La mejor lista de verificación de seguridad de WordPress [Guía definitiva]
Publicado: 2022-04-22Si desea proteger su sitio de WordPress, encontrará muchos consejos en línea, algunos de los cuales son buenos y otros directamente dañinos, aunque bien intencionados.
Cuando se trata de la seguridad de WordPress, debe poder confiar en sus fuentes y encontrar información que no solo sea creíble, sino también factible y aplicable. Solo en 2020, los ataques de malware crecieron más del 150 % y las cifras no parecen disminuir en el corto plazo. Por lo tanto, asegurar su sitio de WordPress debe ser su prioridad número uno.
La mejor manera de proteger su sitio de WordPress es instalar un complemento de seguridad y dejar que se encargue del trabajo pesado. Pero incluso sin uno, aún puede proteger su sitio web en gran medida siguiendo la lista de verificación de seguridad de WordPress que se analiza a continuación.
TL;DR: Asegure su sitio de WordPress con MalCare y evite el mantenimiento regular relacionado con la seguridad. La seguridad de WordPress es un laberinto de brechas que necesita parchear. Consulte nuestra lista de verificación de seguridad de WordPress para asegurarse de no perderse nada crucial.
El método más fácil para proteger su sitio de WordPress
Como dijimos, la mejor manera de proteger su sitio de WordPress es usar un complemento de seguridad, específicamente, MalCare. MalCare no solo se ocupa de la lista de verificación de seguridad de WordPress automáticamente, sino que lo hace sin que usted tenga que preocuparse por realizar un seguimiento de cada pequeño detalle.
MalCare tiene varias características que trabajan juntas para mantener su sitio seguro. Pero sus tres características principales aseguran que su sitio permanezca libre de malware: escaneo, firewall y limpieza. Con MalCare, puede programar escaneos automáticos en su sitio de WordPress y recibir alertas si se detecta algo sospechoso. MalCare también protege su sitio con un cortafuegos inteligente que evita la mayoría de los ataques. Y lo que es más importante, si su sitio fuera pirateado, dado que ningún sitio puede ser infalible, MalCare limpia su sitio en minutos con solo hacer clic en un botón.
Otra razón por la que debería optar por MalCare es que con las medidas de seguridad manuales, siempre existe la posibilidad de un error humano. Pero los errores en la seguridad pueden costarle más que unos pocos dólares. Si los ataques empeoran, pueden provocar el robo de datos, la desfiguración del sitio web, la pérdida de clientes y, lo que es más importante, la pérdida de confianza que sufre su empresa.
La lista de verificación de seguridad definitiva de WordPress
Hay tantos elementos en un sitio de WordPress que hacer un seguimiento de todo puede volverse abrumador. Hemos compilado una lista de verificación de seguridad de WordPress para usted en función de la frecuencia de tiempo que necesita para ocuparse de la tarea.
Para la seguridad diaria
La seguridad del sitio web es un proceso constante y no puede ser un compromiso de una sola vez. Pero hay formas en las que puede automatizar las tareas diarias. Estas tareas garantizan que su sitio esté protegido contra problemas o amenazas imprevistos.
Escanea tu sitio
Es importante escanear su sitio en busca de malware todos los días. Un sitio web es pirateado cada 38 segundos en Internet, y es muy probable que usted sea uno de ellos. Escanear su sitio regularmente asegura que usted es el primero en enterarse de cualquier amenaza o malware en su sitio y lo ayuda a tomar medidas antes de que el atacante pueda causar algún daño a su sitio.
Si escanear su sitio manualmente todos los días le parece tedioso, puede optar por una solución de seguridad como MalCare, que le permite programar escaneos automáticos diarios, para que no tenga que preocuparse por perder un escaneo o tener que ejecutarlos personalmente. .
Copia de seguridad de su sitio web
Hay varias razones por las que debe hacer una copia de seguridad de su sitio web de WordPress, pero la más importante de ellas es la seguridad. Si no se detecta a tiempo, el malware puede causar estragos en su sitio de WordPress y, en consecuencia, provocar la pérdida de datos o la desfiguración del sitio web. A menudo, los servidores web eliminan sitios de sus servidores si están infectados y, a menos que tenga una copia de seguridad independiente de su sitio, tendrá que empezar desde cero.
Es importante hacer una copia de seguridad de los sitios web de alto valor todos los días, para que no se pierda nada importante. Esto es especialmente cierto para los sitios de WooCommerce que necesitan copias de seguridad en tiempo real. Una solución práctica como BlogVault puede hacer que este proceso sea muy fácil. BlogVault le permite programar copias de seguridad diarias o en tiempo real, según sus requisitos, y almacena estas copias de seguridad en un servidor externo para que, incluso si el servidor de su sitio web es pirateado, las copias de seguridad permanezcan seguras.
Por seguridad mensual
Comprobar registro de actividad
Los ataques y la instalación de malware, adware u otros tipos de programas maliciosos suelen ocurrir en secreto. A menudo, el único rastro visible se puede encontrar en el registro de actividad de su sitio, un registro cronológico de las actividades realizadas y los cambios realizados. Como resultado, es una buena idea realizar una verificación mensual del registro de actividad de su sitio para buscar inconsistencias o actividad sospechosa. Puede ayudarlo a rastrear una serie de detalles importantes en caso de que su sitio sea pirateado, como qué direcciones IP estuvieron involucradas y cómo pudo haber sucedido.
Si el suyo es un sitio de alta producción, es decir, publica contenido diariamente o semanalmente, verificar el registro de actividad una vez al mes puede ser abrumador porque hay muchos cambios en el sitio. En cuyo caso, puede consultar el registro de actividad una vez a la semana o una vez cada quince días.
WordPress no ofrece un registro de actividad de forma predeterminada, por lo que deberá confiar en un complemento para ello. Alternativamente, MalCare le brinda un registro de actividad detallado y fácil de entender junto con seguridad completa de WordPress.
Actualice su sitio web
Idealmente, debería actualizar su sitio de WordPress tan pronto como se publiquen nuevas actualizaciones, pero realizar actualizaciones mensuales también funciona. Al mantener un programa de actualización mensual, puede estar seguro de que su sitio está bien protegido y de que se corrigen las nuevas vulnerabilidades.
Las actualizaciones a menudo dan miedo porque se sabe que rompen sitios. Pero si usa un complemento como BlogVault, puede probar sus actualizaciones en un sitio provisional y fusionar los cambios sin problemas con su sitio en vivo.
Comprobar la consola de búsqueda
Agregar su sitio de WordPress a la Consola de búsqueda de Google tiene una serie de beneficios relacionados con el SEO, pero también puede ayudar a la seguridad de su sitio. La Consola de búsqueda de Google tiene una pestaña Problemas de seguridad que marca cualquier malware que detecta en su sitio, por lo que revisarla de vez en cuando puede ayudarlo a detectar malware.
Si escanea su sitio con MalCare regularmente, ya habrá detectado el malware en su sitio. Pero sigue siendo una buena práctica ver si Google cree que hay alguna actividad sospechosa en curso en su sitio.
Eliminar temas y complementos no utilizados
La eliminación de temas y complementos antiguos y sin usar tiene dos propósitos. El primero es acelerar su sitio, ya que demasiados archivos pueden causar una sobrecarga y ralentizaciones del servidor. El segundo es asegurarse de que su sitio no pueda ser atacado a través de ellos. Los temas y complementos no utilizados a menudo se ignoran y no se actualizan, lo que crea vulnerabilidades que se pueden aprovechar fácilmente. Así que asegúrese de realizar una verificación mensual de todos los temas y complementos que usa y elimine aquellos que hayan cumplido su propósito.
Nota: también verifique si hay complementos falsos en su sitio. El malware a menudo se oculta como una carpeta de complementos, pero los complementos falsos solo tienen uno o dos archivos, no se pueden ubicar en el repositorio de WordPress y tienen nombres extraños como 'azzz' o 'tiff'.
Actualice sus credenciales
Usar las mismas credenciales durante demasiado tiempo o reutilizarlas en varias cuentas es un riesgo importante. Para proteger su sitio de WordPress, actualice sus contraseñas al menos una vez al mes. Esto asegura que cualquier pirata informático que haya obtenido su contraseña no pueda usarla, y también lo desconecta de su cuenta en todos los dispositivos. Si bien es un poco inconveniente, garantiza que pueda controlar el acceso a su sitio web.
Verifique los roles y privilegios de los usuarios
Las cuentas de usuario en su sitio de WordPress son tan importantes como la cuenta de administrador. Si un pirata informático obtiene acceso a cualquier cuenta, puede infectar su sitio, actualizar sus privilegios de función e incluso bloquearlo de su propio sitio.
Asegúrese de que cada usuario en el sitio tenga solo los privilegios necesarios y que se eliminen las cuentas de usuario antiguas. Compruebe también si se han escalado los privilegios de algún usuario sin su autorización, podría ser una señal de malware.
Bloquear IPs maliciosas
Bloquear o restringir direcciones IP maliciosas puede facilitarle la vida considerablemente. Si está siendo pirateado, puede rastrear la dirección IP desde la que está ocurriendo y simplemente bloquearla. Esto impide que cualquier persona con esa dirección IP acceda a su sitio. Este método se utiliza para combatir piratas informáticos, detener bots o trolls y mantener alejados a usuarios no autorizados. Si usa un firewall, bloqueará automáticamente las direcciones IP maliciosas.
También puede bloquear un área geográfica completa, si experimenta ataques repetidos provenientes de la región.
Pruebe sus copias de seguridad
Si sucede lo peor y su sitio de WordPress se cae, puede confiar en sus copias de seguridad para que vuelva a funcionar. Pero debe asegurarse de que sus copias de seguridad también estén seguras. En caso de que sus copias de seguridad ya hayan sido pirateadas, restaurarlas no tendrá sentido. Del mismo modo, también debe probar si son funcionales o, de lo contrario, restaurará un sitio roto. Puede probar sus copias de seguridad fácilmente si usa BlogVault y asegurarse de que sean confiables.
Actualizar las sales de WordPress
WordPress usa salts como parte de su proceso de encriptación. Un salt es una cadena aleatoria de caracteres que se agrega a una contraseña antes del cifrado. La cadena resultante es un hash, y eso es lo que se almacena en la base de datos. De esa manera, si un pirata informático puede obtener las contraseñas codificadas de la base de datos Y descifrarlas, todavía no sabe qué parte de la contraseña es realmente la contraseña y cuál es la sal. La única forma en que sabrían esto es si obtienen acceso a las claves de seguridad y sales en el archivo de configuración.
Es similar a cómo se almacenan las contraseñas en las cookies del navegador. La razón por la que puede permanecer conectado a cualquier sitio es que la información de la sesión se almacena en cookies. Pero si las contraseñas de texto sin formato se almacenaran allí, sería peligroso. Entonces, WordPress almacena la versión salada y hash en su lugar. Tener acceso a la sal no significa que pueda descifrar hashes, pero reduce el nivel de seguridad. Por lo tanto, es importante actualizar las sales de WordPress periódicamente.
Para seguridad a largo plazo
Comprobar SSL
SSL es un protocolo de seguridad diseñado para cifrar cualquier comunicación hacia y desde el servidor de su sitio web. Esto evita que los atacantes accedan, lean o cambien cualquier información que se esté transfiriendo.
Por lo general, protege su sitio con SSL cuando obtiene su dominio o plan de alojamiento. Sin embargo, los certificados SSL caducan aproximadamente cada dos años y debe asegurarse de renovarlo lo antes posible. Esto es doblemente importante si los usuarios realizan transacciones en su sitio web, ya que cualquier violación de la seguridad puede provocar la filtración de detalles de tarjetas de crédito o cuentas bancarias.
Consultar planes de alojamiento
Si olvida renovar su plan de alojamiento a tiempo, su cuenta de WordPress será suspendida. Esto puede causar una serie de problemas. El tráfico de su sitio se verá afectado, perderá clientes e incluso podría terminar perdiendo datos. Verificar sus servicios de alojamiento regularmente también le permite analizar el tráfico de su sitio y el uso del servidor. El uso excesivo del servidor es un síntoma común de un ataque de fuerza bruta, y detectar dichos ataques antes tiene más posibilidades de detenerlos. Cuando recibe una alerta temprana de un ataque de fuerza bruta, puede actuar y proteger su sitio antes de que los piratas informáticos obtengan acceso a su sitio.
Medidas únicas para una seguridad completa
Si bien la seguridad de WordPress debe revisarse constantemente, existen algunas medidas que puede tomar una vez y no tener que actualizar constantemente.
Invierta en un cortafuegos fuerte
Un firewall protege su sitio de WordPress filtrando el tráfico malicioso y deteniendo la mayoría de los ataques antes de que puedan infectar su sitio web. Hay varios tipos de cortafuegos, como cortafuegos de aplicaciones web, cortafuegos de red o cortafuegos basados en la nube. Un cortafuegos de aplicaciones web sólido como el de MalCare le permite filtrar el tráfico de su sitio web y bloquear a los visitantes por el número de intentos de inicio de sesión o la ubicación geográfica.
Implementar autenticación HTTP
La autenticación HTTP es un protocolo que permite el acceso a un recurso web solo a aquellos que deben acceder a él. La autenticación HTTP restringe el acceso al solicitar un nombre de usuario y una contraseña cuando se solicita una determinada página web. Ahora, obviamente, no puede hacer esto para todo su sitio web, pero implementarlo para su panel de administración o página de inicio de sesión puede reducir significativamente la cantidad de ataques de bots.
Usar autenticación de dos factores
La autenticación de dos factores es un método que requiere que un usuario presente dos claves separadas para acceder a una cuenta. Por ejemplo, si está tratando de acceder a su correo electrónico, generalmente debe proporcionar el nombre de usuario y la contraseña, pero cuando implementa la autenticación de dos factores, también deberá proporcionar una clave que se crea en tiempo real, como una -contraseña de tiempo o PIN. Esto reduce la cantidad de intentos de inicio de sesión y no abruma el servidor de su sitio web con solicitudes de inicio de sesión. También protege su sitio web contra ataques de fuerza bruta. Puede usar un complemento como 2FA para habilitar la autenticación de dos factores para su sitio.
Limite los intentos de inicio de sesión
Ya hemos hablado sobre cómo deben limitarse los intentos de inicio de sesión. WordPress, de forma predeterminada, permite intentos de inicio de sesión ilimitados, y esto ofrece una excelente oportunidad para que los piratas informáticos intenten acceder a su cuenta de WordPress con ataques de fuerza bruta. La forma más fácil de limitar los intentos de inicio de sesión es usar un complemento de seguridad como MalCare, o puede agregar un código personalizado a su archivo function.php.
Deshabilitar XML-RPC
Similar a la API REST de WP, XML-RPC es una función de WordPress que le permite publicar contenido de forma remota. Es útil si usa la aplicación de WordPress o necesita habilitar trackbacks y pingbacks, pero de lo contrario, los piratas informáticos pueden explotarlo para obtener acceso a su sitio a través de ataques de fuerza bruta. La solución más fácil aquí es deshabilitarlo con un complemento o manualmente.
Deshabilitar la exploración de directorios
Cuando su servidor no encuentra un archivo de índice para un sitio web, muestra un índice de los contenidos del directorio. Si un pirata informático puede acceder a esta información, puede verificar si tiene algún archivo que sea vulnerable en su sitio web. Esto abre su sitio web a importantes riesgos de seguridad.
Para evitar esto, puede deshabilitar la exploración de directorios agregando una línea de código a su archivo .htaccess. Siga estos pasos para deshabilitar la exploración de directorios en su sitio de WordPress.
- Descargue el archivo .htaccess en su sitio a través de un cliente FTP.
- Abra el archivo y agregue el siguiente código al final del archivo:
Opciones Todos -Índices
- Ahora guarde el archivo y vuelva a cargarlo. Primero deberá eliminar el archivo original de su sitio.
Restringir permisos de archivos
Los permisos de archivo en su sitio determinan quién puede acceder a qué partes de su sitio y quién puede modificarlas. Por lo general, su proveedor de alojamiento web configura toda esta información por usted. Pero sigue siendo una buena práctica comprender los permisos de los archivos y asegurarse de que estén configurados de manera óptima.
Si desea comprender cómo funcionan los permisos de archivo y cómo puede optimizarlos para la seguridad de su sitio, consulte nuestra guía, que es detallada y fácil de usar para principiantes.
Ocultar archivo wp-config
El archivo wp-config en su sitio web está lleno de información confidencial, como contraseñas, claves y salts. Si los piratas informáticos obtienen acceso al archivo, será como poner una alfombra roja en el sitio web para ellos. El archivo wp-config se encuentra en la carpeta public_html de forma predeterminada, por lo que los piratas informáticos saben dónde buscarlo. Pero puede cambiar la ubicación del archivo y aún funciona igual de bien, mientras oculta información confidencial de manera efectiva.
Deshabilitar la ejecución de PHP en carpetas específicas
Los piratas informáticos pueden cargar archivos PHP en su sitio disfrazados de archivos centrales de WordPress y obtener acceso a su sitio. Algunas carpetas como wp-uploads no deberían tener ningún archivo PHP. Entonces, ¿qué haces en este caso?
Puede deshabilitar la ejecución de PHP en estas carpetas para que, incluso si los piratas informáticos logran ingresar a estos archivos a través de puertas traseras, no puedan acceder a su sitio.
Por qué es importante la seguridad del sitio web
WordPress es una plataforma segura, pero es muy popular y atrae todo tipo de atención. Algunos de los cuales son nefastos. Para asegurarse de que los piratas informáticos no puedan acceder a su sitio, debe asegurarse de que la seguridad de su sitio web esté actualizada, o de lo contrario podría enfrentar consecuencias nefastas como:
- Pérdida de clientes
- Pérdida de datos
- Credenciales privadas filtradas
- pérdida de ingresos
- Asuntos legales
- Golpe a la reputación de la marca
- Pérdida de confianza
Pensamientos finales
La seguridad de WordPress no es un misterio. Si toma algunas medidas para proteger su sitio, podrá defenderse de los ataques y el malware, y evitar daños. Esperamos que esta lista de verificación de seguridad de WordPress lo ayude a reforzar sus medidas de seguridad.
Si desea una solución sin problemas que no comprometa su seguridad, MalCare es la única opción. Con escaneos automatizados, un firewall avanzado y limpiezas con un solo clic, MalCare es una solución de 360 grados que protege su sitio.
preguntas frecuentes
¿Cómo aseguro mi sitio de WordPress?
El método más fácil para proteger su sitio de WordPress es instalar un complemento de seguridad como MalCare. MalCare escanea su sitio web todos los días para garantizar que su sitio web sea seguro y protege su sitio web con su firewall avanzado. También ofrece una limpieza con un solo clic en caso de que haya un truco.
¿Wordpress tiene problemas de seguridad?
WordPress es una plataforma segura utilizada por más de la mitad de los sitios web en Internet. Sin embargo, es debido a esta popularidad que atrae la atención de los piratas informáticos. Puede proteger su sitio de WordPress con un complemento de seguridad para garantizar que su sitio esté a salvo de estos elementos.
¿Cómo aseguro mi sitio de WordPress sin complementos?
Si desea proteger su sitio sin usar complementos, debe realizar varias comprobaciones de seguridad con regularidad. Deberá realizar escaneos del sitio, realizar copias de seguridad, buscar comportamientos sospechosos en el registro de actividad del sitio y limpiar manualmente cualquier malware que pueda detectar. La lista de formas en que los piratas informáticos pueden ingresar a su sitio es interminable, y la única forma en que puede proteger su sitio sin tener que estar constantemente alerta es usar un complemento de seguridad.