Cómo hacer una auditoría de seguridad de WordPress - 8 sencillos pasos - MalCare

Érase una vez que se sentó y realizó una auditoría completa de seguridad de WordPress en su sitio. No era algo que te gustara, pero lo hiciste para mantener a raya a los malvados piratas informáticos.

• Continuó e instaló un complemento de seguridad de WordPress en su sitio web porque los gurús lo dijeron.
• Actualizaste todos tus complementos y temas de WordPress porque sabes exactamente lo que sucede si no lo haces.
• Leíste sobre las medidas de fortalecimiento del sitio web e implementaste las que duran.

En resumen: estaba 100% seguro de que su sitio web está seguro y protegido de los piratas informáticos.

Y luego, unos meses más tarde, te despertaste esperando que las cosas siguieran como siempre...

Solo para descubrir que su sitio web ha sido pirateado.

Podría ser absolutamente cualquier cosa. Puede ser una redirección maliciosa a otro sitio. O puede descubrir que su sitio web tiene ventanas emergentes que intentan vender algo que no tiene absolutamente nada que ver con su negocio.

Ahí es cuando te das cuenta de que no has podido asegurar tu sitio web.

Este es un escenario al que se enfrentan la mayoría de los propietarios de sitios de WordPress. Y si esto es a lo que te enfrentas, llegaste al artículo correcto.

Aquí está la cosa: su único error fue que asumió que la auditoría de seguridad de WordPress era una actividad única. Cuando marcó todas las casillas de la lista, pensó que todo estaba hecho y desempolvado.

La verdad es que la seguridad de su sitio web es como la publicidad: es una actividad continua. No dejarías de publicitar tu negocio, ¿verdad?

Las herramientas de seguridad del sitio web y las medidas preventivas avanzan constantemente, pero los piratas informáticos no se van a quedar sentados y dejar que usted tome el control de su negocio. Es tu negocio y tendrás que luchar por él todos los días.

Una auditoría de seguridad de WordPress es la forma más sencilla de averiguar qué funciona y qué no. ¿Tus medidas de seguridad están obsoletas?

Sin auditorías de seguridad de WordPress cada 3 meses, las posibilidades de que un pirata informático ingrese a su sitio web y dañe su negocio son mucho mayores.

Pero no se preocupe, todo esto se puede evitar asegurándose de que sus medidas de seguridad estén actualizadas. Hoy, le mostraremos los pasos para ejecutar una auditoría de seguridad de WordPress exitosa en su sitio web.

TL; DR: Para asegurar completamente su sitio de WordPress, recomendamos usar un complemento de seguridad. Instale MalCare para escanear y monitorear su sitio regularmente. También bloqueará los intentos de pirateo en su sitio. Y sí, también realiza automáticamente una auditoría de seguridad de WordPress todos los días.

¿Qué es una auditoría de seguridad de WordPress?

Tarde o temprano, la mayoría de los sitios web de WordPress tienen problemas de seguridad. Por ejemplo, los complementos y los temas pueden desarrollar vulnerabilidades que los piratas informáticos podrían explotar para ingresar a su sitio web.

Una vez que obtienen acceso a su sitio, pueden desviar su tráfico, mostrar contenido y anuncios ilegales, defraudar a sus clientes y robar datos personales, entre una larga lista de actos maliciosos.

Una auditoría de seguridad de WordPress puede ayudar a identificar estos problemas rápidamente para que pueda tomar medidas para cerrar cualquier brecha de seguridad en su sitio. Cuando ejecuta una auditoría de seguridad, verificará las medidas de seguridad existentes en su sitio web. Y luego identifique qué más medidas de seguridad puede implementar en su sitio web para garantizar que esté protegido.

Una auditoría de seguridad completa puede implicar varios pasos y puede convertirse en un desastre si no cuenta con un proceso y una lista de verificación.

Ahora, es muy probable que ya hayas realizado una auditoría de seguridad de WordPress antes. El objetivo de este artículo es ayudarlo a configurar un proceso que pueda repetir al final de cada 3 meses. Idealmente, una auditoría de seguridad de WordPress debería realizarse diariamente. Pero para estar seguro y seguir siendo razonable, recomendamos hacer esto todos los meses.

Hoy, lo guiaremos a través de nuestra Guía de auditoría de seguridad de WordPress paso a paso. Esta pista de auditoría le permitirá realizar una auditoría completa e integral de su sitio web.

Cómo ejecutar una auditoría de seguridad exitosa

En esta auditoría, revisaremos minuciosamente la seguridad de su sitio web. Vamos a empezar.

1. Evalúe su complemento de seguridad
2. Pruebe su solución de copia de seguridad de WordPress
3. Examine su configuración de administrador actual
4. Eliminar complementos no utilizados instalados y activos
5. Eliminar temas adicionales de WordPress instalados
6. Evalúe su proveedor y plan de alojamiento actual
7. Verifique los usuarios que tienen acceso FTP
8. Verifique sus medidas de endurecimiento de WordPress

1. Evalúe su complemento de seguridad

El complemento de seguridad de su sitio web es su primer punto de control. Si aún no está utilizando un complemento de seguridad, considere activar uno en su sitio de inmediato. Un complemento de seguridad protege los sitios web de WordPress de piratas informáticos y bots. Hay un montón de opciones para elegir. Pero no todos son efectivos, por lo que debe elegir el complemento de seguridad adecuado. Aquí hay una lista de funciones que su complemento de seguridad DEBE ofrecer:

1. Escaneo de malware : los piratas informáticos siempre están buscando complementos vulnerables. Recomendamos encarecidamente utilizar un complemento que ejecute un análisis diario de su sitio web. Debe realizar un análisis profundo que verifique todos los archivos y carpetas de su sitio web, incluida su base de datos.

2. Escaneo externo: el proceso de escaneo requiere una gran cantidad de recursos del servidor para ejecutarse. Si el complemento usa su propio servidor, el escaneo puede sobrecargar su sitio y hacer que se ralentice. Busque un complemento que use sus propios servidores para escanear su sitio.

3. Cortafuegos : necesita un cortafuegos en su sitio web que bloquee de manera proactiva a los piratas informáticos y los bots maliciosos y las direcciones IP que intentan ingresar a su sitio. Para configurar un firewall, necesita experiencia técnica. Sin embargo, puede encontrar complementos de seguridad que lo instalan y activan por usted.

4. Protección de inicio de sesión: los piratas informáticos a menudo atacan su página de inicio de sesión y prueban diferentes combinaciones de nombres de usuario y contraseñas para ingresar a su sitio web (lo que se conoce como ataque de fuerza bruta). El complemento de seguridad debería poder bloquear tales ataques.

5. Alertas en tiempo real: si hay actividad sospechosa en su sitio, el complemento debería detectarlo y alertarlo de inmediato. Esto le permite tomar medidas rápidas.

6. Limpiezas de malware: un buen complemento de seguridad le permitirá limpiar su sitio web rápidamente. Debería poder limpiar su sitio web por completo.

7. Registro de actividad: un registro de auditoría de seguridad de WordPress rastrea la actividad del usuario en su sitio, como quién inició sesión, los detalles de los intentos de inicio de sesión que fallaron, qué hicieron los usuarios de WordPress en el sitio web. Un registro de actividad es útil cuando desea averiguar cómo se pirateó su sitio o qué cambios se realizaron para que no funcione correctamente.

Si cree que su solución de seguridad no es efectiva, puede elegir entre los principales complementos de seguridad disponibles.

Recomendamos usar MalCare ya que cubre todas estas características. Tiene uno de los mejores escáneres de malware que puede detectar cualquier tipo de malware. ¡Y además, puede limpiar cualquier infección de malware en menos de unos minutos!

2. Pruebe su solución de copia de seguridad de WordPress

Tener una copia de seguridad de su sitio de WordPress puede ser útil si algo sale mal. Puede restaurar fácilmente su copia de seguridad y hacer que su sitio vuelva a la normalidad.

Pero, ¿qué sucede si falla la copia de seguridad? ¿Qué pasa si no puedes restaurarlo?

Es por eso que necesita probar su copia de seguridad. Si está utilizando una copia de seguridad del host, algunos de ellos no ofrecen opciones de prueba. Esto es lo que recomendamos para probar su copia de seguridad:

Instale el complemento de copia de seguridad de BlogVault en su sitio de WordPress. Automáticamente tomará una copia de seguridad completa de su sitio.

Tenga en cuenta que la primera copia de seguridad puede tardar un tiempo, ya que copiará todo el sitio web en sus propios servidores. Las copias de seguridad posteriores son mucho más rápidas ya que utiliza tecnología incremental en la que solo realiza una copia de seguridad de los cambios realizados.

Una vez completada la copia de seguridad, desde el panel de control de BlogVault, acceda a la opción 'Restaurar prueba'.

Una vez hecho esto, le avisará que su restauración fue exitosa.

3. Examine su configuración de administrador actual

WordPress permite que varias personas colaboren y contribuyan al desarrollo y mantenimiento de WordPress. Pero no todos los usuarios de WordPress necesitan acceso completo al sitio. Por ejemplo, un escritor solo necesitaría acceso para escribir y publicar contenido. No necesitan tener acceso para realizar otros cambios, como instalar complementos o cambiar el tema.

Para evitar que todos los usuarios de su sitio tengan acceso completo, WordPress tiene seis roles de usuario diferentes que puede asignar: superadministrador, administrador, editor, autor, colaborador y suscriptor. Cada rol tiene diferentes niveles de permisos.

Mientras realiza su auditoría de seguridad de WordPress, lo primero que debe analizar son los usuarios que ha agregado a su sitio de WordPress.

• Compruebe cuántos de estos usuarios tienen acceso de administrador.
• Determine cuántos realmente necesitan acceso de administrador.
• Restrinja el acceso y otorgue permisos más bajos cambiando los roles de usuario para aquellos que no necesitan ser administradores.
• Asegúrese de que puede reconocer a todos los usuarios en su tablero. Elimine cualquier usuario que no reconozca, ya que podrían ser cuentas de usuario no autorizadas creadas por piratas informáticos.

Luego, asegúrese de que cualquier persona que sea administrador en su sitio web no esté usando el nombre de usuario 'admin' . Este es el nombre de usuario más común que usan los administradores de WordPress para sus cuentas. Los piratas informáticos son muy conscientes de esto e intentan usar el nombre para obtener acceso a su sitio.

Para cambiar el nombre de 'admin' a algo más exclusivo, primero deberá crear una nueva cuenta de usuario para esa persona. Puede asignar todo el contenido al nuevo usuario de WordPress que creó. A continuación, puede eliminar la antigua cuenta de 'administrador'.

4. Eliminar complementos no utilizados instalados y activos

Trabajando con WordPress durante más de una década, hemos visto muchos casos de sitios web de WordPress que han sido pirateados debido a complementos vulnerables.

Los complementos para WordPress son creados por desarrolladores externos que los mantienen y actualizan. Sin embargo, como cualquier software, con el tiempo aparecen vulnerabilidades. Los desarrolladores suelen ser rápidos para corregirlos y lanzar una actualización. Esta actualización contendrá un parche de seguridad que eliminará la vulnerabilidad de su sitio.

Si retrasa la actualización, su sitio seguirá siendo vulnerable.

• Durante su auditoría, verifique la lista de complementos que ha instalado. Muchos de nosotros, propietarios de sitios web, tendemos a probar nuevos temas y complementos. No usamos la mayoría de ellos, pero olvidamos que todavía están instalados en nuestro sitio. Elimina los plugins que no uses. Esto eliminará elementos innecesarios de su sitio y reducirá las posibilidades de que los piratas informáticos entren en su sitio.
• Asegúrese de reconocer todos los complementos instalados. Si usted o su equipo no reconocen ningún complemento, le recomendamos que lo elimine. Esto se debe a que cuando los piratas informáticos ingresan a su sitio, a veces instalan sus propios complementos. Estos complementos contienen puertas traseras que les dan acceso secreto a su sitio.
• Si ha instalado alguna versión pirateada o anulada de los complementos, elimínelos de inmediato. Dicho software a menudo contiene malware que infecta su sitio cuando lo instala. Los piratas informáticos utilizan software pirateado para distribuir su malware.

Ahora que solo tiene los complementos que usa, asegúrese de actualizarlos cuando los desarrolladores publiquen actualizaciones.

5. Eliminar temas adicionales de WordPress instalados

Como propietarios de sitios web, tendemos a instalar diferentes temas para encontrar uno que nos guste. Sin embargo, muchas veces nos olvidamos de borrar los que no necesitamos. Al igual que los complementos, los temas también pueden desarrollar vulnerabilidades.

Recomendamos eliminar todos los demás temas y mantener solo el tema que está utilizando. Asegúrese de usar la última versión disponible de su tema activo.

6. Evalúe su proveedor y plan de alojamiento actual

Gracias al alojamiento compartido, más personas pueden crear sitios web sin una gran inversión. Los planes de alojamiento compartido son más baratos y están diseñados para sitios pequeños de WordPress.

Es posible que haya optado por un plan de alojamiento compartido cuando comenzó, pero a medida que crece, debe evaluar si necesita actualizar.

Los planes de alojamiento compartido significan que comparte un servidor con otros sitios web. No tienes control sobre lo que hacen los otros sitios web que comparten tu servidor. Si su sitio es pirateado, puede consumir demasiados recursos del servidor. Esto ralentizará su sitio web y reducirá su rendimiento. También existe una pequeña posibilidad de que cualquier infección de malware se propague a sitios que comparten el mismo servidor. Por lo tanto, si puede pagar una actualización, le recomendamos que cambie a un servidor dedicado.

Si no está satisfecho con el servicio de su host actual, puede comparar diferentes hosts y ver si desea migrar su sitio web a uno mejor.

7. Verifique los usuarios que tienen acceso FTP

Un FTP es un protocolo de transferencia de archivos que le permite conectar su computadora local al servidor de su sitio web. Puede acceder a los archivos y carpetas de su sitio web y realizar cambios.

Dado que puede agregar, modificar y eliminar archivos de su sitio de WordPress, el acceso a FTP debe otorgarse solo a aquellos en quienes confía y que absolutamente necesitan acceso.

Recomendamos verificar la lista de usuarios de FTP y restablecer sus contraseñas de FTP, si es necesario. Para hacer esto, debe acceder a su cuenta de alojamiento de WordPress> cPanel> Cuentas FTP.

Aquí verá una lista de todas las cuentas FTP creadas para su sitio web. Puede eliminar los que no necesitan acceso.

8. Comprueba tus medidas de endurecimiento de WordPress

WordPress recomienda ciertas medidas de refuerzo que hacen que su sitio web sea más seguro. Éstas incluyen:

1. Deshabilitar el editor de archivos en complementos y temas
2. Deshabilitar la instalación del complemento
3. Restablecimiento de claves y salts de WordPress
4. Hacer cumplir contraseñas seguras
5. Limitar los intentos de inicio de sesión de WordPress
6. Implementación de la autenticación de dos factores

Si necesita más orientación, le recomendamos leer nuestra Guía completa para el endurecimiento de WordPress .

Durante su auditoría de seguridad de WordPress, le recomendamos verificar que estas medidas estén implementadas. Por ejemplo, si está utilizando un complemento para limitar los intentos de inicio de sesión o la autenticación de 2 factores, asegúrese de que el complemento aún funcione y esté actualizado. Compruebe si hay mejores opciones disponibles.

Muchas de las medidas de endurecimiento requieren experiencia técnica para su implementación. Sin embargo, si está utilizando el complemento de seguridad de MalCare, puede implementar medidas de refuerzo de WordPress con unos pocos clics.

Estas son ocho tareas muy importantes para llevar a cabo con regularidad. Recomendamos hacer una auditoría cada dos años o al menos una vez al año. Para resumir lo que cubrimos, aquí hay una lista de verificación que puede seguir:

Lista de verificación para la auditoría de seguridad de WordPress

1. Complemento de seguridad: evalúe su complemento de seguridad. Recomendamos usar MalCare.

2. Copia de seguridad de WordPress: pruebe la copia de seguridad de su sitio web para asegurarse de que se pueda restaurar. Recomendamos utilizar la opción de restauración de prueba de BlogVault.

3. Usuarios administradores: examine su configuración de administrador actual. Asegúrese de haber otorgado privilegios de administrador solo a aquellos que los necesitan. Elimine cualquier usuario inactivo.

4. Complementos: elimine los complementos no utilizados instalados y activos. Mantenga solo los complementos que realmente usa y asegúrese de que se actualicen regularmente.

5. Temas: elimina los temas adicionales de WordPress instalados. Mantenga solo el tema activo en su sitio y asegúrese de usar la última versión disponible.

6. Alojamiento web: evalúe su proveedor y plan de alojamiento actual. Recomendamos utilizar servidores web de confianza y un plan de servidor dedicado.

7. FTP: verifique los usuarios que tienen acceso FTP. Otorga acceso solo a aquellos que lo necesitan.

8. Endurecimiento: asegúrese de que sus medidas de endurecimiento de WordPress estén intactas y actualizadas.

Pensamientos finales

Esperamos que este artículo lo haya ayudado a crear un proceso repetible para una auditoría de seguridad de WordPress. Si puede seguir ejecutando este proceso de forma regular, le garantizamos que puede evitar que los piratas eludan la seguridad de su sitio.

Sí, una auditoría de seguridad completa de WordPress es un proceso largo y tedioso. Pero la verdad del asunto es que puede ayudar a proteger su negocio durante mucho tiempo.

Y si cree que una auditoría de seguridad de WordPress es demasiado tediosa, puede automatizar el proceso instalando el complemento MalCare. A diferencia de la mayoría de los complementos de seguridad de sitios web, MalCare ofrece un conjunto completo de herramientas de seguridad que pueden hacer mucho más que una auditoría de seguridad de WordPress.

MalCare automatiza muchas actividades de seguridad tediosas y manuales, como el escaneo y la eliminación de malware, las copias de seguridad periódicas del sitio, la instalación de firewalls y protección contra bots, y el fortalecimiento de WordPress.

Puede hacer todo esto con solo unos pocos clics en un panel de control de última generación y fácil de usar.

¡Asegure su sitio de WordPress con MalCare !