Seguridad de WordPress: cómo proteger un sitio web

La seguridad de WordPress está en la mente de muchos propietarios de sitios. WordPress tiene un script de código abierto, por lo que, naturalmente, a todos les preocupa que sea vulnerable a ataques de todo tipo. Sin embargo, WordPress no es inherentemente vulnerable y hay muchos pasos que puede seguir para proteger WordPress.

Al final del día, el propietario del sitio suele ser más responsable de los ataques que la plataforma. Resulta que usted tiene mucho que decir sobre cómo hacer que su sitio de WordPress sea seguro. A continuación se ofrecen algunos consejos y trucos que le ayudarán a descubrir cómo proteger su sitio web en WordPress.

Crear un bloqueo del sitio y prohibir usuarios

La creación de una función de bloqueo para repetidos intentos fallidos de inicio de sesión ayudará a evitar que los posibles piratas informáticos realicen intentos continuos de fuerza bruta que finalmente tengan éxito. Cualquier intento de piratería que utilice repetidamente contraseñas largas y repetitivas bloquea el sitio y se le notificará sobre actividad no autorizada. Esto bloqueará a muchos piratas informáticos de inmediato.

Una de las formas de aumentar la seguridad de WordPress contra este tipo de intento de piratería es el complemento iThemes Security. Ha sido genial durante mucho tiempo y no hay signos de desaceleración. Le ofrece la opción de especificar cuántos intentos fallidos de inicio de sesión tiene un usuario antes de que el complemento prohíba su dirección IP y le avise.

Utilice métodos de autenticación de 2 factores

La autenticación de dos factores (SFA) es una de las muchas mejores prácticas de seguridad de WordPress. Solicita al usuario que proporcione detalles de inicio de sesión para dos componentes de la avalancha. Como propietario del sitio, puedes decidir cuáles son estos dos componentes. Puede ser una contraseña normal seguida de un código secreto, una pregunta secreta, un conjunto de caracteres, un CAPTCHA, etc.

Muchos propietarios de sitios prefieren el método 2FA para proteger su sitio. Google Authenticator es un buen complemento para incluir 2FA en su sitio. Como ocurre con muchos complementos de Google, es confiable y se actualiza con frecuencia.

Utilice el correo electrónico como nombre de usuario de inicio de sesión

El valor predeterminado para la mayoría de los sitios solicita un nombre de usuario para iniciar sesión. Para aumentar la seguridad de WordPress, use una identificación de correo electrónico en lugar de un nombre de usuario. Es un enfoque más seguro. Los nombres de usuario son fáciles de predecir para los piratas informáticos. Los correos electrónicos no son tan fáciles de predecir. Además, las cuentas de usuario de WordPress deben crearse utilizando una dirección de correo electrónico única, lo que las convierte en un identificador más válido.

Un buen complemento para aumentar la seguridad de WordPress de esta manera es WP Email Login. Funciona inmediatamente después de la instalación. Simplemente actívalo y listo. No es necesaria ninguna configuración. Si desea probarlo, simplemente cierre sesión en su sitio y luego vuelva a iniciar sesión con la dirección de correo electrónico con la que creó la cuenta.

Cambie el nombre de su URL de inicio de sesión

Es muy fácil cambiar su URL de inicio de sesión. Es fácil acceder al inicio de sesión predeterminado de WordPress a través de wp-login.php o wp-admin agregado a la URL principal de su sitio. Cuando los piratas informáticos conocen la URL directa de la página de inicio de sesión, a menudo intentarán ingresar por la fuerza bruta a su sitio. Luego intentarán iniciar sesión con su Guess Work Database (GWDb), una base de datos de nombres de usuario y contraseñas adivinados que contiene millones de combinaciones de caracteres. A los piratas informáticos les resulta fácil hacer esto. Es tosco, simple, pero con demasiada frecuencia resulta eficaz.

Si siguió todos los pasos detallados anteriormente, entonces ya restringió la cantidad de intentos de inicio de sesión de los usuarios y cambió los nombres de usuario por identificación de correo electrónico. Al cambiar la URL además de esas dos medidas de seguridad de WordPress, eliminará el 99% de los ataques directos de fuerza bruta. Esto mantendrá alejado al tipo más común de hacker de WordPress.

Todo lo que tiene que hacer para impedir que entidades no autorizadas accedan a la página de inicio de sesión es utilizar el complemento de seguridad iThemes para hacer esto:

• Cambie wp-login.php a algo único; por ejemplo, my_new_login
• Cambie /wp-admin/ por algo único; por ejemplo, my_new_admin
• Cambie /wp-login.php?action=register a algo único

Utilice un host de buena calidad

Su anfitrión es muy parecido a la calle de su sitio en Internet. Al igual que las direcciones de las calles en la vida real, la calidad de la calle puede afectar el tipo de tráfico que ve.

Un buen alojamiento afectará la confiabilidad de su sitio, su rendimiento, su tamaño e incluso su clasificación en los motores de búsqueda. Los anfitriones realmente excelentes ofrecen a los propietarios de sitios muchas funciones útiles, incluido un buen soporte y servicios adaptados a la plataforma elegida por el propietario.

Busque servidores que actualicen con frecuencia su servicio, software y herramientas de forma regular, casi constante. También debe responder a las últimas amenazas y eliminar rápidamente posibles violaciones de seguridad. Un proveedor de alojamiento web debe ofrecer funciones de seguridad específicas, como certificados SSL/TLS y protección DDoS. Debería obtener acceso a un firewall de aplicaciones web (WAF) para ayudar a monitorear y bloquear amenazas graves al sitio de WordPress.

Es probable que un buen proveedor de alojamiento web también le proporcione una forma de realizar una copia de seguridad de su sitio. En algunos casos, incluso harán la copia de seguridad por usted. Esto le permitirá volver a la versión estable anterior si su sitio alguna vez es pirateado. Deben ofrecer soporte confiable las 24 horas del día, los 7 días de la semana, para que siempre pueda comunicarse con un experto para ayudarlo con los problemas de seguridad del sitio web.

Cambie su sitio a HTTPS

Con un certificado SSL/TLS, puede cambiar su sitio de WordPress al Protocolo seguro de transferencia de hipertexto (HTTPS), que es una versión más segura de HTTP. Esta es una excelente manera de aumentar la seguridad de WordPress.

HTTP es el protocolo que transfiere datos entre un sitio web y un navegador que intenta acceder a él. Cada vez que un visitante ingresa a su página, todas las constantes, medios y códigos se envían a través de este protocolo a la ubicación del visitante. Esto es necesario pero también crea problemas de seguridad.

Con HTTPS, este problema se soluciona. Hace lo mismo que HTTP, pero también cifra los datos del sitio mientras viaja de un lugar a otro. Comenzó como algo que se usaba para proteger información confidencial de los clientes, como datos de tarjetas de crédito, pero se ha vuelto cada vez más común en todo tipo de sitios.

Cuando cambia a HTTPS, los clientes tendrán una gran confianza para utilizar su sitio. Se recomienda tener un SSL de marcas autenticadas como Comodo, Thawte, GlobalSign, etc. Si tiene un sitio de dominio único, le recomendamos tener un certificado Comodo PositiveSSL de Comodo o cualquier otro SSL de dominio único de las marcas mencionadas. Protegerá las transacciones en línea entre el servidor y el navegador.

Preguntas frecuentes sobre la seguridad de WordPress

¿Cómo protejo mi sitio de WordPress de los piratas informáticos?

Ya sabes, cuando hablamos de mantener alejados a los malos, es como cerrar la casa con llave por la noche.

Lo primero es lo primero: mantenga siempre todo actualizado: sus temas, complementos y, lo más importante, el propio WordPress. Es como tener instalado el último sistema de seguridad. Tampoco seas fácil con tus contraseñas; hacerlos complejos y únicos.

Y oye, ¿agregar un complemento de seguridad? Eso es como tener un perro guardián; Wordfence o Sucuri podrían ser tu nuevo mejor amigo.

¿Puede un sitio de WordPress ser 100% seguro?

Ahora, aquí está la verdadera cuestión: seguridad absoluta, eso es un mito, como un unicornio, ¿sabes? Ni siquiera Fort Knox es 100% seguro. Pero no dejes que eso te asuste. Con los movimientos correctos, puedes hacer que tu sitio de WordPress sea un hueso duro de roer.

Auditorías de seguridad periódicas, estar al tanto de las actualizaciones, usar SSL y, por supuesto, alojamiento confiable, estás construyendo una fortaleza, poco a poco. Puede que no alcances el 100%, pero estarás bastante cerca.

¿Cuál es el problema con los complementos de seguridad de WordPress?

Muy bien, imagina estos complementos como tus guardaespaldas personales. Están ahí las 24 horas del día, los 7 días de la semana, atentos a cualquier negocio turbio. Wordfence, Sucuri, iThemes Security: estos son algunos de los grandes nombres del juego.

Analizan en busca de malware, bloquean a los malos y te mantienen informado con alertas. Es como tener un equipo de seguridad para su sitio y, créanme, vale la pena.

¿Con qué frecuencia debo hacer una copia de seguridad de mi sitio de WordPress?

Piense en las copias de seguridad como su red de seguridad. No quieres usarlo, pero hombre, ¿no te alegra que esté ahí cuando lo necesitas? Diariamente es ideal, especialmente si constantemente agregas contenido nuevo.

Pero bueno, si eso es demasiado, una semana debería ser el mínimo indispensable. Herramientas como UpdraftPlus o VaultPress te respaldan y automatizan todo el asunto para que puedas dormir tranquilo.

¿Qué es eso que oigo sobre los certificados SSL?

Entonces, los certificados SSL son como el protocolo de enlace secreto entre su sitio y los navegadores de sus visitantes. Cifra los datos, los mantiene todo secreto y seguro.

Hoy en día, no es sólo para los sitios de comercio electrónico; es para todos. Google es muy importante en esto, incluso marca sitios sin SSL como "No seguros". Let's Encrypt lo ofrece gratis, así que no hay excusas, ¿de acuerdo? Obtenga ese certificado y demuestre al mundo (y a Google) que habla en serio.

¿Debería preocuparme por las funciones y permisos de los usuarios?

¡Oh, absolutamente! ¿Imaginas entregarle las llaves de tu casa a cualquiera? No, no harías eso. Lo mismo ocurre con su sitio de WordPress. Sea tacaño con el acceso de administrador.

Dáselo sólo a personas en las que confíes, es decir, que realmente confíen. Editores, autores, suscriptores: utilicen estos roles con prudencia. Se trata de dar el acceso suficiente para realizar el trabajo, y ni un poquito más. La seguridad es lo primero, amigo mío.

¿Cómo puedo proteger mi página de inicio de sesión de WordPress?

Ahora, la página de inicio de sesión es como la puerta de entrada a su casa de WordPress. Quieres un fuerte control sobre eso. La autenticación de dos factores es un buen comienzo. Es como tener un doble candado.

Oculte su página de inicio de sesión, cambie el nombre de usuario de administrador predeterminado y limite los intentos de inicio de sesión. Haz que sea lo más difícil posible para los malos entrar. Tienes que ser más astuto que ellos en todo momento.

¿Cuál es la mejor manera de monitorear la seguridad de WordPress?

Estar atento a las cosas es crucial. No dejarías la puerta de entrada abierta y solo esperarías lo mejor, ¿verdad? Herramientas de monitoreo de seguridad, son como sus propias cámaras de seguridad personales.

Analizan en busca de malware, monitorean cualquier actividad sospechosa y están disponibles las 24 horas, los 7 días de la semana. Recibirás alertas en el momento en que suceda algo sospechoso.

Se trata de ir un paso por delante y cortar cualquier problema de raíz.

¿Cómo sé si mi sitio de WordPress ha sido pirateado?

Muy bien, entonces este es complicado. A veces es muy obvio: su sitio está desfigurado o está redireccionando a lugares sospechosos.

Pero a veces es más como una alarma silenciosa. Enlaces extraños que aparecen, problemas de rendimiento, cuentas de usuario extrañas: estas son sus señales de alerta.

Esté atento también a su Google Search Console; Te avisará si huele algo a pescado. Y recuerde, los análisis periódicos con sus complementos de seguridad son su mejor opción.

¿Cuáles son las vulnerabilidades de seguridad comunes de WordPress?

Tienes tus clásicos, como la inyección SQL, donde los malos alteran tu base de datos mediante código poco fiable.

Luego están los scripts entre sitios (XSS), que les permiten ejecutar scripts maliciosos en los navegadores de sus visitantes. Y no olvide los ataques de fuerza bruta, básicamente golpear la puerta de acceso hasta que se rompa.

Pero bueno, aquí no estás impotente. Contraseñas seguras, actualizaciones periódicas y un buen firewall, y estarás dando una pelea sólida. Manténgase alerta, manténgase actualizado y lo tendrá.

Poner fin a los pensamientos sobre la seguridad de WordPress

Estos consejos de seguridad de WordPress te ayudarán a asegurarte de que todo el trabajo que has realizado en tu sitio no se pierda en un hack. Animará a la gente a visitarlo y ver lo que tiene para ofrecer.

Si disfrutó leyendo este artículo sobre la seguridad de WordPress, debería consultar este sobre el complemento SSL de WordPress.

También escribimos sobre algunos temas relacionados, como complementos de análisis de malware y sales de WordPress.