Seguridad de WordPress: 8 pasos para proteger su sitio web contra piratas informáticos
Publicado: 2019-02-26La seguridad del sitio web es un problema grave, pero es posible que muchos no sepan cuán grave puede ser un problema. Sin embargo, cuando sepa que no menos de 50,000 sitios web únicos son pirateados diariamente, comenzará a tener una idea de este problema.
El problema es que la mayoría de los sitios web actuales se ejecutan en la plataforma WordPress. Eso significa que un gran porcentaje de los sitios web que caen en manos de los piratas informáticos se basan en WordPress.
Si bien WordPress ha hecho todo lo posible para garantizar que los sitios que se ejecutan en su CMS sean seguros, pueden ocurrir errores. En este artículo, vamos a hablar sobre cómo asegurarnos de que eso no suceda.
Antes de eso, sin embargo...
¿Por qué necesita la seguridad de WordPress en primer lugar?
Dependiendo de qué se trate su sitio web, hay muchas cosas que podrían salir mal cuando alguien viola su seguridad. Algunos de estos son:
- Cargar un malware : un pirata informático podría cargar un malware en los servidores de su sitio web por diferentes razones.
Podrían usar esto para recopilar datos e información sobre su sitio web y cómo lo ejecuta por una razón u otra. Incluso podrían hacerlo de manera que dicho malware se descargue automáticamente en las computadoras de sus visitantes.
Eso no solo destruye su buena voluntad con los visitantes del sitio web, sino que hace que su sitio web esté en la lista negra. Sería casi imposible recuperar su reputación cuando eso suceda.
- Robo de información del usuario : si su sitio web almacena información del usuario (perfiles que contienen nombres, fecha de nacimiento, edad, sexo, etc.), esto será importante para los piratas informáticos.
Pueden recolectar dichos datos y venderlos en la web negra, a empresas de minería de datos u otro personal interesado. Eso ha constituido una violación de los datos que los usuarios le enviaron en confianza y rompe su promesa de mantener sus datos seguros.
- Robo de información financiera : esto es muy común en los sitios web de WordPress que se utilizan para administrar una tienda en línea. A veces, puede que no sea un sitio web estrictamente basado en el comercio electrónico, sino uno que vende una oferta u otra.
Cuando eso sucede, los piratas informáticos tienen todo lo que necesitan para estafar a todos los que alguna vez hayan enviado su tarjeta de crédito/datos de pago a su sitio web. Además del hecho de que esto incomodará a muchos de sus clientes, no estarán complacidos de volver a comprarle si saben que la infracción provino de usted.
- Manipulación de sus ingresos : su sitio web podría obtener ingresos de fuentes de afiliados, flujos de anuncios y mucho más. Si un pirata informático obtiene acceso, puede cambiar los detalles de su afiliado/anuncio/fuente de ingresos a los suyos y desviar sus ventas a su lado.
Incluso podrían cambiar sus cuentas receptoras y obtener sus ingresos en sus propias cuentas.
Por supuesto, esas son solo algunas de las cosas que podrían salir mal cuando su sitio web de WordPress no es tan seguro como podría ser. Hay muchas otras razones por las que los piratas informáticos pueden querer acceder a su sitio web. La responsabilidad, por lo tanto, recae en usted para asegurarse de que tengan dificultades para hacerlo.
Manteniendo tu sitio web de WordPress seguro
¿Quiere sacar su sitio web de la lista de objetivos fáciles para los piratas informáticos? Aqui hay algunas cosas que puedes hacer:
1. Proteja su página de inicio de sesión
Antes de que su sitio web pueda ser pirateado, el pirata informático debe acceder a la página de administración. Si elige la configuración predeterminada de WordPress, todo lo que tienen que hacer es agregar / wp-admin o /wp-login.php al final de su nombre de dominio y estarán en la página de administración.
Sin siquiera saberlo, les ha facilitado un paso.
Para evitar esto, personalice su página de inicio de sesión para que solo aparezca con una dirección especialmente designada. De esa manera, puede permanecer fuera de la red para la mayoría de los piratas informáticos.
2. Implementar bloqueos de sitios web
Los ataques de fuerza bruta prosperan al poder probar varias contraseñas hasta que obtienen la correcta. Eso les da a los piratas informáticos la libertad de probar muchas combinaciones posibles antes de entrar en su tablero.
Una forma sencilla de combatir esto es especificando la cantidad de intentos fallidos que un usuario puede tener antes de que se le bloquee el área de administración.
La mejor parte de este movimiento es que también recibe una notificación cuando se registra dicha actividad, lo que lo ayuda a mantener un barco más estricto. Muchos complementos de firewall y seguridad de WordPress que le permiten hacer esto.
Podría valer la pena echarle un vistazo.
3. Elige una buena empresa de hosting
No sea parte de aquellos que creen que las empresas de alojamiento relativamente caras le hacen pagar por el nombre de la marca. La mayoría de las veces, estos son los que le brindan múltiples capas de seguridad sobre las opciones más baratas.

Además de los beneficios adicionales que conlleva pagar esos dólares extra, también obtiene una mejor seguridad por todos sus esfuerzos. Si no tiene idea de cómo elegir el alojamiento adecuado, puede seguir nuestra guía definitiva sobre cómo elegir un alojamiento de WordPress.
4. Manténgase alejado de los temas anulados
WordPress incluye una gran cantidad de temas gratuitos y de pago para usar en su sitio web. Estos temas han sido diseñados y codificados por desarrolladores altamente calificados que saben lo que están haciendo. WordPress también ha probado los temas para garantizar que cumplen con los estándares de configuración.
Sin embargo, algunos sitios web ofrecen versiones descifradas/anuladas de los temas pagos de forma gratuita. Esto puede parecer un buen negocio hasta que se entere de que el tema descifrado contiene un código malicioso que podría dañar gravemente su sitio web. Consulte nuestra guía sobre cómo elegir un tema perfecto para su sitio.
5. Deshabilitar la edición de archivos
De forma predeterminada, su sitio web de WordPress tiene una función de editor de código que le permite realizar cambios en el tema y los complementos. Puede encontrar esto yendo al Panel de control del Editor en Apariencias o Complementos .
Cuando los piratas informáticos obtienen acceso a su sitio, pueden ir aquí para insertar códigos maliciosos, y ni siquiera lo sabrá hasta que sea demasiado tarde.
La mejor manera de luchar contra tales ataques hasta que descubra que algo anda mal es deshabilitar la capacidad de editar complementos y el tema.
6. Actualiza tu sitio web
Una de las cosas más fáciles que puede hacer para proteger su sitio web de WordPress es asegurarse de que se mantenga actualizado de vez en cuando.
Cuando llega una nueva actualización, eso significa que los desarrolladores han encontrado una falla que consideraron lo suficientemente importante como para repararla. No cerrar esta brecha lo dejará vulnerable a la falla que han visto, lo que facilitará que alguien que conoce esa falla lo explote.
Lo mismo es cierto para los complementos y PHP: también se pueden actualizar y deben actualizarse tan pronto como reciba la notificación. Aquí está nuestra guía para actualizar un sitio de WordPress a la última versión de PHP.
Tenga en cuenta que antes de realizar cualquier actualización en su sitio de WordPress, se recomienda encarecidamente que cree una copia de seguridad de todo su sitio.
7. Deshabilite la función XML-RPC
Con el lanzamiento de WordPress viene una inclusión automática de la función XML-RPC.
Sería poco amable con esta adición si no miramos sus lados buenos. Después de todo, eso es lo que facilita la conexión perfecta de su cuenta de WordPress con sus aplicaciones móviles y de escritorio.
Sin embargo, también facilita que los ataques de fuerza bruta ocurran a un ritmo mucho más rápido.
Por ejemplo, un pirata informático no necesitaría adivinar 500 contraseñas cuando tiene esa función habilitada. Todo lo que necesitan hacer es realizar unas 50 solicitudes con la función system.multicall y podrían probar miles de contraseñas en el mismo período de tiempo.
La solución simple a esto sería deshabilitar la función, especialmente si no la está usando.
8. Cierre la sesión de los usuarios inactivos
No todas las veces un hacker necesita acceder a su sitio web desde una ubicación remota. Si tiene varios usuarios en su sitio web, un pirata informático de este tipo puede holgazanear hasta que el usuario abandone su computadora.
Es por eso que nunca debe permitir que nadie permanezca inactivo durante demasiado tiempo en el área del tablero. Si ha observado muchos sitios web bancarios y financieros, este es el mismo modelo que utilizan para mantener seguros los datos de sus usuarios.
Una de las formas de hacer esto es instalar el complemento de cierre de sesión de usuario inactivo. Configúrelo para indicar la cantidad de tiempo que desea que cada usuario pase inactivo antes de que se les solicite iniciar sesión nuevamente, y listo.
Después de todo lo dicho, es una buena práctica prepararse para lo peor. Si bien debe haber implementado lo anterior, asegúrese de hacer una copia de seguridad de su sitio web de vez en cuando, puede hacerlo fácilmente usando un complemento de copia de seguridad gratuito como nuestro complemento de copia de seguridad WPvivid. De esa manera, siempre puede restaurar desde el último punto de la copia de seguridad si sucede algo.
Sin embargo, no esperamos eso para ti.
¿Tienes más consejos que usas para proteger tu sitio web de WordPress que no hemos mencionado aquí? Háganos saber acerca de ellos en los comentarios.
Este artículo ha cubierto los pasos más esenciales para la protección de WordPress, también hemos creado una guía definitiva sobre cómo proteger un sitio de WordPress desde todos los aspectos que también puede necesitar.