Cómo proteger su sitio web de WordPress en 2023 (Tutorial detallado)

WordPress se ha convertido en uno de los sistemas de administración de contenido (CMS) más populares del mundo, con más del 44% de los sitios web creados en él. Al igual que con cualquier plataforma en línea, la seguridad debe estar en la parte superior de su lista de preocupaciones. En esta publicación, examinaremos las preocupaciones de seguridad de WordPress y brindaremos consejos sobre cómo mantener su sitio web de WordPress seguro y protegido.

Sumerjámonos.

¿Es seguro WordPress?

En su mayoría, sí. Los desarrolladores de WordPress trabajan arduamente para mantener la seguridad de su plataforma a través de parches y actualizaciones que ocurren regularmente. Sin embargo, dado que WordPress se basa en un marco de código abierto, los piratas informáticos pueden analizar cómo se construye y, con frecuencia, desarrollar nuevas formas de controlar los sitios web de WordPress. Debido a esto, la seguridad de WordPress es crucial. Es importante conocer los riesgos asociados con el uso de WordPress para comprender mejor cómo proteger su sitio web.

Problemas de seguridad de WordPress

Al operar un sitio web de WordPress, existen varios riesgos potenciales a tener en cuenta. Una de las mayores preocupaciones son los piratas informáticos. Debido a que WordPress es tan popular, atrae la atención de actores infames que intentan explotar vulnerabilidades como complementos obsoletos o archivos centrales para obtener acceso no autorizado a su sitio. Pueden emplear métodos como puertas traseras, lanzamiento de ataques de fuerza bruta, ataques farmacéuticos, ataques de denegación de servicio (DoS) o secuencias de comandos entre sitios (XSS).

Si no se resuelve, puede haber consecuencias graves, como malware (código malicioso diseñado para robar la información de los visitantes de su sitio), reenviar su sitio web a uno completamente diferente, agregar contenido que no conoce, advertencias de Google que pueden dañar su posición en las SERP, o peor aún, no poder iniciar sesión en su sitio web.

Cómo proteger su sitio web de WordPress

La siguiente sección explorará las mejores prácticas para mejorar la seguridad de WordPress para proteger su sitio web contra amenazas potenciales.

Suscríbete a nuestro canal de Youtube

Seguridad de WordPress: elija un buen alojamiento de WordPress

El primer paso a tomar es asociarse con una buena empresa de alojamiento de WordPress. Con tantas opciones disponibles, puede ser difícil determinar cómo elegir el host adecuado. Si es un principiante, probablemente sea mejor optar por un buen proveedor de alojamiento administrado, como SiteGround, que proporcionará todas las actualizaciones de seguridad para WordPress, al tiempo que mantiene el servidor en el que está instalado. Para aquellos que son más expertos en tecnología, un proveedor de alojamiento en la nube, como Cloudways, es una excelente opción.

Cualquiera de las opciones le brindará todas las herramientas que necesita para garantizar que su sitio web esté seguro y protegido, incluidas:

• Certificado SSL gratis
• Cortafuegos de aplicaciones web (WAF)
• Acceso SFTP
• Protección de denegación de servicio distribuida (DDoS)
• Protección de malware

Mantenga seguro su inicio de sesión de WordPress

Otra cosa fácil que puede hacer para aumentar la seguridad de WordPress es bloquear sus credenciales de inicio de sesión. Esto se puede hacer de varias maneras, incluido el uso de un complemento para cambiar la URL de inicio de sesión de /wp-admin a algo de su elección. También puede agregar autenticación de dos factores (2FA) a su inicio de sesión y limitar los intentos de inicio de sesión, lo que ayudará a repeler a los bots.

Otra forma de proteger su inicio de sesión es vinculándolo a su cuenta de Google mediante el inicio de sesión de Google Apps para WordPress. Una vez que su inicio de sesión esté bloqueado, debe incluir en la lista blanca las direcciones IP de sus usuarios. Esto asegura que solo los usuarios registrados puedan ingresar, incluso si han logrado descifrar su contraseña.

Use una suite de complementos de seguridad de WordPress

Otra cosa muy útil que puedes hacer es instalar un buen complemento de seguridad, como iThemes Security. Le permitirá agregar 2FA, limitar los intentos de inicio de sesión, programar copias de seguridad y ocultar su inicio de sesión de WordPress.

Además de un complemento de seguridad de WordPress, considere instalar un buen complemento de copia de seguridad, como UpdraftPlus, si su host no ofrece copias de seguridad. Un complemento de respaldo lo protege de perder los archivos de su sitio, ayudándolo a evitar reconstruir WordPress desde cero. Puede restaurar fácilmente su sitio con poco esfuerzo si algo sale mal. Finalmente, la incorporación de un complemento de registro de actividad como WP Activity Log le permitirá identificar qué salió mal y cuándo.

Mantener PHP actualizado

WordPress requiere tres cosas para funcionar correctamente: compatibilidad con PHP, MySQL y HTTPS. PHP, o preprocesador de hipertexto, es un popular lenguaje de secuencias de comandos de código abierto utilizado en el desarrollo web y es la columna vertebral de WP. Al igual que WordPress, ser de código abierto lo deja abierto para los actores maliciosos que buscan aprovecharse. Para evitar estos problemas potenciales, es mejor mantener PHP actualizado. No solo ayuda con la seguridad de WordPress, sino que también mantiene su sitio funcionando de manera óptima.

Elija contraseñas seguras

Uno de los aspectos más importantes de la seguridad de WordPress es elegir contraseñas seguras para iniciar sesión. Las contraseñas débiles o fáciles de adivinar dejan su sitio vulnerable al acceso no autorizado y exponen su sitio a botnets. Los botnets son una colección de computadoras que han sido infectadas por malware y están bajo el control de un pirata informático. Son la causa principal de los ataques DDoS en Internet, pero puede evitar que su sitio sea víctima de ellos tomando las precauciones adecuadas.

Por ejemplo, puede proteger su sitio asegurándose de que todos los usuarios cumplan con una política de contraseñas. Una excelente manera de hacerlo es instalando un complemento como Password Policy Maker.

Seguridad de WordPress: mantenga el software actualizado

Otro paso simple en la seguridad de WordPress es mantener actualizados el núcleo, los complementos y los temas de WordPress. Dejar el software desactualizado puede tener consecuencias negativas en su sitio web, incluidas brechas de seguridad, la pantalla blanca de la muerte de WordPress o cualquier cantidad de errores comunes.

Puede mantenerse al día con las actualizaciones por su cuenta o habilitar las actualizaciones automáticas. Lo que es adecuado para usted depende de varios factores, incluido el tiempo, la experiencia y el tipo de software que ejecuta su instalación de WordPress. Independientemente de si maneja las actualizaciones o elige actualizar automáticamente, siempre debe hacer una copia de seguridad antes de realizar cualquier actualización.

Instalar certificado SSL

Si se asocia con un buen proveedor de alojamiento, uno de los beneficios que lo acompañan es un certificado SSL gratuito. Sin embargo, puede haber situaciones en las que deba instalar uno usted mismo. La mayoría de los proveedores, como SiteGround, ofrecen un SSL gratuito que se instala en unos minutos. Mientras lee esto, es posible que se pregunte : "¿Por qué necesito un certificado SSL?". Vamos a explicar.

imagen cortesía de Valery Brozhinsky | Shutterstock.com

SSL, o capa de conexión segura, amplía el protocolo de transferencia de hipertexto (HTTP) al protocolo de transferencia de hipertexto seguro (HTTPS), agregando cifrado y una capa adicional de seguridad. Por ejemplo, un consumidor que realiza una compra a través de HTTP corre el riesgo de que se explote la información de su tarjeta de crédito. Por otro lado, su información estaría protegida si hubieran realizado la misma compra a través de HTTPS. Su sitio y sus visitantes están expuestos y son vulnerables sin esa conexión segura. Por eso es crucial instalar un certificado SSL en cualquier sitio web nuevo.

Realizar una auditoría de seguridad

Una vez que haya tomado medidas para proteger su sitio, es importante realizar una auditoría de seguridad de WordPress de vez en cuando. Así como la tecnología cambia a diario, también lo hace el arsenal de herramientas de un hacker. El malware y otras tácticas se desarrollan regularmente, por lo que proteger su sitio web de WordPress no es un trato único. Programe controles de seguridad regulares y busque señales de que su sitio puede estar en problemas. Si nota que su sitio carga lentamente, su tráfico disminuye, descubre nuevos enlaces que no agregó o experimenta demasiados intentos de inicio de sesión, puede ser el momento de ejecutar un análisis de seguridad para garantizar que su sitio permanezca seguro y protegido.

Técnicas avanzadas de seguridad de WordPress

Además de los pasos enumerados anteriormente, existen algunas técnicas más avanzadas para incorporar en su sitio para mejorar la seguridad de WordPress.

Fortalezca el archivo wp-config.php

Un punto de entrada común para los piratas informáticos es el archivo wp-config.php de su sitio web de WordPress. Contiene información sobre su base de datos, incluido el nombre, el host, el nombre de usuario y la contraseña. Dejar este importante archivo abierto puede resultar perjudicial, por lo que ocultarlo siempre es una buena idea.

Mueva su archivo wp-config.php

Para mover wp-config, puede arrastrarlo a la carpeta raíz de su sitio (HTML público), y WordPress lo buscará cada vez que se haga ping al sitio. Sin embargo, si la estructura de archivos de su sitio incluye un archivo htaccess, puede protegerlo aún más agregando una directiva para denegar el acceso mediante el siguiente código:

<FilesMatch "wp-config/.php">
Require all denied
</FilesMatch">

Nota: antes de hacer esto, asegúrese de que su proveedor de alojamiento no haya tomado medidas para mover su archivo wp-config por usted. Algunos hosts, como Kinsta, hacen esto automáticamente para mantener su sitio seguro.

Cambiar las claves de sal de WordPress

Otra forma de proteger su archivo wp-config es modificando las claves de sal de su sitio. Estas claves agregan una capa adicional de protección mientras guardan contraseñas en su base de datos, inician sesión en cookies y otros aspectos importantes de seguridad de WordPress. Si los piratas informáticos pueden obtener sus claves salt, pueden acceder a la base de datos y los archivos de su sitio, incluida la información almacenada de tarjetas de crédito, contraseñas y otra información importante. Por lo tanto, se recomienda cambiarlos periódicamente.

Cambiar permisos de archivo

De forma predeterminada, los archivos en su directorio raíz están configurados en 644, lo que significa que se pueden leer y escribir, lo que los hace vulnerables a los malos actores. Según WordPress, estos no deben dejarse en los permisos predeterminados. Más bien, deben cambiarse a 440 o 400 para evitar que otros en el mismo servidor los lean. Sin embargo, es importante consultar con su proveedor de alojamiento antes de realizar cambios en los permisos de sus archivos. Es posible que tengan un sistema único implementado, por lo que cambiar los permisos podría causar interrupciones en su sitio.

Deshabilitar XML-RPC

XML-RPC es una API de WordPress que le permite conectar su sitio web a aplicaciones y herramientas de terceros. En los últimos años, ha sido explotado por ataques de fuerza bruta, permitiendo el acceso a sitios de WordPress. Se utiliza principalmente para realizar conexiones Zapier o acceder a su sitio de forma remota a través de una aplicación. Debe deshabilitar XML-RPC en su servidor si no está utilizando ninguna de estas conexiones.

Hay varias formas de hacer esto, incluida la desactivación a través de htaccess, usando un fragmento de código o con un complemento. El método más avanzado, htaccess, puede ser complicado para los principiantes, por lo que el enfoque más recomendado es usar un fragmento de código.

Para el método htaccess, use un cliente FTP para acceder a los archivos de su sitio, luego agregue el siguiente código a su archivo htaccess:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny, allow
 deny from all
allow from 123.123.123.123
</Files>

Nota: Asegúrese de cambiar la IP 123.123.123.123 con la suya.

Alternativamente, puede usar la pestaña htaccess de herramientas del complemento AIOSEO para insertar el código:

Si prefiere deshabilitar XML-PRC usando un fragmento de código, puede hacerlo fácilmente usando el complemento WPCode. Tiene un fragmento incorporado que puede usar para deshabilitar la API.

Ocultar versión de WordPress

Este es un paso que a menudo se pasa por alto cuando se trata de la seguridad de WordPress, pero es importante. De forma predeterminada, WordPress deja una huella en el código de su sitio que muestra qué versión está instalada. Esto puede parecer inofensivo, pero al acceder al código fuente del sitio web, los piratas informáticos pueden determinar qué versión de WordPress está ejecutando. Si está desactualizado, pueden usar esa información para piratear su sitio inyectando malware o scripts maliciosos.

Por lo tanto, como medida de seguridad adicional de WordPress, oculte la versión de WordPress de su sitio para dificultar que los piratas informáticos tomen el control de su sitio. Hay buenas maneras de hacer esto. Puede implementar un complemento de fragmento de código que eliminará la línea en el código fuente o crear un tema secundario y colocarlo en su archivo functions.php.

function elegantthemes_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

Alternativamente, si desea eliminar la versión de WP en la metaetiqueta, en las cadenas de consulta de la base de datos y en las fuentes RSS, use este código:

/* Hide WP version strings from scripts and styles
* @return {string} $src
* @filter script_loader_src
* @filter style_loader_src
*/
function elegantthemes_remove_wp_version_strings( $src ) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter( 'script_loader_src', 'elegantthemes_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'elegantthemes_remove_wp_version_strings' );
 
/* Hide WP version strings from generator meta tag */
function wordpress_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

Qué hacer si su sitio web de WordPress es pirateado

Incluso si hace todo bien, es posible que se encuentre en una situación en la que su sitio web haya sido pirateado. Afortunadamente, hay pasos que puede seguir, que incluyen poner su sitio en modo de recuperación, restaurar desde su copia de seguridad más reciente o restablecer sus contraseñas. Si todo lo demás falla, es posible que su proveedor de alojamiento pueda ayudarlo.

Reflexiones finales sobre la seguridad de WordPress

Al tomar las medidas necesarias para aumentar la seguridad de WordPress, puede asegurarse de que su sitio continúe funcionando normalmente mientras está seguro para sus visitantes. Si bien WordPress ofrece enormes beneficios y facilidad de uso, es importante comprender sus deficiencias. Afortunadamente, hay una serie de complementos de seguridad de WordPress como iThemes que pueden ayudar a mantener las cosas en orden.

¿Buscas más información sobre WordPress? Consulte algunos de nuestros artículos detallados que lo transformarán en un experto de WordPress en muy poco tiempo:

• Cómo Instalar WordPress: La Guía Definitiva
• Las 10 mejores opciones de alojamiento de WordPress en 2023 (seleccionadas a mano)
• Los 31 mejores complementos de WordPress en 2023 (todo lo que necesita)
• Los 10 mejores temas de WordPress en 2023 (comparados y clasificados)

Imagen destacada a través de Pikovit / shutterstock.com