Auditoría de seguridad de WordPress: 7 pasos simples para proteger su sitio
Publicado: 2020-07-06Su sitio web corre más riesgo de lo que piensa. ¡No te preocupes! No estás solo en esta carrera. La mayoría de la gente cree que su sitio web es seguro cuando en realidad no lo es.
No es de extrañar, su sitio web de WordPress puede ser pirateado por algunos de sus errores comunes. Esto incluso puede suceder por no actualizar a una versión más nueva de WordPress y perder una característica de seguridad crucial.
Más del 70% de las instalaciones de WordPress son vulnerables a los ataques de piratas informáticos.
– Seguridad blanca de WP
Sin embargo, existen formas efectivas de abordar el riesgo de seguridad inminente que se cierne sobre su sitio web todo el tiempo. Al igual que la amenaza siempre presente, deberá monitorear su sitio web realizando auditorías de seguridad periódicas. Puede salvarlo de muchas amenazas potenciales que van desde una violación de datos hasta incluso ransomware.
En este artículo, demostraremos algunas formas sencillas de mantener su sitio a salvo de piratas informáticos o cualquier instancia no deseada.
Tabla de contenidos
- ¿Qué es la auditoría de seguridad de WordPress?
- ¿Por qué es importante la auditoría de seguridad regular para su sitio web?
- Realizar una auditoría de seguridad de WordPress
- Realización manual de una auditoría de seguridad de WordPress
- Compruebe si hay actualizaciones
- Mantenga y verifique las copias de seguridad de WordPress
- Evaluar la vulnerabilidad de la cuenta de administrador
- Consultar usuarios y cuentas
- Eliminar complementos innecesarios
- Desinstalar temas no utilizados
- Ejecutar un escaneo de seguridad
- Realizar una auditoría de seguridad de WordPress usando complementos
- Registro de actividad de WP
- Seguridad de Wordfence
- Realización manual de una auditoría de seguridad de WordPress
¿Qué es la auditoría de seguridad de WordPress?
Su sitio web puede verse amenazado por numerosas razones. Por ejemplo, un hacker puede explotar un complemento o tema desactualizado. O uno de los administradores de su sitio web podría haber establecido una contraseña débil que un extraño puede violar. Es por eso que necesita tener una lista de verificación para verificar todas las vulnerabilidades de seguridad que pueda tener su precioso sitio web de WordPress.
En resumen, la auditoría de seguridad de WordPress es la operación para inspeccionar su sitio web de forma regular en busca de cualquier tipo de actividad maliciosa o riesgos de seguridad.
¿Por qué es importante la auditoría de seguridad regular para su sitio web?
La gente a menudo no se toma en serio la seguridad del sitio web. La mayoría de los propietarios de sitios web creen que WordPress es lo suficientemente capaz de cuidar la seguridad de todos los sitios web creados en su plataforma. Otros parecen pensar que su sitio web no tiene nada especial en particular por lo que valga la pena piratear, entonces, ¿quién piratearía su sitio web?
Pero los piratas informáticos no siempre piratean un sitio web para obtener sus datos. Cuando su sitio web es pirateado, los piratas informáticos pueden usarlo para muchas actividades maliciosas, como:
- Criptomoneda minera
- Alojamiento de páginas de phishing
- Envío de correos electrónicos no deseados
- Para ejecutar sus propios programas a través de su sitio web
- Pedir rescate, también conocido como ransomware
- Redirija su tráfico a sitios web que pueden poner en peligro su seguridad
Entonces, si cree que su sitio web es seguro porque no tiene datos confidenciales, ¡piénselo dos veces!
Además, aunque WordPress en sí mismo es una plataforma muy segura, no puede proteger su sitio web a menos que sus usuarios cooperen con ellos. Según WordPress, solo el 41% de sus usuarios utilizan la última versión de su plataforma. Como la versión más nueva viene con actualizaciones de seguridad junto con otras funciones, las versiones anteriores son más propensas a las infracciones de seguridad.
Teniendo en cuenta todos los hechos anteriores, está claro que la seguridad de su sitio web no es inquebrantable a menos que realice una auditoría del sitio de WordPress de forma regular.
Cómo realizar una auditoría de seguridad de WordPress (7 sencillos pasos para una auditoría manual)
Su sitio web puede ser violado por muchas razones, por lo tanto, no puede dejar ninguna piedra sin remover mientras realiza una auditoría de seguridad. Mientras realiza la auditoría de seguridad, mantenga siempre una lista de verificación de rutina para asegurarse de que se cubran todas las lagunas potenciales. Para su comodidad, he hecho una lista de cosas que debe verificar al realizar una auditoría de seguridad.
Puede realizar la operación manualmente o utilizando un complemento de auditoría de WordPress. Primero le mostraré la forma manual y luego hablaré sobre algunos de los complementos que puede usar como alternativa para realizar auditorías de seguridad automáticamente.
Si no desea utilizar un complemento, ya que muchos de ellos parecen disminuir la velocidad de su página, puede realizar auditorías de seguridad manuales en su sitio web de WordPress. Simplemente siga los pasos a continuación para asegurarse de que su sitio web esté en el camino correcto.
1. Busque las últimas actualizaciones
Mantener su sitio actualizado es una de las mejores maneras de mantenerlo protegido. Puede pensar que las actualizaciones de WordPress tienen que ver con nuevas funciones, y es posible que algunas de ellas no le gusten. Pero independientemente de eso, debe verificar e instalar actualizaciones mientras realiza auditorías de seguridad en su sitio.
La razón detrás de mantener actualizada su versión de WordPress es que la versión más nueva siempre viene con nuevos parches de seguridad. El equipo de seguridad de WordPress trabaja en colaboración con los principales expertos en seguridad de todo el mundo para mantener la plataforma sana y salva.
Puede verificar la actualización de WordPress desde WP Admin Dashboard> Dashboard> Updates
Junto con la actualización de WordPress, también debe verificar si se debe alguna actualización para sus complementos y temas. Recuerde, los piratas informáticos también pueden explotar cualquier laguna en sus complementos o temas para ingresar a su sitio. Por lo tanto, le sugiero que verifique y actualice todos los complementos y temas regularmente. Puede encontrar la opción de actualización de complementos y temas en la misma página que las actualizaciones de WordPress.
2. Mantenga y verifique las copias de seguridad de WordPress
Hacer una copia de seguridad de su sitio web de forma regular puede ser útil en caso de que su sitio web sea pirateado o pierda datos debido a un malware.
Los proveedores de alojamiento de calidad a menudo brindan un servicio de copia de seguridad automática. Pero incluso si su proveedor de alojamiento proporciona un servicio de copia de seguridad automática, debe instalar un complemento de copia de seguridad de calidad para WordPress para garantizar una copia de seguridad regular de su sitio web y todos sus datos.
Después de instalar un complemento de copia de seguridad, durante cada auditoría de seguridad, compruebe si las copias de seguridad se ejecutan de forma rutinaria.
3. Evaluar la vulnerabilidad de la cuenta de administrador
12345, 123456, 123456789, estas tres fueron las contraseñas más populares en 2019. Una lista compilada por NordPass de 500 millones de contraseñas filtradas en línea clasificó todas las contraseñas populares y las 10 principales se encuentran en la imagen a continuación.
Si uno de sus administradores establece una contraseña así, es probable que su sitio web vea una infracción muy pronto. Elija una contraseña segura, preferiblemente una sugerida por WordPress. Si eres alguien que tiende a olvidar las cosas, hay muchas aplicaciones de administrador de contraseñas para almacenar tus contraseñas.
Otra cosa importante que debe asegurarse durante su auditoría de seguridad es que ningún administrador haya establecido el nombre de usuario admin . Es el nombre de usuario más común en WordPress y ciertamente no debería usarse.
4. Comprobar usuarios y cuentas
Si tiene un foro o un sitio web de comercio electrónico que necesita que los usuarios se registren, debe verificar si hay algún usuario sospechoso durante las auditorías de seguridad. Puede encontrar la lista de todos los usuarios desde Panel de administración de WP > Usuarios > Todos los usuarios
Pero si tiene otros tipos de sitios web y no necesita que los visitantes se registren, le sugiero que desactive la opción Cualquiera puede registrarse desde el Panel de administración de WP> General> Cualquiera puede registrarse
5. Eliminar complementos innecesarios
La instalación de muchos complementos en un sitio web no solo ocupa espacio, sino que también representa una amenaza para la seguridad. Es mejor desinstalar complementos cuando ya no los necesite.
Los complementos antiguos a menudo abren vulnerabilidades de seguridad en su sitio web. Es mejor eliminarlos por completo en lugar de simplemente desactivarlos.
6. Desinstalar temas no utilizados
Al instalar WordPress, empaquetan un tema predeterminado para iniciar el sitio. Pero después de eso, todos cambiamos nuestro tema a nuestro gusto. A veces mantenemos instalados varios temas de WordPress que nunca usamos. Al igual que los complementos antiguos, estos temas antiguos pueden causar problemas más adelante. Solo para fines de copia de seguridad, generalmente mantengo solo un tema además del tema que uso.
7. Ejecute un análisis de seguridad
Ya casi hemos terminado. Es hora de hacer una verificación final de malware con un complemento de seguridad. Hay muchos complementos de seguridad para WordPress que lo ayudarán en este sentido.
Después de instalar un complemento de seguridad en su sitio web. Ejecute un análisis completo y vea si hay malware en su sitio web. Elija un complemento que también pueda manejar los intentos de inicio de sesión de fuerza bruta para evitar ataques en vivo en su sitio web.
Cómo realizar una auditoría de seguridad de WordPress usando complementos
Si no desea realizar todas las tareas manualmente, hay otra forma de realizar su auditoría de seguridad esencial de WordPress. Hay algunos complementos de seguridad muy buenos disponibles para los sitios web de WordPress que pueden realizar automáticamente todas las tareas mencionadas anteriormente.
Registro de actividad de WP
El registro de actividad de WP es uno de los complementos más populares para realizar auditorías de seguridad en su sitio web. Supervisa cada cambio realizado en su sitio web y advierte sobre cualquier actividad sospechosa.
Puede verificar el número de usuarios registrados, su actividad y también sus direcciones IP. Puede limitar la cantidad de intentos de inicio de sesión y también solucionar cualquier problema en su sitio web. En general, este es un complemento confiable para transferir sus responsabilidades.
Seguridad de Wordfence
Wordfence Security es el complemento de seguridad más descargado de todos los tiempos para WordPress. Tiene una variedad de funciones de seguridad que seguramente mantendrán protegido su sitio web.
Wordfence Security tiene un escáner de malware en tiempo real. Puede verificar archivos centrales, temas y complementos en busca de malware, URL incorrectas, puertas traseras, spam de SEO, redireccionamientos maliciosos e inyecciones de código.
También puede monitorear el tráfico en vivo con este complemento junto con algunas otras funciones útiles.
Terminando
WordPress es una de las plataformas más seguras para construir su sitio web. Si está atento a las lagunas de seguridad comunes, será imposible piratear su sitio. Al realizar auditorías de seguridad periódicas, puede realizar fácilmente un seguimiento de todas las vulnerabilidades de seguridad que pueda tener su sitio web.
Si está decidido sobre la seguridad de su sitio web y quiere saber más, aquí hay otro blog para saber las cosas que funcionan para la seguridad de WordPress.
Si tiene alguna pregunta con respecto a este blog, comente a continuación. Estaremos encantados de responder a cualquiera de sus consultas.