Cómo evitar que un sitio de WordPress sea pirateado
Publicado: 2024-05-28Los sitios web de WordPress representan más del 43 por ciento de todos los sitios web y esta popularidad convierte a la plataforma en un objetivo de ataques en línea. Eso significa que, si bien WordPress ofrece beneficios aparentemente ilimitados, también existen vulnerabilidades conocidas que los piratas informáticos pueden explotar.
Por eso es una buena idea tomar las medidas de seguridad web adecuadas para evitar que su sitio de WordPress sea pirateado. De esta manera, puede proteger todos sus datos confidenciales, preservar la reputación de su empresa y mantener la confianza y lealtad de los clientes.
En esta publicación, analizaremos más de cerca los hacks y vulnerabilidades comunes de WordPress. Luego, le mostraremos cómo prevenir los intentos de piratería de WordPress.
¿Qué tan comunes son los hacks de WordPress?
El software principal de WordPress es muy seguro y los desarrolladores lo auditan periódicamente. Dicho esto, la popularidad del sistema de gestión de contenidos (CMS) lo convierte en un objetivo para los piratas informáticos que desean extender una amplia red para robar información confidencial, distribuir malware y llevar a cabo otras acciones maliciosas.
WordPress también puede ser un objetivo porque, como software de código abierto, hace públicas todas las vulnerabilidades de seguridad. De hecho, WPScan tiene actualmente 49.000 vulnerabilidades de WordPress enumeradas en su base de datos.
Esto puede facilitar que los malos actores comprometan el software. Además, como plataforma amigable para principiantes, muchos usuarios de WordPress no saben cómo mantener y proteger adecuadamente sus sitios web. Por ejemplo, una de las mejores formas de proteger WordPress es mantener el software actualizado. Pero sólo el 80 por ciento de los usuarios de WordPress han instalado la versión seis del software.
Y, de ese 80 por ciento, sólo el 75 por ciento utiliza la versión más reciente de WordPress. Como tal, a estos sitios web puede resultarles más difícil evitar los ataques a WordPress.
Vulnerabilidades comunes que causan ataques a sitios de WordPress
Ahora que sabes un poco más sobre el problema, echemos un vistazo a las principales vulnerabilidades que pueden provocar hacks de WordPress.
1. Núcleo y complementos de WordPress obsoletos
El software principal de WordPress se actualiza periódicamente con nuevas funciones, correcciones de errores y otras mejoras de seguridad. De hecho, ya ha habido diez lanzamientos de WordPress en lo que va de año.
La última versión vino con dos correcciones de errores en Core, 12 correcciones para el editor de bloques y una corrección de seguridad adicional. La mayoría de los desarrolladores de complementos también lanzan versiones más nuevas de su propio software que vienen con correcciones de seguridad.
Entonces, una vez que un software ha existido durante algún tiempo, es más probable que los piratas informáticos descubran cómo explotar sus debilidades. Luego, pueden utilizarlo como puerta trasera para obtener acceso no autorizado a su sitio web para llevar a cabo actividades maliciosas.
2. Contraseñas débiles
Otra causa común de los hacks de WordPress son las opciones de contraseña débiles, y es una de las más fáciles de resolver. La mala noticia es que muchos usuarios priorizan la comodidad sobre la seguridad cuando se trata de establecer nuevas contraseñas.
De hecho, “123456” fue la contraseña más común el año pasado y se utilizó más de 4,5 millones de veces. La segunda contraseña más utilizada fue "admin", que se utilizó cuatro millones de veces.
Incluso si los propietarios de sitios web comprenden la importancia de las contraseñas seguras, no todos los usuarios tomarán la precaución de establecerlas. Por eso es una buena idea educar a los usuarios y aplicar contraseñas seguras en WordPress utilizando herramientas como el Administrador de políticas de contraseñas.
3. Temas inseguros y obsoletos
Como es el caso del núcleo y los complementos de WordPress, los temas inseguros y obsoletos son otro candidato principal para los hacks de WordPress. Al igual que con los complementos, a los temas obsoletos a menudo les faltan parches de seguridad y correcciones de errores.
Además, pueden volverse incompatibles con otros complementos y el software principal, lo que puede provocar errores de WordPress como la pantalla blanca de la muerte. Además de eso, dado que WordPress es de código abierto, cualquier desarrollador puede vender temas en línea.
Por eso es importante recurrir a fuentes y desarrolladores confiables para asegurarse de que los temas sean seguros de usar. Otro signo positivo son las actualizaciones frecuentes, que puedes consultar en la página dedicada al tema. También es útil consultar las calificaciones y leer las reseñas. Muchas instalaciones activas también pueden indicar que un tema es seguro de usar.
4. Falta de un complemento de seguridad
Los complementos de seguridad brindan una forma proactiva de detectar amenazas y proteger su sitio contra ataques de WordPress. Mejor aún, la mayoría de los complementos de seguridad funcionan automáticamente. Eso significa que, una vez que su herramienta de seguridad esté configurada, funcionará en segundo plano con poca o ninguna administración manual requerida.
Sin complementos de seguridad, es fácil pasar por alto los signos comunes de un intento de piratería de WordPress. Por ejemplo, soluciones como Jetpack Security vienen con protección de fuerza bruta y un firewall de aplicaciones web (WAF) para filtrar el tráfico sospechoso en su sitio.
Además, Jetpack proporciona análisis de malware en tiempo real, así como protección contra comentarios y spam. También puede automatizar el proceso de copia de seguridad y almacenar copias de su sitio web en una ubicación remota y segura. Además, es fácil restaurar su sitio web si algo sale mal.
Cómo los piratas informáticos explotan estas vulnerabilidades
Ahora que conoce las principales vulnerabilidades que conducen a ataques de WordPress, echemos un vistazo a las formas más comunes en que los piratas informáticos explotan estas vulnerabilidades. El método principal para hackear WordPress es apuntar a archivos principales, complementos, temas o páginas de inicio de sesión.
Muchos piratas informáticos utilizan robots que escanean automáticamente los sitios web para identificar debilidades que luego pueden explotar. Además, los piratas informáticos pueden engañar a los sitios web utilizando diferentes agentes de usuario y enviando información diferente a los sitios web sobre el navegador y el sistema operativo.
La página de inicio de sesión de WordPress también es un punto de entrada común para los piratas informáticos. Si no cambia la URL predeterminada de la página de inicio de sesión de WordPress, cualquiera puede encontrarla agregando un sufijo determinado como "/admin" al final de su nombre de dominio.
Luego, los atacantes pueden utilizar ataques de fuerza bruta que implican probar cientos de combinaciones de nombre de usuario y contraseña hasta obtener acceso a su sitio. Y, como comentamos, muchos usuarios dependen de contraseñas débiles que pueden descifrarse muy rápidamente.
Las consecuencias financieras y de reputación de un sitio pirateado
Una de las principales razones por las que la gente quiere saber cómo prevenir los intentos de piratería de WordPress es evitar las consecuencias financieras de un sitio pirateado. Naturalmente, si una persona no autorizada obtiene acceso a su sitio, puede ver, manipular y robar datos privados.
Si tiene la información personal o los detalles de pago de los clientes registrados, puede estar infringiendo las leyes de protección de datos que conllevan fuertes sanciones. De hecho, las infracciones graves del RGPD pueden ascender a 20 millones de euros. Y el año pasado, el coste medio de una filtración de datos en Estados Unidos ascendió a casi 9,5 millones de dólares.
No sólo eso, sino que este tipo de violación es simplemente una violación de la privacidad, lo que puede provocar la pérdida de confianza y lealtad de los clientes antiguos. Como resultado, puede causar un daño permanente a la reputación de su empresa. Puede resultar difícil recuperarse de esto, especialmente si su marca está menos establecida.
También hay que pensar en el coste de arreglar o recuperar un sitio web, que dependerá del tipo de hack de WordPress. Para hacer frente a los ataques de ransomware, es posible que deba pagar una gran cantidad de dinero para recuperar el acceso a su sitio. Mientras tanto, limpiar o reemplazar archivos importantes del sitio puede resultar costoso.
Por último, los sitios web pirateados que se consideren sospechosos o peligrosos pueden incluirse en las listas de bloqueo de Google. Si esto sucede, puede resultar difícil eliminar su sitio de las listas de bloqueo. Y, dado que su sitio web no aparecerá en los resultados de búsqueda hasta que se elimine de esta lista, es probable que su tráfico y sus ingresos se vean afectados.
Medidas para evitar que un sitio de WordPress sea pirateado
Ahora que conoces las principales causas y consecuencias de los hacks, veamos cómo prevenir los intentos de hackeo de WordPress.
1. Mantenga WordPress actualizado
Una de las principales formas que tienen los piratas informáticos de obtener acceso no autorizado a su sitio es explotar vulnerabilidades conocidas en versiones antiguas de software. Esto se aplica al software principal, los complementos y los temas de WordPress.
Además, la mayoría de las actualizaciones incluyen correcciones de errores y otras mejoras de seguridad que dificultan que los piratas informáticos lleven a cabo ataques. Y en lo que respecta a complementos y temas, incluso el software desactivado puede ser atacado, por lo que es mejor eliminar el software que ya no utiliza.
Para evitar ataques a WordPress, es importante actualizar su sitio web tan pronto como haya nuevas versiones disponibles. Normalmente verás una notificación cuando las actualizaciones estén listas. Pero también puede ir a Panel → Actualizaciones dentro de la pantalla de administración de WordPress.
Aquí puede ver si hay una nueva versión de WordPress para instalar, o puede hacer clic en el enlace Verificar nuevamente para asegurarse. Si hay una nueva versión disponible, es una buena idea hacer una copia de seguridad de su sitio antes de ejecutar la actualización y realizar la actualización primero en un entorno de prueba.
Más abajo, verá todos los temas y complementos enumerados que tienen actualizaciones disponibles.
Para actualizar complementos y temas, marque la casilla junto a cada uno y luego haga clic en Actualizar complementos o Actualizar temas.
Para su tranquilidad, lo mejor puede ser habilitar las actualizaciones automáticas para los complementos que utiliza con regularidad. De esta manera, no tendrá que preocuparse de que el software quede obsoleto y sea inseguro. Para hacer esto, simplemente navegue hasta la página Complementos instalados .
En la columna Actualizaciones automáticas , debería ver un enlace Habilitar actualizaciones automáticas al lado de cada complemento instalado. Todo lo que tienes que hacer es hacer clic en el enlace. Luego, si cambia de opinión en algún momento, simplemente desactive esta función.
2. Elija un proveedor de hosting seguro
Si se pregunta cómo prevenir los intentos de piratería de WordPress, es importante elegir un proveedor de alojamiento seguro. Aunque hay toneladas de servidores web disponibles, algunas soluciones toman medidas adicionales para proteger los servidores contra amenazas conocidas.
Un servicio de hosting de calidad también debería incluir un método para monitorear el tráfico sospechoso (como un firewall). Además, la mayoría de los buenos servidores web cuentan con herramientas para evitar ataques distribuidos de denegación de servicio (DDoS) y proporcionan copias de seguridad periódicas para recuperar su sitio web rápidamente.
Bluehost es un proveedor de alojamiento popular que ofrece una variedad de planes asequibles.
Bluehost también ofrece un conjunto completo de funciones de seguridad. De hecho, ofrece cifrado de datos, copias de seguridad automáticas, análisis de malware y soporte 24 horas al día, 7 días a la semana. Mejor aún, los paquetes seleccionados vienen con mitigación de DDoS, un firewall de aplicaciones web (WAF) y más.
También es importante considerar el tipo de alojamiento de sitios web que utilizará. Si bien el alojamiento compartido es la opción más asequible, conlleva un mayor riesgo de contaminación entre sitios. Esto se debe a que con este tipo de plan compartirás un servidor con otros sitios web que quizás no tomen las mismas precauciones de seguridad que tú.
Teniendo esto en cuenta, puede ser mejor optar por alojamiento de servidor privado virtual (VPS) o dedicado.
O bien, las soluciones de alojamiento administrado generalmente brindan un entorno seguro para su sitio web, ya que usted se encarga de muchas tareas de mantenimiento. Esto suele incluir copias de seguridad, actualizaciones y otras configuraciones de seguridad.
3. Instale un complemento de seguridad todo en uno
Como se mencionó, una de las formas más convenientes de evitar ataques a WordPress es instalar un complemento de seguridad todo en uno. De esta manera, puede automatizar muchos procesos de seguridad para no tener que verificar o actualizar manualmente las configuraciones continuamente.
Nuevamente, hay varios complementos de seguridad disponibles, pero Jetpack Security es una excelente opción para los sitios web de WordPress.
Con un panel elegante y una interfaz intuitiva, es adecuado incluso para principiantes. Obtendrá acceso a un WAF premium para filtrar todo el tráfico web entrante. E incluso puede bloquear direcciones IP específicas que sepa que son sospechosas.
Gracias a un registro de actividad de 30 días, puedes controlar cada acción que se realiza en tu sitio web. Esto facilita la identificación de la causa de los problemas y errores de seguridad. Además, Jetpack proporciona análisis de malware en tiempo real con muchas soluciones con un solo clic.
Además, todas las copias de seguridad se almacenan en Jetpack Cloud. Entonces, si su servidor se ve comprometido, sus copias de seguridad permanecen seguras y protegidas. Y puede restaurar su sitio a un punto exacto en el tiempo, manteniendo al mismo tiempo los detalles actuales de los pedidos de los clientes.
4. Aplique políticas de contraseñas seguras
Si desea saber cómo prevenir los intentos de piratería de WordPress, otra estrategia es fortalecer el procedimiento de inicio de sesión de WordPress. Gran parte de esto implica el uso y la aplicación de políticas de contraseñas seguras.
Una contraseña segura contiene una combinación de letras mayúsculas y minúsculas, números y caracteres especiales. Pero, incluso si su contraseña cumple con todos estos parámetros, aún se puede descifrar instantáneamente si tiene menos de siete caracteres. Por tanto, lo mejor es optar por contraseñas largas.
Aún así, incluso si sigue estas mejores prácticas para sus propias contraseñas, esto es esencialmente inútil si otros usuarios de su sitio usan contraseñas débiles. Como tal, es una buena idea imponer contraseñas seguras en WordPress utilizando un complemento como Password Policy Manager.
De esta manera, puede determinar la seguridad de la contraseña, forzar su restablecimiento y definir un período de tiempo en el que las contraseñas caducarán automáticamente. Además, con la versión premium, puedes bloquear usuarios inactivos y generar contraseñas aleatorias para evitar ataques de fuerza bruta.
5. Implementar la autenticación de dos factores (2FA)
Las contraseñas seguras desempeñan un papel fundamental a la hora de reforzar el procedimiento de inicio de sesión de WordPress, pero puedes añadir una capa adicional de seguridad utilizando la autenticación de dos factores. Con esta configuración, los usuarios deben proporcionar una segunda clave (así como una contraseña) para poder acceder a su sitio.
Normalmente, esta segunda clave es un código único que se envía a una dirección de correo electrónico o dispositivo móvil asociado con la cuenta del usuario. La buena noticia es que puedes iniciar sesión de forma segura (incluido el requisito de 2FA) forzando el inicio de sesión en el sitio a través de una cuenta de WordPress.com. Esto se puede hacer con la función de autenticación segura en Jetpack.
De esta manera, incluso si los piratas informáticos logran recuperar contraseñas y nombres de usuario, no podrán ingresar la segunda clave (que generalmente se genera en tiempo real).
6. Permisos seguros de archivos y directorios
Los sitios web de WordPress se componen de diferentes archivos y directorios con controles que determinan qué usuarios pueden acceder a ellos y editarlos. Sin estos permisos, cualquiera que tenga acceso a su sitio puede ver y modificar archivos.
Esto puede ser un problema de seguridad, especialmente si las cuentas de los usuarios son tomadas por actores maliciosos que luego podrían causar daños. Si usa cPanel o accede a su sitio mediante el protocolo de transferencia de archivos (FTP), probablemente haya visto los archivos y directorios de WordPress.
En general, los valores correctos de permisos de archivos para WordPress son 644 para archivos y 755 para carpetas. Pero hay casos en los que es posible que prefiera proteger aún más sus archivos, como suele ser el caso con el archivo wp-config.php y el archivo .htaccess .
Si desea que estos archivos sean menos permisivos, puede cambiar los valores a 640 o 600. De hecho, para bloquear aún más los archivos, es posible que incluso prefiera un valor de 444, pero esto puede restringir los complementos que necesitan acceso a los archivos. (como muchos complementos de almacenamiento en caché).
7. Instale un certificado SSL
El protocolo de capa de conexión segura (SSL) proporciona una capa adicional de seguridad para los sitios web que se ocupan de la transferencia de información confidencial, como datos de tarjetas de crédito. Con un certificado SSL, los datos se cifran. Eso significa que, incluso si es interceptado por piratas informáticos, sigue siendo ilegible.
Además, la seguridad SSL verifica la propiedad de su sitio web, lo que evita que los piratas informáticos creen versiones falsas del mismo. Por lo tanto, también puede ayudar a establecer credibilidad y aumentar la confianza del cliente.
La buena noticia es que muchos proveedores de alojamiento web ofrecen certificados SSL gratuitos como parte de sus servicios de alojamiento. O puede comprar un certificado SSL de una autoridad certificadora válida como Let's Encrypt.
Protegemos su sitio. Tú diriges tu negocio.
Jetpack Security proporciona seguridad completa y fácil de usar para sitios de WordPress, que incluye copias de seguridad en tiempo real, un firewall de aplicaciones web, escaneo de malware y protección contra spam.
Asegure su sitio8. Instale un firewall de aplicaciones web (WAF)
Otra forma popular de evitar ataques a WordPress es instalar un firewall de aplicaciones web. Esto le permite filtrar todo el tráfico entrante y bloquear cualquier dirección IP sospechosa.
Es una medida preventiva que funciona como una barrera, por lo que puede estar seguro de que los piratas informáticos ni siquiera llegarán a su sitio web. Y, si usa Jetpack Security, puede acceder a esta capa adicional de seguridad y configurar reglas específicas para ella.
Para habilitar el firewall de Jetpack, primero necesitará un plan que incluya Jetpack Scan. Luego, dirígete a Jetpack → Configuración. Luego, desplácese hacia abajo hasta la sección Firewall y use los botones de alternancia para habilitar el firewall, bloquear IP específicas y permitir IP específicas.
Para bloquear o permitir direcciones IP, deberá ingresar direcciones IP completas en los cuadros correspondientes. Luego, haga clic en Guardar lista de bloqueo o Guardar lista de permitidos.
9. Escanee periódicamente su sitio en busca de vulnerabilidades.
Si se pregunta cómo prevenir los intentos de piratería de WordPress, también es una buena idea configurar análisis de vulnerabilidades periódicos. De esta manera, puede acceder a protección las 24 horas y detectar rápidamente cualquier amenaza potencial.
Jetpack Security brinda protección las 24 horas del día, los 7 días de la semana gracias a su WAF y análisis de malware en tiempo real que detectan las amenazas más actualizadas. Pero, si tiene un presupuesto ajustado, es posible que prefiera comenzar con Jetpack Scan, que brinda acceso solo a estas funciones (sin los beneficios adicionales de Jetpack Security, como copias de seguridad en tiempo real y protección contra spam).
Aún podrás utilizar el WAF y el servicio de malware de Jetpack. Y, si hay algún problema con su sitio, se le notificará instantáneamente por correo electrónico. Una de las mejores características es que todos los análisis se realizan en los propios servidores de Jetpack, por lo que aún puedes acceder a tu sitio incluso si deja de funcionar.
Este complemento identificará cualquier vulnerabilidad en complementos, temas y archivos y directorios seleccionados. De forma predeterminada, obtendrá un análisis diario, pero también puede iniciar análisis manualmente. Además, podrá ver los resultados del análisis directamente desde su panel de control (y habilitar soluciones con un solo clic para la mayoría de los problemas).
10. Eliminar cuentas de usuarios inactivos
Las cuentas de usuario inactivas pueden obstruir su sitio web y generar problemas de seguridad. Normalmente, si un usuario no ha iniciado sesión en su cuenta en los últimos 90 días, esto marca una clara señal de inactividad del usuario.
Es importante eliminar estas cuentas para evitar problemas de seguridad. Por ejemplo, las cuentas antiguas contienen contraseñas que no se han cambiado en mucho tiempo, por lo que existe una mayor probabilidad de que se hayan filtrado en la web oscura.
Luego, inicie sesión en el panel de WordPress y vaya a Usuarios → Todos los usuarios. Debajo del perfil de usuario, puede enviar un enlace para restablecer la contraseña si lo prefiere. O simplemente haga clic en Eliminar y confirme la acción en la página siguiente.
Depende de usted determinar los límites específicos para definir las cuentas no utilizadas. Es posible que tenga usuarios que crearon una cuenta pero nunca hicieron una contribución ni compraron un producto. O puede haber usuarios que nunca hayan utilizado sus cuentas de manera constante.
Si trabaja con una gran cantidad de usuarios y no está seguro de qué tan activos son, siempre puede instalar un complemento gratuito como WP Last Login para realizar un seguimiento. Esta herramienta le permite ver la fecha del último inicio de sesión de los usuarios directamente en el panel de WordPress.
11. Seguimiento y seguimiento de la actividad del usuario
Otra excelente manera de prevenir los intentos de piratería de WordPress es rastrear y monitorear la actividad del usuario. De esta manera, puede mantener un registro completo de cada acción que se realiza en su sitio web.
Por ejemplo, dependiendo de la herramienta que esté utilizando, es posible que pueda ver cuándo un usuario ejecuta una actualización, instala un complemento, carga imágenes, deja comentarios y más. Esto hace que la administración del sitio sea mucho más transparente y puede acelerar las reparaciones y la depuración.
La buena noticia es que si utilizas Jetpack Security, tendrás acceso a un registro de actividad que almacena las acciones del usuario. Más que eso, obtendrás información detallada sobre el evento, incluido el usuario que realizó la acción y la hora exacta en que tuvo lugar.
Mejor aún, incluso con la versión gratuita de Jetpack, puedes ver los últimos 20 eventos que se llevaron a cabo en tu sitio. Esto puede ayudarle a prevenir ataques de fuerza bruta, ya que también recibirá notificaciones de los intentos de inicio de sesión de los usuarios.
12. Cambie el nombre de la cuenta de usuario "admin" predeterminada
Como comentamos, puede ser fácil para los piratas informáticos acceder a su sitio si no cambia la URL de la página de inicio de sesión predeterminada (que analizaremos más adelante). Pero, además, muchas personas siguen manteniendo “admin” como nombre de usuario de su cuenta de WordPress.
Esto significa que los piratas informáticos sólo necesitan adivinar su contraseña correctamente y obtendrán un control total sobre su sitio web, ya que la cuenta de administrador no tiene limitaciones. Por lo tanto, es mejor cambiar el nombre de cuenta "admin" predeterminado para evitar ataques a WordPress.
Para hacer esto, vaya a Usuarios → Agregar nuevo usuario dentro del panel de WordPress. Complete todos los campos obligatorios, incluido un nombre de usuario único que no sea "admin". Luego, use el menú desplegable Función para seleccionar Administrador .
Ahora, haga clic en Agregar nuevo usuario en la parte inferior de la página. Ahora, en la pantalla Todos los usuarios , debería ver la nueva cuenta de administrador que acaba de crear.
En este punto, deberá cerrar sesión en su cuenta actual (la antigua cuenta de administrador) y volver a iniciar sesión en WordPress utilizando las credenciales de su nueva cuenta de administrador. Luego, regrese a la pantalla Usuarios → Todos los usuarios y haga clic en el enlace Eliminar debajo de la cuenta de administrador anterior.
Pero es importante atribuir todas las publicaciones y páginas a la nueva cuenta de administrador. De lo contrario, se eliminará cualquier contenido creado con la cuenta de administrador anterior.
Por lo tanto, deberá marcar la casilla que dice Atribuir todas las publicaciones y usar el cuadro desplegable para seleccionar el nuevo usuario administrador.
Luego, haga clic en Confirmar eliminación.
13. Ocultar wp-admin/ y wp-login.php
Para ayudar a prevenir intentos de piratería de WordPress, también puedes ocultar las páginas wp-admin y wp-login.php. De forma predeterminada, WordPress utiliza una URL de inicio de sesión estándar que combina su nombre de dominio con el sufijo wp-login.php.
Esta estructura básica tiene el mismo aspecto incluso si utiliza subdominios y subdirectorios. Por lo tanto, los piratas informáticos pueden ingresar esto en la barra de búsqueda y acceder directamente a su página de inicio de sesión de WordPress.
Además, si combina su dominio con el sufijo wp-admin, los piratas informáticos pueden ser dirigidos a la página de inicio de sesión del administrador. Por lo tanto, si desea dificultar el acceso de los atacantes a su sitio, es mejor cambiar las URL de la página de inicio de sesión.
La forma más sencilla de hacerlo es utilizar un complemento como WPS Hide Login, que hace que el directorio wp-admin y la página /wp-login.php sean inaccesibles.
Con esta herramienta, puede reemplazarla con una URL de inicio de sesión personalizada que solo compartirá con usuarios en los que confíe. También funciona en subdominios y subcarpetas. Pero si no desea utilizar un complemento, también puede ocultar las URL de la página de inicio de sesión manualmente.
14. Asegure su archivo /wp-config.php
Otra forma común de evitar intentos de piratería de WordPress es proteger su archivo wp-config.php . Este es uno de los archivos de WordPress más importantes ya que contiene información sobre su instalación de WordPress, como detalles de conexión a la base de datos y claves de seguridad de WordPress.
La mala noticia es que WordPress tiene una ubicación predeterminada para el archivo, lo que facilita que los piratas informáticos lo encuentren. Por lo tanto, puede mover esta carpeta fuera del directorio raíz de su sitio (que generalmente tiene la etiqueta / public_html ). y seguirá funcionando.
Además, es posible que también desee restringir los permisos del archivo para que solo los verdaderos propietarios puedan editar el archivo. Para hacer esto, necesitarás descargar el archivo .htaccess , que también encontrarás en la carpeta raíz.
Luego, en un editor de texto plano, abra el archivo y agregue el siguiente código:
<files wp-config.php> order allow,deny deny from all </files>
Ahora, puede cargar el archivo .htaccess actualizado nuevamente a la carpeta raíz para denegar el acceso al archivo wp-config.php .
15. Haga una copia de seguridad de su sitio con regularidad
Es fácil entrar en pánico cuando su sitio web es pirateado. Pero, si tiene una copia actualizada de su sitio web, puede resolver el problema rápidamente.
Aunque puedes crear copias de seguridad manuales de tu base de datos, el método más sencillo es instalar un complemento de seguridad como Jetpack Security. De esta manera, obtendrá acceso a Jetpack VaultPress Backup, que es una solución de copia de seguridad dedicada a WordPress.
El complemento crea la primera copia de seguridad de su sitio tan pronto como se completa la compra. Es una opción ideal para las tiendas de comercio electrónico porque realiza una copia de seguridad de todos los datos de los clientes y pedidos, así como de las imágenes, el contenido de las páginas y más.
La mejor parte es que, a diferencia de las opciones de alojamiento web integradas, las copias de seguridad se almacenan en el almacenamiento remoto en la nube de Jetpack. Eso significa que puede restaurar una versión limpia de su sitio incluso cuando no puede iniciar sesión. Además, puede elegir el momento exacto en el que desea restaurar su sitio.
Cómo Jetpack Security maneja la seguridad de WordPress para su tranquilidad
Ahora que sabes cómo prevenir los intentos de piratería de WordPress, así es como Jetpack Security protege tu sitio web para que puedas tener total tranquilidad.
Escaneo de vulnerabilidades y malware 24 horas al día, 7 días a la semana
Una de las principales formas en que Jetpack Security le ayuda a prevenir los ataques a WordPress es mediante el escaneo de vulnerabilidades y malware en tiempo real. Malware se refiere a software malicioso que puede usarse para robar o eliminar datos, secuestrar funciones principales y espiar la actividad de su computadora.
Pero Jetpack Scan no se limita solo a la detección de malware. También puede identificar cambios sospechosos en los archivos principales de WordPress, complementos obsoletos o inseguros y shells basados en web, que brindan a los piratas informáticos acceso completo a su servidor.
Una vez que instale Jetpack Security, el primer análisis comenzará inmediatamente. Luego, vaya a Jetpack → Proteger → Escanear para ver los resultados (aunque es posible que primero deba autorizar su cuenta de WordPress.com).
Aquí también puede iniciar un nuevo análisis manualmente y ver los resultados del análisis. Además, podrás ver si hay amenazas activas. Y, si se identifica más de una amenaza, se priorizarán según su gravedad.
Si se detectan amenazas, también recibirá una notificación instantánea por correo electrónico y podrá ver las amenazas en el panel de WordPress. Es más, Jetpack suele ofrecer soluciones con un solo clic para resolver problemas.
Copias de seguridad en tiempo real y restauraciones con un solo clic
Las copias de seguridad le permiten recuperarse rápidamente de un hack de WordPress. Sin una copia de seguridad, su sitio web puede permanecer inactivo por un tiempo mientras intenta identificar parches para solucionar el problema. Es probable que esto tenga un impacto en el tráfico y los ingresos de su sitio web.
Con Jetpack Security, simplemente puede reemplazar el sitio web afectado con una versión limpia y actualizada. Las copias de seguridad en tiempo real de Jetpack se almacenan en la nube, por lo que incluso si todo tu servidor se ve afectado, aún puedes acceder al sitio web replicado.
Es más, Jetpack incluso realiza copias de seguridad de los pedidos, productos y bases de datos de WooCommerce, lo que le ayuda a cumplir con las leyes de protección de datos. Y el proceso de restauración se puede realizar con un solo clic.
Protección contra ataques de fuerza bruta
Los ataques de fuerza bruta figuraron como una de las principales causas de los ataques cibernéticos que sufrieron las empresas en los Estados Unidos en 2022. También se clasificaron como la quinta causa principal de ataques de ransomware en todo el mundo a partir de 2023.
Los ataques de fuerza bruta ralentizan su sitio debido a solicitudes repetidas del servidor, pero el objetivo real es obtener acceso a archivos importantes del sitio donde los piratas informáticos pueden insertar códigos o scripts maliciosos. Pero con Jetpack Security, puedes bloquear ataques de esta naturaleza a través de tu panel de control.
Todo lo que tienes que hacer es ir a Jetpack → Configuración y desplazarte hacia abajo hasta la sección correspondiente donde verás un botón para habilitar o deshabilitar la función.
De hecho, en promedio, Jetpack bloquea 5193 ataques de fuerza bruta durante la vida de un sitio web. Bloquea automáticamente las IP maliciosas incluso antes de que lleguen a su sitio. Y puede permitir que las IP conocidas reduzcan los falsos positivos.
Un registro de actividad del usuario de 30 días
Si desea saber cómo prevenir los intentos de piratería de WordPress, un registro de actividad es una excelente solución. De esta manera, puede realizar un seguimiento de cada acción realizada en su sitio, como actualizaciones de complementos y temas, modificaciones de configuración e inicios de sesión de usuarios.
Con Jetpack Security, puede almacenar las acciones del usuario por hasta 30 días, lo que puede simplificar las tareas de administración del sitio y mejorar la efectividad de la depuración y las reparaciones. Además, obtendrá información detallada sobre cada evento, incluida una marca de tiempo, un usuario y una descripción.
Soluciones sencillas con un solo clic
Otra forma en que Jetpack Security ayuda a prevenir los ataques a WordPress es mediante soluciones sencillas con un solo clic. Esto distingue a Jetpack de otros complementos de seguridad que pueden ser buenos para identificar los problemas, pero no brindan una forma de resolverlos.
Esto significa que su sitio web puede sufrir largos períodos de inactividad en los que su contenido es inaccesible para los visitantes y usted no puede obtener ingresos. La buena noticia es que si usa Jetpack Security, tendrá acceso a análisis de vulnerabilidades en tiempo real.
Como mencionamos, puede realizar un escaneo yendo a Jetpack → Proteger → Escanear . Aquí también puede ver los resultados de los escaneos. Además, puede encontrar más información sobre las amenazas detectadas e incluso hacer clic en el botón Reparar todo para resolver los problemas de forma masiva.
Protección contra spam de comentarios y formularios
Akismet es uno de los complementos antispam más populares y ofrece capacidades impresionantes. Bloquea un promedio de 7,5 millones de envíos de spam por hora. Y con Jetpack Security (así como otros planes Jetpack seleccionados), obtendrá acceso al complemento para bloquear comentarios no deseados y formularios no deseados.
Naturalmente, puede ser muy frustrante lidiar con el spam y puede hacer que su sitio web parezca menos digno de confianza desde el punto de vista del cliente. Pero, también puede contener malware peligroso que puede usarse para dañar dispositivos y robar datos confidenciales.
Básicamente, la sección de comentarios y los campos de formulario permiten que cualquiera interactúe con su sitio web. Como tal, estas áreas tienden a ser objetivos principales para los ataques de spam.
Afortunadamente, puede abordar este problema yendo a JetPack → Akismet Anti-Spam desde su tablero.
Aquí, puede ver cuántos intentos de spam se han bloqueado y ver una calificación de precisión que considera el spam y los falsos positivos perdidos.
Además, puede configurar el filtrado automático de spam para que nunca tenga que ver los peores y más generalizados casos de correo no deseado. O bien, puede configurar la configuración para que cada pieza de spam esté dirigido a una carpeta de spam dedicada donde pueda revisarla.
5 millones+ sitios confían en Jetpack para la seguridad de su sitio web
Si bien WordPress se considera en gran medida como una plataforma segura para los sitios web, también es un objetivo atractivo para los piratas informáticos porque es muy popular. Con eso en mente, es importante tomar medidas para prevenir los trucos de WordPress. De esta manera, puede proteger mejor los datos de los clientes y preservar su buena reputación.
Las contraseñas seguras, la autenticación de dos factores y un firewall de aplicación web son excelentes defensas. Pero también debe elegir un host web seguro, mantener el software actualizado y escanear su sitio regularmente para obtener vulnerabilidades.
Con Jetpack Security, obtendrá acceso a un complemento de seguridad todo en uno que evita una gama de ataques en línea. Le ayuda a automatizar copias de seguridad, monitorear la actividad del usuario, bloquear comentarios y formar spam, y acceder a las correcciones de un solo clic. ¡Empiece hoy!