Seguridad de WordPress: lo que necesita saber (¡y cómo mantenerse seguro!)
Publicado: 2023-04-07Aquí están los últimos hechos de seguridad de WordPress que necesita saber, así como consejos sobre cómo mantener su sitio seguro y protegido.
Como uno de los sistemas de administración de contenido más populares, WordPress recibe mucha atención. Desafortunadamente, esta atención no siempre es positiva.
La verdad es que los usuarios de WordPress suelen ser los más vulnerables a los ataques cibernéticos, y las estadísticas de seguridad a veces pueden dar miedo. Pero mantenerse informado y al tanto de la seguridad de su sitio es la forma número uno de mantener su sitio web y sus usuarios a salvo.
Entonces, en el blog de hoy, estamos hablando de todo lo relacionado con la seguridad.
Le brindaremos todos los datos que necesita saber sobre la seguridad de WordPress en 2022, así como sugerencias, consejos y sugerencias útiles sobre cómo mantenerse seguro.
Oferta de abril de 2023: solo por tiempo limitado :
Obtenga las herramientas de seguridad esenciales de WordPress por 20% de descuento! ¡No te lo pierdas!
Estadísticas de seguridad de WordPress 2022
Lo primero es lo primero, echemos un vistazo a algunos de los últimos hechos de seguridad en línea.
Según las estadísticas recopiladas por Web Tribunal:
- Hay un ataque de piratas informáticos en línea cada 39 segundos.
- Cada día se crean 300.000 nuevos programas maliciosos.
- Se prevé que el costo de las filtraciones de datos en 2022 alcance los 150 millones de dólares.
Estas cifras generales de seguridad resaltan lo importante que es proteger su tienda en línea. Pero esto se vuelve aún más evidente cuando nos enfocamos en WordPress.
Echemos un vistazo a los hechos y cifras recopilados por WP Clipboard.
- Debido a su popularidad y uso generalizado, WordPress es un objetivo común para los piratas informáticos. Hay cerca de 90.000 ataques por minuto.
- El 8% de los sitios de WordPress son pirateados debido a contraseñas débiles.
- Los sitios web de WordPress son particularmente vulnerables cuando no se actualizan con la suficiente regularidad. El 61% de los sitios web atacados están desactualizados.
- El 52% de las vulnerabilidades de WordPress son causadas por complementos desactualizados. El 37% son causados por archivos principales de WP y otro 11% por temas.
- Más de 4000 sitios web de WordPress están infectados con falsos complementos de SEO.
Entonces, si amas WordPress como a nosotros, ¿cómo puedes mitigar estos riesgos?
Combatir los riesgos de seguridad de WordPress
Es fácil caer en la mentalidad de pensar que su sitio nunca podría ser pirateado. Pero no hay otra manera: la seguridad de WordPress debe tomarse en serio.
Como usuario de WordPress, es importante darse cuenta de que su sitio web puede ser vulnerable a violaciones de seguridad y abordar estos problemas antes de que lo ataquen. Como dicen, más vale prevenir que curar.
Cómo abordar las vulnerabilidades de WordPress
Asegurar su sitio de WordPress tiene que ver con la reducción de riesgos. Si invierte en medidas de seguridad que dificultan el acceso de los piratas informáticos a su sitio, se reducirá la posibilidad de que su sitio sea pirateado.
A continuación hay algunos consejos para aumentar la seguridad de WordPress. Esta información ayudará a aquellos que acaban de iniciar su sitio y necesitan implementar medidas de seguridad, así como a aquellos cuya seguridad del sitio necesita ajustes.
1. Elija la empresa de alojamiento adecuada
Una forma sencilla de aumentar la seguridad de su sitio es consultar a su proveedor de alojamiento.
Elija una empresa de alojamiento de WordPress que admita las últimas versiones de PHP y MySQL y que esté optimizada para ejecutar WordPress.
La empresa debe brindar apoyo en el caso de un problema de seguridad. También deben proporcionar aislamiento de cuenta para que los problemas con una cuenta en el servidor no puedan causar problemas en su sitio.
También es útil elegir una empresa de alojamiento que analice en busca de malware y tenga copias de seguridad internas diarias.
La conclusión es que si desea un sitio seguro, es importante elegir un host que se preocupe por la seguridad.
2. Actualice el núcleo y los complementos de WordPress
Otra forma de reducir las vulnerabilidades en su sitio es asegurarse de que está utilizando la versión más actualizada de WordPress. Cada nueva versión de WordPress aborda los problemas de seguridad presentes en la versión anterior.
Según los expertos en seguridad de WordPress Sucuri, el 61% de los sitios de WordPress están desactualizados en el momento de la infección.
Esto también es cierto para los complementos. Elija complementos que su fabricante actualice regularmente. Asegúrese de hacer su parte para mantenerlos actualizados cuando haya actualizaciones disponibles. Opte por complementos creados por desarrolladores profesionales y nunca use complementos que estén desactualizados o que ya no sean compatibles.
3. Mejorar la seguridad de inicio de sesión
Un aspecto importante para mantener la seguridad del sitio es crear inicios de sesión seguros. Hay varias formas sencillas de hacer esto.
Primero, asegúrese de que sus contraseñas sean seguras. Una contraseña débil es un blanco fácil para los piratas informáticos. Además, cambie sus contraseñas con frecuencia. Aunque a menudo es la opción predeterminada, no use "admin" como nombre de usuario. Los piratas informáticos saben que este es el nombre predeterminado, por lo que tener este nombre de usuario facilita mucho su trabajo.
Además, considere usar la autenticación en dos pasos. Esto implica proporcionar una contraseña y un código de autorización para iniciar sesión. Por ejemplo, el complemento Google Authenticator:
Complemento de WordPress de autenticación de dos factores
La autenticación de dos factores es un complemento de WordPress que ofrece 2FA a través de Google Authenticator, SMS de teléfono móvil y códigos y enlaces de correo electrónico únicos.
Es una forma segura de proteger su sitio de intentos de inicio de sesión maliciosos y de fuerza bruta.
El administrador de WordPress puede activar la regla para todos los usuarios o definir qué roles de usuario requieren las medidas de dos factores.
Inicio de sesión seguro mediante verificación por SMS
4. Haz una copia de seguridad de tu sitio con frecuencia
También es importante hacer copias de seguridad periódicas de su sitio. De esa manera, si su sitio es pirateado, podrá restaurarlo rápidamente. Si su sitio no está respaldado, corre el riesgo de perder todo su sitio en caso de un ataque.
Puede usar las opciones de respaldo a través de su servidor host, o puede usar un servicio de respaldo externo como un complemento. Es bueno tener más de un modo de respaldo, incluido uno externo. De esa manera, si el centro de datos del host falla, aún puede recuperar sus datos a través de otra fuente.
Algunos buenos complementos de respaldo externo incluyen BackupBuddy y Updraft.
5. Verifique su acceso al directorio y archivos .htaccess
Los permisos de directorio de WordPress pueden evitar que los usuarios no autorizados vean y cambien los archivos necesarios para ejecutar WordPress.
Para mejorar la seguridad, haga que los visitantes de su sitio no puedan ver el directorio de WordPress que no forma parte del contenido de su sitio. Establezca reglas sobre quién puede y quién no puede acceder a partes de su sitio.
Puede modificar el acceso utilizando archivos .htaccess. Utilícelos a su favor para que cuando un hacker potencial intente ver ciertas partes de su sitio, como el directorio, sea redirigido o se le muestre una página "403 prohibida".
Incluso puede restringir el acceso a su página de administración de WordPress a una determinada dirección IP creando un archivo .htaccess y cargándolo en el directorio. Lea este artículo sobre el fortalecimiento de WordPress para obtener más información sobre el uso de .htaccess
6. Complemento de seguridad todo en uno
Si está buscando una seguridad integral en una sola instalación, es posible que desee obtener un complemento de seguridad todo en uno. Este complemento ofrece muchas características que abordan problemas de seguridad comunes.
Existen varias buenas opciones para complementos similares. Uno bueno es iThemes Security. Este es el complemento de seguridad más descargado en WordPress.org. Encuentra vulnerabilidades en su sitio y brinda una visión integral de lo que se debe hacer para protegerlo.
BruteProtect es una función de seguridad que forma parte del popular complemento Jetpack. BruteProtect detiene los ataques brutos contra los sitios de WordPress. Otro es All in One Security, que es un complemento de firewall y seguridad todo en uno.
La instalación de un complemento de seguridad todo en uno es una excelente opción si está buscando un enfoque completo.
Súper paquete de seguridad de WordPress
El paquete CreativeMinds Security incluye cinco complementos diseñados para revisar la seguridad de su sitio de WordPress. ¡Y con descuento!
Incluye el inicio de sesión seguro y el complemento 2FA mencionados anteriormente, junto con:
Ejemplo de mensaje de error de registro de lista negra de correo electrónico de WordPress
- Complemento de lista negra de dominios de correo electrónico : protege su sitio de WordPress al bloquear las direcciones de correo electrónico que utilizan dominios en la lista negra del registro.
- CM WordPress HTTPS Pro : redirección automática de HTTP a la versión HTTPS de una URL o de todo el sitio.
- Herramientas de administración : mejore su panel de administración de WordPress con registros de errores y seguimiento de trabajos cron.
- Restricción de contenido : bloquea todo el sitio o parte de él para usuarios específicos, por ejemplo, solo cuentas iniciadas.
7. Escanea tu sitio con frecuencia
Hay varias opciones que escanearán su sitio en busca de amenazas. El escaneo es importante para detectar actividad que podría dañar su sitio. Estas opciones lo alertan sobre cualquier actividad sospechosa, para que sepa de inmediato si su sitio está siendo atacado.
WordFence es uno de los complementos de seguridad más confiables. Escanea sitios con frecuencia, detecta actividad maliciosa y actúa como un firewall para evitar que ocurran ataques.
Sucuri es una empresa que ofrece firewall y antivirus para una completa seguridad. Ofrecen un complemento de seguridad de WordPress que escanea sitios y ofrece información sobre cómo fortalecer la seguridad. También ofrecen un escáner de sitios web gratuito que le permite ver si su sitio ha sido comprometido.
8. Pruebas de penetración
Las pruebas de penetración son el método más costoso e intensivo para garantizar que su sitio sea seguro. Implica contratar a una empresa para intentar piratear su sitio utilizando bots, escáneres y técnicas manuales.
Este método pondrá a prueba la seguridad de su sitio y le mostrará los agujeros que resultaron en un sitio pirateado durante el período de prueba.
9. Monitoreo de su sitio de WordPress
Si su sitio es atacado, es importante que lo sepa lo antes posible. Hay varios servicios que monitorean tu sitio web y te notifican si algo anda mal.
Uno de los servicios de monitoreo más completos que existen es Website Security Platform. Supervisa su sitio, comprueba si hay malware y proporciona informes detallados.
El complemento Sucuri Security también ofrece servicios de monitoreo. Permite a los administradores del sitio ver la actividad relacionada con la seguridad de su sitio directamente desde el tablero. También supervisa la integridad de los archivos.
Con Sucuri, puede editar su configuración de notificaciones, eligiendo qué notificaciones desea recibir por correo electrónico. De esta manera, puede mantenerse al día con la seguridad de su sitio.
WordFence es otro recurso que monitorea el tráfico del sitio, los inicios de sesión y los comentarios para asegurarse de que no haya actividad sospechosa.
Complemento de consola de búsqueda
El complemento Search Console de CreativeMinds lo ayuda a controlar los intentos de entrada sospechosos en sus campos de búsqueda. Esta es una ventaja: el complemento en realidad mejora la experiencia de búsqueda general, pero tiene un sólido potencial de mejora de la seguridad.
Para ayudarlo a evitar que los robots de spam, los piratas informáticos y los usuarios maliciosos intenten sobrecargar el servidor, cuenta con un registro completo de todas las búsquedas realizadas. Acompaña detalles, como la dirección IP y el número de intentos.
Puede prohibir fácilmente las IP que realizan búsquedas sospechosas y ahorrar un tiempo precioso.
El registro de búsqueda muestra datos sobre las búsquedas realizadas
La seguridad de WordPress es vital
Como ha visto en esta publicación, hay muchas maneras de proteger su sitio de WordPress. Hay un montón de buena información por ahí para ayudarle. Hacer que su sitio web sea más difícil de piratear debe ser su objetivo principal. Si aún no lo ha hecho, pruebe algunas de estas opciones.
Una buena seguridad de WordPress requiere cierta previsión para protegerse de ataques potencialmente devastadores. Como dijo Benjamin Franklin, “una onza de prevención vale una libra de cura”.
Considere esta publicación mientras trabaja para fortalecer la seguridad de su sitio de WordPress.