Principales errores de seguridad de WordPress y cómo solucionarlos - MalCare

Errores de seguridad de WordPress: ¿Sabía que cada minuto se realizan unos 90.978 intentos de pirateo en los sitios web de WordPress? Una vez que su sitio es pirateado, los piratas informáticos lo utilizan para ejecutar todo tipo de actividades maliciosas, como enviar correos electrónicos no deseados (lectura: pirateo de phishing), atacar otros sitios web, inyectar enlaces de spam, redirigir visitantes, etc.

Esta es la razón por la cual los propietarios de sitios de WordPress como usted deben tomar en serio sus preocupaciones de seguridad. No existe una bala de plata que pueda usar para resolver todas sus necesidades de seguridad, sino que necesita hacer muchas cosas correctamente. En Internet, hay innumerables consejos sobre cómo mantener su sitio seguro y protegido. Algunos de ellos son consejos contradictorios y otros simplemente están desactualizados. Numerosas opiniones sobre lo que el propietario de un sitio debe hacer y lo que no debe generar confusión y, en medio de toda esa confusión, los errores son inevitables.

Mantener la seguridad de un sitio no es un trabajo fácil, especialmente para los nuevos propietarios de sitios que son propensos a cometer errores que podrían dejarlos vulnerables a ataques de hackers comunes. Conocer los errores de seguridad comunes que cometen los propietarios de sitios web ayudará a evitarlos. Y es por eso que creamos esta lista para que pueda dejar de cometer los errores que cometen la mayoría de los propietarios de sitios de WordPress.

Principales errores de seguridad de WordPress que cometen los propietarios de sitios:

Sugerimos ejecutar una auditoría de seguridad de WordPress antes de tomar cualquiera de las medidas a continuación:

1. No actualizar el núcleo, el complemento y los temas de WordPress

Mantener el núcleo de WordPress y los complementos (es decir, temas y complementos) actualizados es una buena medida de seguridad. Actualizarlos no solo agrega más funciones al sitio, sino que también ayuda a corregir las vulnerabilidades. Debido al ecosistema en el que funciona WordPress, las noticias sobre vulnerabilidades se propagan muy rápidamente y los piratas informáticos intentan aprovechar la situación. Si no actualiza su sitio, lo que habría ayudado a parchear la vulnerabilidad, su sitio será fácil de penetrar.

Si bien algunos propietarios de sitios no actualizan su sitio porque desconocen cómo las actualizaciones están vinculadas a la seguridad, otros temen la incompatibilidad. Los sitios web de WordPress pueden romperse después de actualizar el núcleo de WordPress y sus complementos.

Las actualizaciones de WordPress están diseñadas para ser compatibles con todas las versiones anteriores. Por lo tanto, si su sitio ejecuta la versión 4.1, aún puede actualizarlo a la última versión, que es, digamos, 4.9. Pero a pesar de todas las precauciones tomadas, cada actualización trae noticias de fallas en el sitio web. Aquí hay un ejemplo de la última versión de WordPress 4.9.6.

Puede encontrarse con problemas similares al actualizar complementos de WordPress, es decir, temas y complementos. A menudo, surgen problemas de incompatibilidad en temas y complementos porque el desarrollador se apresuró a lanzar una nueva actualización o quizás el desarrollador no era competente. Los complementos y los temas tienen un mercado realmente competitivo y, en un intento por destacarse del resto, los desarrolladores se ven obligados a agregar más y más funciones nuevas en el menor tiempo posible. A veces no se les da suficiente tiempo para ver si la versión es compatible con todas las versiones anteriores de WordPress. Entonces, si alguien está usando una versión muy temprana de WordPress y actualiza un complemento que funciona solo con las últimas versiones de WordPress, su sitio se rompe.

Las preocupaciones en torno a los problemas de compatibilidad entre WordPress Core y un complemento pueden llevar a los propietarios de sitios a omitir las actualizaciones de seguridad.

Cómo solucionarlo: un servicio de preparación podría resolver este problema. El proceso de creación de un sitio duplicado con el fin de probar la instalación del núcleo de WordPress y sus complementos se denomina Staging. Los servicios de copia de seguridad como BlogVault o incluso proveedores de alojamiento web como Kinsta ofrecen entornos de prueba. Consulte con su servidor web o servicios de respaldo (si está utilizando uno) para ver si tienen una opción para organizar un sitio. De lo contrario, regístrese en un servicio que le permita organizar un sitio.

Además de mantener actualizados sus complementos, temas y núcleo, le sugerimos encarecidamente que mantenga actualizados sus salts y claves de seguridad de WordPress.

2. Uso de complementos de mala calidad

No todos los complementos y temas de WordPress están bien hechos. Algunos ignoran los controles de control de calidad, mientras que otros son desarrollados por programadores aficionados. Es importante que el usuario preste atención a lo que está eligiendo usar o comprar. Pero, desafortunadamente, muchos usuarios de WordPress no tienen ningún conocimiento técnico, por lo que no están preparados para descubrir qué tan bueno es el complemento o el tema.

Cómo solucionar esto: para ayudar a estos usuarios, hemos enumerado algunas características que ayudarán a detectar un buen tema o complemento:

i. Asegúrese de obtener los complementos de una fuente reconocida como el repositorio de complementos de WordPress o un vendedor popular como Elegant Themes, Themeforest, etc.

ii. Asegúrese de que los complementos tengan una buena calificación en el repositorio de WordPress y sean revisados ​​por personas que hayan usado el tema/complemento en su sitio . Una búsqueda rápida en Google te ayudará a encontrar las reseñas.

iii. Verifique que el complemento haya existido durante mucho tiempo y haya resistido la prueba del tiempo. Busque actualizaciones de seguridad y correcciones de errores en el repositorio de WordPress o en el sitio web oficial.

IV. Y asegúrese de que se actualicen con frecuencia y que la actualización reciente se haya realizado hace menos de 2 meses.

3. Uso de complementos y temas ilegales

Muchos sitios web venden temas premium y complementos de forma gratuita. El uso de estos productos gratuitos puede significar un desastre porque muchos de estos complementos de WordPress tienen malware inyectado deliberadamente en ellos. Instalar estos complementos ilegales en sus sitios es como abrir puertas e invitar a los piratas informáticos a su sitio. Una vez que un atacante logra ingresar a su sitio usando el código incorrecto en el tema/complemento que acaba de instalar, usará su sitio para ejecutar una serie de actividades maliciosas, como enviar correos electrónicos no deseados o atacar otros sitios. Además, tener malware en su sitio lo considera comprometido, lo que hace que los proveedores de alojamiento suspendan los motores de búsqueda de su cuenta, como Google, para poner su sitio en la lista negra y suspender su cuenta de AdWords.

Cómo solucionar esto: compre temas y complementos originales de mercados populares como ThemeForest , Elegant Themes , etc. Durante el período de venta, se pueden comprar temas y complementos a precios mucho más bajos. Uno puede buscar sitios web oficiales del tema o complemento de nuestra elección.

4. Mantener complementos y temas no utilizados en su sitio

Mantener temas y complementos no utilizados en el sitio web brinda una oportunidad para que los piratas informáticos se infiltren en su sitio. Muchos propietarios de sitios no actualizan los complementos inactivos porque desconocen los beneficios de seguridad. Para ellos, las actualizaciones traen nuevas funciones y, dado que no usan el complemento, piensan que no necesitan las nuevas funciones. Si se lanzó una actualización para corregir una vulnerabilidad, su sitio permanecerá en riesgo hasta que lo actualice.

Cómo solucionar esto: la única solución aquí es deshacerse de los temas y complementos de WordPress inactivos. Así es cómo:

Visite la página de 'complementos instalados' desde el panel de control de WordPress de su sitio.

En la página, hay una opción llamada 'inactivo'. Seleccione eso.

Te llevará a otra página desde donde puedes eliminar los complementos inactivos . Pero antes de presionar el botón 'inactivo', le sugerimos que se asegure de que no necesitará ese complemento en particular en un futuro cercano.

5. Uso de malas prácticas de inicio de sesión en el sitio web

Dos prácticas de inicio de sesión comunes y, sin embargo, muy peligrosas son usar credenciales de inicio de sesión fáciles de adivinar y no cerrar sesión cuando no se está utilizando el sitio. Los atacantes programan bots que intentan iniciar sesión en su sitio utilizando una combinación de nombre de usuario fácil de recordar (como admin) y contraseña (como password123) para piratear un sitio. Este método peculiar de piratear un sitio se llama ataque de fuerza bruta.

Cómo solucionar esto: se recomienda que utilice un nombre de usuario y una contraseña únicos (lectura recomendada: guía de protección de la página de inicio de sesión de WordPress). Una desventaja aquí es que las credenciales únicas son difíciles de recordar. Por lo tanto, debe mantener un documento que lleve estas credenciales. Y asegúrese de que el documento esté encriptado para evitar el acceso no autorizado.

6. Dar acceso de administrador a cada usuario

Hacer que cada uso sea un administrador es una mala idea, especialmente para sitios web donde hay una gran cantidad de usuarios a quienes el propietario del sitio no conoce personalmente. WordPress permite a los propietarios de sitios asignar los siguientes roles a los usuarios: administrador, editor, autor, colaborador, suscriptor, administrador de SEO, editor de SEO. Es arriesgado hacer que todos sean administradores porque otorga acceso a todas las áreas de un sitio.

Dar a los usuarios acceso sin restricciones a todo el sitio conduce a la explotación, como se ve en este caso con TechCrunch (un sitio de tecnología popular) que fue pirateado por OurMine (un grupo de piratas informáticos). Después de obtener acceso a una cuenta de usuario, OurMine pudo publicar en el sitio. Aquí hay una captura de pantalla de la página de inicio cuando los lectores se despertaron después de que TechCrunch fuera pirateado:

Cómo solucionar esto: cada rol de usuario en WordPress permite el acceso solo a áreas específicas del sitio. Según lo que necesite que haga un usuario en su sitio, puede asignar estos roles. Seguir este principio garantiza que solo las personas de su confianza puedan acceder a todo el sitio. Y si algo sale mal, ya sabes quién es responsable.

7. No hacer copias de seguridad

Las copias de seguridad son su red de seguridad. No tener uno en su lugar podría causarle problemas cuando ocurra un desastre. Si su sitio es pirateado y las publicaciones se eliminan, puede restaurar fácilmente su sitio a la normalidad utilizando las copias de seguridad. Pero no es aconsejable utilizar cualquier servicio de copia de seguridad porque muchos servicios de copia de seguridad no son eficientes. Por ejemplo, muchos complementos de copia de seguridad almacenan copias de seguridad en sus servidores web. Algunos de ellos almacenan copias de seguridad en un solo lugar. El servidor de su sitio web no es un lugar ideal para almacenar copias de seguridad porque el servidor asume la carga de realizar copias de seguridad además de realizar procesos regulares. Reduce la velocidad de tu sitio. Almacenar solo una copia de seguridad significa que si la pierde, no tendrá otras copias de seguridad a las que recurrir.

Cómo solucionar esto: antes de elegir un servicio de copia de seguridad, verifique las funciones para ver dónde almacenan las copias de seguridad. Si no puede encontrar la información adecuada, envíeles un correo electrónico con preguntas directas sobre dónde almacenan las copias de seguridad y si las almacenan en varias ubicaciones. Para saber más sobre cómo elegir copias de seguridad confiables, consulte esta publicación .

8. No usar un servicio de seguridad

Muchos propietarios de sitios web, especialmente aquellos que tienen sitios web pequeños que atraen menos tráfico, piensan que su sitio es insignificante y, por lo tanto, no atraerá la atención de un pirata informático. Pero los piratas informáticos de hoy en día tienen muchas razones para atacar un sitio web pequeño . Podrían estar usándolo para almacenar archivos o enviar correos no deseados, entre otras cosas. Muchos grupos de piratería, de hecho, prefieren atacar sitios pequeños porque los sitios web pequeños son poco estrictos con respecto a su seguridad y, por lo tanto, son más fáciles de piratear. Lanzan ataques masivos de fuerza bruta en los que los bots intentan adivinar el nombre de usuario y las credenciales correctos para ingresar a un sitio. Una de las técnicas de piratería preferidas consiste en aprovechar complementos y temas vulnerables.

Cómo solucionar esto: un servicio de seguridad estándar ofrece funciones de seguridad esenciales como WordPress Firewall que ayuda a evitar que los piratas informáticos ingresen a su sitio por la fuerza bruta.

Además de tomar las medidas anteriores para arreglar su sitio, puede tomar algunas medidas de seguridad más. Recomendamos encarecidamente seguir esta guía: Asegure su sitio de WordPress con wp-config.php.

Cada vez que surge una vulnerabilidad en el complemento o los temas o incluso en el núcleo, los desarrolladores lanzan un parche a través de una actualización. Por lo tanto, mantener actualizados todos sus temas, complementos y el núcleo de WordPress es una buena práctica de seguridad. MalCare : uno de los mejores complementos de seguridad de WordPress que existen ofrece la función de administración del sitio que le permite actualizar los complementos, los temas y el núcleo de WordPress desde el panel de control de MalCare. Es especialmente útil para las personas que tienen muchos sitios web que mantener. Iniciar sesión en cada sitio web y actualizar temas, complementos y núcleo es un trabajo que requiere mucho tiempo. Los servicios como MalCare facilitan que los propietarios de sitios sigan buenas prácticas de seguridad.

Además del firewall y la administración del sitio, un complemento de seguridad también ofrece servicios de escaneo diario. Si su sitio web está infectado con malware, el complemento lo ayudará a reparar su sitio web pirateado. Si se siente más cómodo con un equipo que le brinda servicios de mantenimiento del sitio web de WordPress directamente para administrar completamente la seguridad de su sitio web, WP Buffs será una excelente opción. Se encargan de las actualizaciones, la seguridad, la velocidad del sitio web y las ediciones continuas, independientemente de si está administrando 1 sitio web o 1000.

¿Qué sigue?

Usar un buen complemento de seguridad de WordPress es el primer paso para construir un sitio web seguro o mantener WordPress seguro. Algunas medidas de seguridad adicionales que puede tomar incluyen el bloqueo de IP, proteger la página de inicio de sesión y seguir esta guía completa sobre seguridad de WordPress para obtener más información. cómo proteger su sitio de WordPress.

Si ha cometido alguno de estos errores en el pasado, con suerte, la publicación lo ayudó a ver qué había estado haciendo mal y cómo solucionarlo. Damos la bienvenida a cualquier pregunta que pueda tener con respecto a estos errores de seguridad de WordPress y sus correcciones. Por favor, póngase en contacto con nosotros a través de nuestra página de contacto .