lea nuestra guía que cubre qué hacer si su sitio de WordPress es pirateado.

Listo para lanzar

Poner el trabajo en la seguridad adecuada de WordPress desde el principio prepara su sitio para el éxito y lo ayuda a funcionar de manera segura y eficiente en los años venideros. Recuerde, prevenir los hackeos del sitio es mucho más fácil que arreglarlos después de que ocurran.

Con el paquete Jetpack Security, puede marcar la mayoría de los elementos de esta lista en solo unos minutos, sin necesidad de un desarrollador ni de una configuración complicada.

Comience con el mejor complemento de seguridad de WordPress.