Seguridad de WordPress: las mejores formas de proteger el sitio web de WordPress en 2022
Publicado: 2022-03-09La seguridad de WordPress es una gran preocupación para todos los propietarios de sitios web. Todos los días, Google incluye en la lista negra más de 10 000 sitios web por malware, y cada semana, incluye 50 000 en la lista negra por phishing.
Si te preocupa la seguridad de tu sitio web, debes seguir las mejores prácticas de seguridad de WordPress.
En esta publicación, repasaremos las mejores formas de seguridad de WordPress para ayudarlo a proteger su sitio web de piratas informáticos y malware.
Si bien el software principal de WordPress es bastante seguro y cientos de desarrolladores lo auditan regularmente, aún hay muchas cosas que puede hacer para mantener su sitio seguro.
Puede hacer varias cosas como propietario de un sitio web para mejorar la seguridad de WordPress.
Hay un par de pasos prácticos que puede tomar para proteger su sitio web de WordPress contra las vulnerabilidades de seguridad.
Empecemos.
¿Por qué es importante la seguridad del sitio web de WordPress?
Un sitio web de WordPress pirateado puede dañar significativamente las ganancias y la reputación de su negocio. Los piratas informáticos pueden robar contraseñas de información de usuario, instalar software dañino e incluso infectar a sus usuarios con malware.
Peor aún, puede verse obligado a pagar ransomware a los piratas informáticos para recuperar el acceso a su sitio web.
Google anunció en marzo de 2016 que más de 50 millones de visitantes de Internet habían sido notificados de que un sitio web que visitaban podría contener malware o robar información.
Además, cada día, Google incluye en la lista negra más de 10 000 sitios web por malware y aproximadamente 50 000 sitios web por phishing.
Si está ejecutando un sitio web comercial, querrá prestar especial atención a la seguridad de WordPress.
Problemas de seguridad más comunes de WordPress
Las vulnerabilidades de seguridad de WordPress más comunes ocurren antes o poco después de que su sitio sea pirateado. Un pirata informático tiene como objetivo obtener acceso de administrador no autorizado a su sitio de WordPress, ya sea a través de la interfaz (su tablero de WordPress) o desde el lado del servidor (insertando scripts o archivos maliciosos).
Los siguientes son los cinco principales problemas de seguridad de WordPress que debe tener en cuenta:
1. Ataques de fuerza bruta
Los ataques de fuerza bruta de WordPress se refieren al proceso de ingresar repetidamente diferentes combinaciones de nombre de usuario y contraseña hasta que se encuentra una combinación exitosa. El enfoque de ataque de fuerza bruta aprovecha la forma más fácil de acceder a su sitio web: su página de inicio de sesión de WordPress.
WordPress no limita los intentos de inicio de sesión de forma predeterminada. Por lo tanto, los bots pueden usar el método de ataque de fuerza bruta para asaltar su página de inicio de sesión de WordPress. Incluso si un ataque de fuerza bruta falla, aún puede causar estragos en su servidor al sobrecargar su sistema y ralentizar su sitio web.
2. Secuencias de comandos entre sitios (XSS)
Los ataques de secuencias de comandos entre sitios (XSS) representan el 54,4 % de todas las vulnerabilidades de seguridad de WordPress reveladas en 2021. La vulnerabilidad más común descubierta en los complementos de WordPress es la secuencia de comandos entre sitios.
El método básico de las secuencias de comandos entre sitios es el siguiente: un atacante encuentra una manera de convencer a una víctima para que cargue secuencias de comandos javascript vulnerables en sus páginas web. Estos scripts se cargan sin el conocimiento del visitante y luego se explotan para robar información de sus navegadores. Un formulario secuestrado que parece estar en su sitio web es un ejemplo de un ataque de secuencias de comandos entre sitios. Si un usuario completa el formulario, XSS tomará su información.
3. Exploits de inclusión de archivos
Después de los ataques de fuerza bruta, la vulnerabilidad de seguridad más común explotada por los atacantes son las debilidades en el código PHP de su sitio web de WordPress.
Las vulnerabilidades de inclusión de archivos ocurren cuando se utiliza un código vulnerable para cargar archivos externos, lo que permite a los atacantes obtener acceso a su sitio web. Los ataques de inclusión de archivos son una de las formas más populares para que un atacante obtenga acceso al archivo wp-config.php de su sitio web de WordPress, que es uno de los archivos más importantes en su instalación de WordPress.
4. Inyecciones SQL
Se utiliza una base de datos MySQL para ejecutar su sitio web de WordPress. Las inyecciones de SQL ocurren cuando un atacante adquiere acceso a su base de datos de WordPress, así como a todos los datos en su sitio web.
Un atacante puede establecer una nueva cuenta de usuario de nivel de administrador a través de la inyección de SQL, que luego puede usarse para iniciar sesión y obtener el control completo de su sitio web de WordPress. Las inyecciones de SQL también se pueden usar para ingresar nuevos datos, como enlaces a sitios web maliciosos o de spam, en su base de datos.
5. Malware
El malware es un código utilizado para obtener acceso no autorizado a un sitio web para recopilar información confidencial. Un sitio de WordPress pirateado generalmente indica que se ha colocado malware en los archivos de su sitio web; por lo tanto, verifique los archivos modificados recientemente si sospecha que hay malware en su sitio.
Aunque existen diferentes tipos de ataques de malware en Internet, WordPress no es vulnerable a todos ellos. Las siguientes son las cuatro infecciones de malware de WordPress más comunes:
- puertas traseras
- Descargas no autorizadas
- Trucos farmacéuticos
- Redirecciones maliciosas
Cada una de estas formas de malware puede identificarse y eliminarse fácilmente desinstalando el archivo malicioso manualmente, instalando una nueva versión de WordPress o restaurando su sitio de WordPress desde una copia de seguridad anterior no infectada.
Guía de seguridad de WordPress 2022
Implementar solo una o dos medidas de seguridad de WordPress no será suficiente para garantizar la seguridad de su sitio web de WordPress. Estas son algunas de las mejores formas de proteger los sitios web de WordPress en 2022.
1. Actualice la versión de WordPress regularmente
WordPress proporciona actualizaciones de software de forma regular para mejorar la velocidad y la seguridad. Estas actualizaciones también ayudan a mantener su sitio a salvo de ataques cibernéticos.
Uno de los métodos más simples para aumentar la seguridad de WordPress es actualizar su versión de WordPress. Sin embargo, más de la mitad de todos los sitios de WordPress utilizan una versión anterior del software, lo que los hace más vulnerables.
Para ver si tiene la versión más reciente de WordPress, vaya a Panel -> Actualizaciones en el panel de menú izquierdo de su área de administración de WordPress. Si muestra que su versión está desactualizada, le sugerimos que la actualice lo antes posible.
2. Use una contraseña segura
Uno de los errores más básicos que cometen los usuarios es usar nombres de usuario que son fáciles de adivinar, como "admin", "administrador" o "prueba". Como resultado, su sitio es más vulnerable a los ataques de fuerza bruta. Además, los atacantes usan este método para apuntar a sitios de WordPress con contraseñas débiles.
Como resultado, recomendamos hacer que su nombre de usuario y contraseña sean más complicados y únicos.
Si necesita ayuda para crear una contraseña segura, use herramientas en línea como LastPass y 1Password. Sus servicios de gestión de contraseñas también se pueden utilizar para almacenar contraseñas seguras de forma segura. No tendrás que recordarlos de esta manera.
También es crucial verificar la red antes de iniciar sesión para garantizar la seguridad de su sitio. Si está vinculado por error a un Hotspot Honeypot , una red administrada por piratas informáticos, corre el riesgo de exponer sus datos de inicio de sesión a los operadores.
Incluso las redes públicas, como el WiFi de las bibliotecas escolares , pueden no ser tan seguras como parecen. Los piratas informáticos pueden interceptar su conexión y robar datos que no están cifrados, como las contraseñas de inicio de sesión.
Como resultado, siempre que te conectes a una red pública, te recomendamos usar una VPN . Cifra la conexión, lo que dificulta la interceptación de datos y protege su actividad en línea.
3. Invierta en alojamiento seguro de WordPress
Su servicio de alojamiento de WordPress es el aspecto más importante de la seguridad de su sitio de WordPress. Los excelentes servicios de alojamiento compartido, como Bluehost o Siteground, harán todo lo posible para proteger sus servidores de amenazas comunes.
Así es como un buen proveedor de alojamiento web protege sus sitios web y datos en segundo plano.
- Mantienen un ojo en su red en busca de cualquier actividad sospechosa.
- Todas las buenas empresas de hosting cuentan con sistemas para evitar ataques DDOS a gran escala.
- Para evitar que los piratas informáticos aprovechen una debilidad de seguridad conocida en una versión anterior, mantienen actualizados el software del servidor, las versiones de PHP y el hardware.
- Tienen planes de recuperación ante desastres y accidentes que están listos para implementar, lo que les permite proteger sus datos en caso de un accidente grave.
Cuando elige un plan de alojamiento compartido, compartirá los recursos del servidor con muchas otras personas. Esto aumenta el riesgo de contaminación entre sitios, que ocurre cuando un pirata informático utiliza un sitio cercano para atacar su sitio web.
El uso de un proveedor de alojamiento de WordPress administrado garantiza que su sitio web sea más seguro. Las empresas de alojamiento de WordPress administrado incluyen copias de seguridad automáticas, actualizaciones automáticas de WordPress y más configuraciones de seguridad mejoradas para proteger su sitio web.
4. Haz una copia de seguridad de WordPress regularmente
Las copias de seguridad son su primera línea de seguridad en el caso de un ataque de WordPress.
Las copias de seguridad le permiten recuperar fácilmente su sitio de WordPress si algo sale mal.
Hay muchos complementos de respaldo de WordPress gratuitos y premium disponibles que puede usar. Lo más importante que debe recordar acerca de las copias de seguridad es que debe guardar regularmente copias de seguridad de todo el sitio en un lugar remoto (no en su cuenta de alojamiento).
Recomendamos usar un proveedor de nube como Amazon, Dropbox o nubes privadas como Stash para almacenarlo.
Dependiendo de la frecuencia con la que actualice su sitio web, la configuración ideal podría ser una vez al día o copias de seguridad en tiempo real.
Afortunadamente, los complementos como UpdraftPlus lo simplifican. También es un complemento imprescindible para los sitios web de WordPress. UpdraftPlus es confiable y, lo que es más importante, fácil de usar (no se necesita codificación).
5. Use los complementos de seguridad de WordPress
Los ataques de malware en los sitios de WordPress son bastante comunes. Si no supervisa manualmente el código fuente de su sitio web, es posible que ni siquiera se dé cuenta de que su código está infectado.
Desafortunadamente, necesitará saber cómo codificar para resolver esto. Sin embargo, existe un método mejor y más sencillo. Los complementos de seguridad de WordPress están destinados a detectar y eliminar códigos dañinos y virus de su sitio web.
La mejor parte es que funcionan las 24 horas y no tendrás que hacer nada. Sucuri y Wordfence son dos de los complementos de seguridad de WordPress más populares.
6. Habilite el cortafuegos de aplicaciones web (WAF)
La mejor manera de proteger su sitio y sentirse seguro con la seguridad de WordPress es usar un firewall de aplicaciones web (WAF).
Un firewall de sitio web bloquea todo el tráfico dañino antes de que llegue a su sitio web.
Cortafuegos de sitios web de nivel DNS: estos cortafuegos filtran el tráfico de su sitio web a través de servidores proxy en la nube. Como resultado, solo pueden enviar tráfico genuino a su servidor web.
Firewall de nivel de aplicación: estos complementos de firewall inspeccionan el tráfico una vez que llega a su servidor, pero antes de que se carguen la mayoría de los scripts de WordPress. En términos de minimizar la carga del servidor, esta solución no es tan efectiva como el firewall de nivel DNS.
Para esto, puede usar Sucuri como el mejor firewall de aplicaciones web para WordPress.
La mejor característica del firewall de Sucuri es que incluye una limpieza de malware y una garantía de eliminación de listas negras. Básicamente, si su sitio web es pirateado mientras lo están monitoreando, garantizan que lo arreglarán.
7. Instalar certificado SSL
SSL es un protocolo de transferencia de datos que cifra los datos enviados entre un sitio web y sus visitantes, lo que dificulta que los piratas informáticos roben información confidencial.
Los certificados SSL también mejoran la optimización del motor de búsqueda (SEO) de un sitio web, lo que ayuda a atraer más visitantes.
Los sitios web con un certificado SSL utilizarán HTTPS en lugar de HTTP, lo que facilita su identificación.
Comenzar a usar SSL para todos sus sitios web de WordPress ahora es más fácil que nunca. Muchas empresas de alojamiento ahora ofrecen un certificado SSL gratuito para su sitio web de WordPress.
8. Cambie el nombre de usuario "admin" predeterminado
El nombre de usuario predeterminado en WordPress es admin, y muchos propietarios de sitios web nunca se molestan en cambiarlo.
Como resultado, cuando los piratas inician un ataque contra su sitio web, el primer nombre de usuario que intentarán es admin. Si se conoce ese nombre, todo lo que tienen que hacer ahora es adivinar solo la contraseña.
Como resultado, debe evitar usar ese nombre de usuario para su sitio de WordPress.
9. Limite los intentos de inicio de sesión
WordPress permite a los usuarios intentar un número infinito de veces para iniciar sesión en el sitio. Sin embargo, esta es una buena señal para que los piratas informáticos se abran paso por la fuerza bruta en el sistema probando varias combinaciones de contraseñas hasta que den con la correcta.
Para evitar este tipo de ataques en el sitio web, es fundamental establecer una restricción en los intentos fallidos de inicio de sesión. Limitar los intentos fallidos también puede ayudar a detectar cualquier actividad sospechosa en su sitio web.
La mayoría de los usuarios solo requieren un solo intento o algunos intentos fallidos; por lo tanto, se deben evitar las direcciones IP sospechosas que alcanzan el límite de intentos.
El uso de un complemento es un método para limitar los intentos de inicio de sesión y, por lo tanto, aumentar la seguridad de WordPress. Puede usar el complemento de WordPress Login lockDown para esto.
10. Deshabilitar la edición de archivos
WordPress tiene un editor de código incorporado que le permite cambiar su tema y archivos de complementos directamente desde el área de administración de WordPress. Esta característica puede ser un problema de seguridad en las manos equivocadas, por lo que recomendamos desactivarla.
Puede hacer esto insertando el siguiente código en su archivo wp-config.php . // Disallow file edit define( 'DISALLOW_FILE_EDIT', true );
11. Habilite la autenticación de dos factores
El método de autenticación de dos factores requiere que los usuarios inicien sesión mediante un proceso de autenticación de dos pasos.
El primer paso es ingresar su nombre de usuario y contraseña, y el segundo es autenticarse usando un dispositivo o aplicación diferente.
La mayoría de las principales plataformas en línea, como Google, Facebook y Twitter, le permiten activarlo para sus cuentas. Puede incluir fácilmente la misma función en su sitio de WordPress.
Puede usar Google Authenticator o complementos de WordPress de autenticación de dos factores para esto.
12. Cambiar el prefijo predeterminado de la base de datos de WordPress
La base de datos de WordPress contiene y guarda toda la información necesaria para que su sitio web funcione.
Como resultado, los piratas informáticos suelen utilizar ataques de inyección SQL para atacar la base de datos. Este método inyecta malware en la base de datos, lo que permite a los atacantes eludir la seguridad de WordPress y obtener el contenido de la base de datos.
La inyección SQL se usa en aproximadamente la mitad de todos los ciberataques, lo que la convierte en una de las amenazas más críticas.
Los piratas informáticos realizan este truco porque muchos usuarios no pueden cambiar el prefijo de base de datos predeterminado wp_ . Por eso recomendamos cambiarlo.
13. Deshabilitar la indexación y exploración de directorios
Los piratas informáticos pueden usar la exploración de directorios para ver si tiene algún archivo con vulnerabilidades conocidas y luego explotar estos archivos para obtener acceso.
El usuario también puede utilizar la exploración de directorios para ver sus archivos, copiar imágenes, averiguar la estructura de su directorio y obtener otra información.
Como resultado, se recomienda encarecidamente que deshabilite la indexación y exploración de directorios.
Debe conectarse a su sitio web a través de FTP o el administrador de archivos en cPanel. Luego, en el directorio raíz de tu sitio web, busca el archivo .htaccess .
Luego, en la parte inferior del archivo .htaccess , agregue la siguiente línea:
Options -Indexes
No olvide guardar y cargar el archivo .htaccess nuevamente en su sitio.
14. Deshabilitar XML-RPC
XML-RPC está habilitado de forma predeterminada en WordPress 3.5, ya que ayuda en la conexión de su sitio de WordPress con aplicaciones web y móviles.
Debido a su poderosa naturaleza, XML-RPC puede aumentar en gran medida los ataques de fuerza bruta.
Por ejemplo, si un pirata informático quisiera probar 100 contraseñas diferentes en su sitio web, tendría que hacer 100 intentos de inicio de sesión distintos, que el complemento de bloqueo de inicio de sesión detectaría y rechazaría.
Sin embargo, con XML-RPC, un pirata informático puede usar la función system.multicall para probar miles de contraseñas diferentes con solo 20 o 50 solicitudes.
15. Cerrar sesión de usuarios inactivos automáticamente
Muchas personas olvidan cerrar sesión en el sitio web y sus sesiones continúan ejecutándose.
Como resultado, otra persona que use el mismo dispositivo podrá acceder a sus cuentas de usuario y tal vez hacer un mal uso de la información personal. Esto es especialmente para aquellas personas que usan computadoras públicas en lugares como cibercafés o bibliotecas.
Por lo tanto, es fundamental configurar su sitio web de WordPress de manera que los usuarios inactivos se desconecten inmediatamente.
La mayoría de los sitios web bancarios utilizan esta estrategia para evitar que usuarios no deseados accedan a sus sitios, asegurando que la información de sus clientes se mantenga segura.
Uno de los métodos más simples para cerrar sesión automáticamente en cuentas de usuario inactivas es usar un complemento de seguridad de WordPress como Cierre de sesión inactivo. Además de cancelar a los usuarios inactivos, este complemento puede enviar un mensaje personalizado para notificar a los usuarios inactivos que la sesión de su sitio web está a punto de caducar.
16. Cambie la URL de la página de inicio de sesión de WordPress
Para dar un paso más para proteger su sitio web de WordPress de los ataques de fuerza bruta, considere cambiar la URL de la página de inicio de sesión.
La URL de inicio de sesión predeterminada para todos los sitios de WordPress es yourdomain.com/wp-admin . Los piratas informáticos pueden apuntar fácilmente a su página de inicio de sesión si utiliza la URL de inicio de sesión predeterminada.
Los complementos como WPS Hide Login y Change wp-admin Login permiten configuraciones de URL de inicio de sesión personalizadas.
17. Ocultar la versión de WordPress
Ocultar su versión de WordPress trae a colación el tema de la seguridad de WordPress a través de la oscuridad una vez más. Cuantas menos personas conozcan la configuración de su sitio de WordPress, mejor. Si los piratas informáticos ven que tiene una instalación de WordPress desactualizada, eso podría ser una indicación de bienvenida.
La versión de WordPress se muestra en el encabezado del código fuente de su sitio de forma predeterminada. De nuevo, te recomendamos mantener tu instalación de WordPress actualizada en todo momento, para que no tengas que preocuparte por ello.
Puede usar el siguiente código para eliminar la versión de WordPress. Simplemente agréguelo al archivo functions.php de su tema de WordPress. function hide_wp_version() { return ''; } add_filter('the_generator', 'hide_wp_version');
18. Actualizar a la última versión de PHP
Actualizar a la última versión de PHP es una de las cosas más importantes que puede hacer para mantener seguro su sitio web de WordPress.
Cuando una actualización esté lista, WordPress le informará a través de su tablero. Luego lo redirigirá a su cuenta de alojamiento, donde puede actualizar a la versión de PHP más reciente.
Si no sabe cómo actualizar su cuenta de alojamiento, comuníquese con su desarrollador web.
19. Realice escaneos de seguridad regulares
Si usa un complemento de seguridad de WordPress, escaneará su sitio en busca de malware y señales de infracciones de seguridad de forma regular.
Sin embargo, si ve una disminución masiva en el tráfico del sitio web o en las clasificaciones de búsqueda, debe realizar un escaneo manualmente. Puede usar su complemento de seguridad de WordPress o usar algunas herramientas en línea como Sucuri SiteCheck o IsItWP Security Scanner para esto.
Ejecutar estas herramientas de escaneo en línea es sencillo. Simplemente ingrese las URL de su sitio web, y sus rastreadores revisarán su sitio web en busca de virus conocidos y códigos dañinos.
Recuerde que la mayoría de los escáneres de seguridad de WordPress solo pueden escanear su sitio. No pueden eliminar malware o limpiar un sitio de WordPress pirateado.
20. Eliminar complementos y temas de WordPress no utilizados
Tener complementos y temas sin usar en su sitio puede ser peligroso, especialmente si no se han actualizado.
Los piratas informáticos pueden usar complementos y temas obsoletos para acceder a su sitio, lo que aumenta el riesgo de ataques cibernéticos.
21. Usa un tema seguro de WordPress
Los temas de WordPress anulados son copias ilegales de los temas premium originales. La mayoría de las veces, estos temas se venden a un precio más bajo para atraer a los usuarios. Sin embargo, a veces tienen varios problemas de seguridad.
Dado que los temas anulados se publican ilegalmente, sus usuarios no reciben ayuda del desarrollador. Esto significa que si su sitio tiene algún problema, tendrá que averiguar cómo resolverlo y proteger su sitio web de WordPress usted mismo.
Para evitar convertirse en un objetivo de piratas informáticos, sugerimos usar un tema de WordPress del repositorio oficial o de un desarrollador de confianza. Alternativamente, puede buscar temas de terceros en mercados temáticos oficiales como ThemeForest, que tiene cientos de temas premium de WordPress.
Seguridad del sitio web de WordPress: Reflexión final
WordPress es un sistema de administración de contenido popular y robusto que simplifica la creación de un sitio web para cualquier persona. Sin embargo, debido a que es ampliamente utilizado, se ha convertido en un objetivo popular para los piratas informáticos.
Afortunadamente, hay varios pasos que puede seguir para proteger su sitio de WordPress. Sin embargo, tenga en cuenta que no tiene que hacer todo lo mencionado anteriormente. Si sigue las mejores prácticas básicas, estará muy por delante de la competencia.
Después de eso, haz lo que puedas y te sientas capaz de hacer. La seguridad es un esfuerzo continuo, no un evento de una sola vez. Siempre se puede hacer más, pero empezar es lo esencial.
Eso es todo; Esperamos que nuestra publicación lo haya ayudado a conocer los mejores consejos de seguridad de WordPress para proteger su sitio web de WordPress. Si te ha gustado este post, quizás también quieras leer:
- Los mejores complementos de seguridad de WordPress para proteger su sitio
- Consejos de WordPress SEO para mejorar su clasificación SEO
- Cómo acelerar un sitio web de WordPress en 2022