La seguridad de WordPress es un tema de gran importancia para todos los propietarios de sitios web. Google incluye en la lista negra alrededor de 10,000 sitios web cada día por malware y alrededor de 50,000 por phishing cada semana.
Si se toma en serio su sitio web, debe prestar atención a las mejores prácticas de seguridad de WordPress. En esta guía, compartiremos todos los principales consejos de seguridad de WordPress para ayudarlo a proteger su sitio web contra piratas informáticos y malware.
Si bien el software central de WordPress es muy seguro y cientos de desarrolladores lo auditan regularmente, se puede hacer mucho para mantener su sitio seguro.
En Capasiete, creemos que la seguridad no se trata solo de eliminar riesgos. También se trata de reducir el riesgo. Como propietario de un sitio web, hay muchas cosas que puede hacer para mejorar la seguridad de WordPress (incluso si no es un experto en tecnología).
Tenemos una serie de pasos procesables que puede tomar para proteger su sitio web contra vulnerabilidades de seguridad.
Para que sea más fácil, hemos creado una tabla de contenido para ayudarlo a navegar fácilmente a través de nuestra guía de seguridad definitiva de WordPress.
Tabla de contenido
Conceptos básicos de seguridad de WordPress
- ¿Por qué la seguridad de WordPress es importante?
- Mantener WordPress actualizado
- Contraseñas y permisos de usuario
- El papel del alojamiento web
Seguridad de WordPress en sencillos pasos (sin codificación)
- Instalar una solución de copia de seguridad de WordPress
- Mejor complemento de seguridad de WordPress
- Habilitar el firewall de aplicaciones web (WAF)
- Mover el sitio de WordPress a SSL / HTTPS
Seguridad de WordPress para usuarios de bricolaje
- Cambiar el nombre de usuario predeterminado "admin"
- Deshabilitar la edición de archivos
- Deshabilitar la ejecución de archivos PHP
- Limitar los intentos de inicio de sesión
- Agregar autenticación de dos factores
- Cambiar el prefijo de la base de datos de WordPress
- Proteger con contraseña WP-Admin e iniciar sesión
- Deshabilitar la indexación y la exploración de directorios
- Deshabilitar XML-RPC en WordPress
- Cerrar sesión automáticamente para usuarios inactivos
- Agregar preguntas de seguridad al inicio de sesión de WordPress
- Escaneo de WordPress en busca de malware y vulnerabilidades
- Arreglar un sitio de WordPress pirateado
Listo? Empecemos.
¿Por qué es importante la seguridad del sitio web?
Un sitio de WordPress pirateado puede causar graves daños a los ingresos y la reputación de su negocio. Los piratas informáticos pueden robar información de usuario, contraseñas, instalar software malintencionado e incluso distribuir malware a sus usuarios.
Lo peor es que puede encontrarse pagando ransomware a piratas informáticos solo para recuperar el acceso a su sitio web.
En marzo de 2016, Google informó que se advirtió a más de 50 millones de usuarios de sitios web que un sitio web que están visitando puede contener malware o robar información.
Además, Google incluye en la lista negra alrededor de 20.000 sitios web por malware y alrededor de 50.000 por phishing cada semana.
Si su sitio web es un negocio, debe prestar especial atención a la seguridad de WordPress.
De manera similar a cómo es responsabilidad de los propietarios de negocios proteger el edificio de su tienda física, como propietario de un negocio en línea, es su responsabilidad proteger el sitio web de su empresa.
Mantener WordPress actualizado
WordPress es un software de código abierto que se mantiene y actualiza periódicamente. De forma predeterminada, WordPress instala automáticamente actualizaciones menores. Para las versiones principales, debe iniciar la actualización manualmente.
WordPress también viene con miles de complementos y temas que puede instalar en su sitio web. Estos complementos y temas son mantenidos por desarrolladores externos que también publican actualizaciones regularmente.
Estas actualizaciones de WordPress son cruciales para la seguridad y estabilidad de su sitio de WordPress. Debe asegurarse de que su núcleo, complementos y tema de WordPress estén actualizados.
Permisos de usuario y contraseñas seguras
Los intentos de piratería de WordPress más comunes utilizan contraseñas robadas. Puede hacerlo difícil utilizando contraseñas más seguras que sean únicas para su sitio web. No solo para el área de administración de WordPress, sino también para las cuentas FTP, la base de datos, la cuenta de alojamiento de WordPress y sus direcciones de correo electrónico personalizadas que utilizan el nombre de dominio de su sitio.
A muchos principiantes no les gusta usar contraseñas seguras porque son difíciles de recordar. Lo bueno es que ya no necesitas recordar las contraseñas. Puede utilizar un administrador de contraseñas.
Otra forma de reducir el riesgo es no permitir que nadie acceda a su cuenta de administrador de WordPress a menos que sea absolutamente necesario. Si tiene un equipo grande o autores invitados, asegúrese de comprender los roles y capacidades de los usuarios en WordPress antes de agregar nuevas cuentas de usuario y autores a su sitio de WordPress.
El papel del alojamiento de WordPress
Su servicio de alojamiento de WordPress juega el papel más importante en la seguridad de su sitio de WordPress. Un buen proveedor de alojamiento compartido como capasiete.com o e-hosting.com.ve toma medidas adicionales para proteger sus servidores contra amenazas comunes.
Así es como funciona una buena empresa de alojamiento web en segundo plano para proteger sus sitios web y sus datos.
- Supervisan continuamente su red para detectar actividad sospechosa.
- Todas las buenas empresas de alojamiento cuentan con herramientas para prevenir ataques DDOS a gran escala.
- Mantienen el software y el hardware de su servidor actualizados para evitar que los piratas informáticos aprovechen una vulnerabilidad de seguridad conocida en una versión anterior.
- Tienen planes de recuperación ante desastres y accidentes listos para implementar, lo que les permite proteger sus datos en caso de un accidente mayor.
En un plan de alojamiento compartido, comparte los recursos del servidor con muchos otros clientes. Esto abre el riesgo de contaminación entre sitios donde un hacker puede usar un sitio vecino para atacar su sitio web.
El uso de un servicio de alojamiento administrado de WordPress proporciona una plataforma más segura para su sitio web. Las empresas de alojamiento administrado de WordPress ofrecen copias de seguridad automáticas, actualizaciones automáticas de WordPress y configuraciones de seguridad más avanzadas para proteger su sitio web.
Seguridad de WordPress en sencillos pasos (sin codificación)
Sabemos que mejorar la seguridad de WordPress puede ser una idea aterradora para los principiantes. Especialmente si no eres técnico. Adivina qué, no estás solo.
Hemos ayudado a miles de usuarios de WordPress a fortalecer su seguridad de WordPress.
Le mostraremos cómo puede mejorar la seguridad de WordPress con solo unos pocos clics (no se requiere codificación).
Si puede apuntar y hacer clic, ¡puede hacerlo!
Instalar una solución de copia de seguridad de WordPress
Las copias de seguridad son su primera defensa contra cualquier ataque de WordPress. Recuerde, nada es 100% seguro. Si los sitios web del gobierno pueden ser pirateados, el suyo también.
Las copias de seguridad le permiten restaurar rápidamente su sitio de WordPress en caso de que ocurra algo malo.
Hay muchos complementos de respaldo de WordPress gratuitos y de pago que puede usar. Lo más importante que debe saber cuando se trata de copias de seguridad es que debe guardar regularmente las copias de seguridad del sitio completo en una ubicación remota (no en su cuenta de alojamiento).
Recomendamos almacenarlo en un servicio en la nube como Amazon, Dropbox o nubes privadas como Stash.
Según la frecuencia con la que actualice su sitio web, la configuración ideal podría ser una vez al día o copias de seguridad en tiempo real.
Afortunadamente, esto se puede hacer fácilmente utilizando complementos como VaultPress o UpdraftPlus . Ambos son confiables y, lo más importante, fáciles de usar (no se necesita codificación).
Mejor complemento de seguridad de WordPress
Después de las copias de seguridad, lo siguiente que debemos hacer es configurar un sistema de auditoría y monitoreo que realice un seguimiento de todo lo que sucede en su sitio web.
Esto incluye monitoreo de la integridad de los archivos, intentos fallidos de inicio de sesión, escaneo de malware, etc.
Afortunadamente, todo esto puede solucionarse con el mejor complemento de seguridad gratuito de WordPress, Sucuri Scanner .
Debe instalar y activar el complemento gratuito Sucuri Security .
Tras la activación, debe ir al menú de Sucuri en su administrador de WordPress. Lo primero que se le pedirá que haga es generar una clave API gratuita. Esto permite el registro de auditoría, la verificación de la integridad, las alertas por correo electrónico y otras funciones importantes.
Lo siguiente que debe hacer es hacer clic en la pestaña 'Endurecimiento' en el menú de configuración. Revise todas las opciones y haga clic en el botón "Aplicar endurecimiento".
Estas opciones le ayudan a bloquear las áreas clave que los piratas informáticos suelen utilizar en sus ataques. La única opción de refuerzo que es una actualización paga es el firewall de aplicaciones web, que explicaremos en el siguiente paso, así que omítalo por ahora.
También hemos cubierto muchas de estas opciones de "Fortalecimiento" más adelante en este artículo para aquellos que quieren hacerlo sin usar un complemento o aquellos que requieren pasos adicionales como "Cambio de prefijo de base de datos" o "Cambio del nombre de usuario del administrador".
Después de la parte de endurecimiento, la configuración predeterminada del complemento es lo suficientemente buena para la mayoría de los sitios web y no necesita ningún cambio. Lo único que recomendamos personalizar es 'Alertas por correo electrónico'.
La configuración de alerta predeterminada puede saturar su bandeja de entrada con correos electrónicos. Recomendamos recibir alertas para acciones clave como cambios en complementos, registro de nuevos usuarios, etc. Puede configurar las alertas yendo a Configuración de Sucuri »Alertas.
Este complemento de seguridad de WordPress es muy poderoso, así que navegue por todas las pestañas y configuraciones para ver todo lo que hace, como escaneo de malware, registros de auditoría, seguimiento de intentos fallidos de inicio de sesión, etc.
Habilitar el firewall de aplicaciones web (WAF)
La forma más fácil de proteger su sitio y tener confianza en la seguridad de WordPress es mediante el uso de un firewall de aplicaciones web (WAF).
El firewall de un sitio web bloquea todo el tráfico malicioso incluso antes de que llegue a su sitio web.
Cortafuegos de sitios web de nivel DNS : estos cortafuegos enrutan el tráfico de su sitio web a través de sus servidores proxy en la nube. Esto les permite enviar solo tráfico genuino a su servidor web.
Firewall de nivel de aplicación : estos complementos de firewall examinan el tráfico una vez que llega a su servidor, pero antes de cargar la mayoría de los scripts de WordPress. Este método no es tan eficaz como el cortafuegos de nivel DNS para reducir la carga del servidor.
Usamos y recomendamos Sucuri como el mejor firewall de aplicaciones web para WordPress.
La mejor parte del firewall de Sucuri es que también viene con una garantía de limpieza de malware y eliminación de listas negras. Básicamente, si fueras pirateado bajo su supervisión, te garantizan que arreglarán tu sitio web (sin importar cuántas páginas tengas).
Esta es una garantía bastante sólida porque reparar sitios web pirateados es costoso. Los expertos en seguridad normalmente cobran 250 dólares por hora. Mientras que puede obtener toda la pila de seguridad de Sucuri por $ 199 por año.
Sucuri no es el único proveedor de firewall de nivel DNS que existe. El otro competidor popular es Cloudflare.
Mueva su sitio de WordPress a SSL / HTTPS
SSL (Secure Sockets Layer) es un protocolo que cifra la transferencia de datos entre su sitio web y el navegador de los usuarios. Este cifrado hace que sea más difícil para alguien husmear y robar información.
Una vez que habilite SSL, su sitio web utilizará HTTPS en lugar de HTTP, también verá un signo de candado junto a la dirección de su sitio web en el navegador.
Los certificados SSL suelen ser emitidos por autoridades de certificación y sus precios van desde $ 80 hasta cientos de dólares cada año. Debido al costo adicional, la mayoría de los propietarios de sitios web optaron por seguir usando el protocolo inseguro.
Para solucionar este problema, una organización sin fines de lucro llamada Let's Encrypt decidió ofrecer certificados SSL gratuitos a los propietarios de sitios web. Su proyecto cuenta con el respaldo de Google Chrome, Facebook, Mozilla y muchas más empresas.
Ahora, es más fácil que nunca comenzar a usar SSL para todos sus sitios web de WordPress. Muchas empresas de alojamiento ofrecen ahora un certificado SSL gratuito para su sitio web de WordPress .
Si su empresa de alojamiento no ofrece uno, puede comprar uno en capasiete.com. Tienen la mejor y más confiable oferta de SSL del mercado. Viene con una garantía de seguridad de $ 10,000 y un sello de seguridad TrustLogo.
Seguridad de WordPress para usuarios de bricolaje
Si haces todo lo que hemos mencionado hasta ahora, estás en muy buena forma.
Pero como siempre, hay más que puede hacer para fortalecer su seguridad de WordPress.
Algunos de estos pasos pueden requerir conocimientos de codificación.
Cambiar el nombre de usuario predeterminado "admin"
En los viejos tiempos, el nombre de usuario de administrador de WordPress predeterminado era "admin". Dado que los nombres de usuario constituyen la mitad de las credenciales de inicio de sesión, esto facilitó a los piratas informáticos realizar ataques de fuerza bruta.
Afortunadamente, WordPress ha cambiado esto desde entonces y ahora requiere que seleccione un nombre de usuario personalizado en el momento de instalar WordPress .
Sin embargo, algunos instaladores de WordPress con 1 clic, aún establecen el nombre de usuario de administrador predeterminado en "admin".
Dado que WordPress no le permite cambiar los nombres de usuario de forma predeterminada, hay tres métodos que puede utilizar para cambiar el nombre de usuario.
- Cree un nuevo nombre de usuario de administrador y elimine el anterior.
- Utilice el complemento Username Changer
- Actualizar el nombre de usuario de phpMyAdmin
Nota: Estamos hablando del nombre de usuario llamado "admin", no del rol de administrador.
Deshabilitar la edición de archivos
WordPress viene con un editor de código incorporado que le permite editar su tema y archivos de complementos directamente desde su área de administración de WordPress. En las manos equivocadas, esta función puede suponer un riesgo para la seguridad, por lo que recomendamos desactivarla.
Puede hacer esto fácilmente agregando el siguiente código en su archivo wp-config.php .
|
1
2
|
// Disallow file editdefine( 'DISALLOW_FILE_EDIT', true ); |
Alternativamente, puede hacer esto con 1 clic usando la función Hardening en el complemento gratuito Sucuri que mencionamos anteriormente.
Deshabilitar la ejecución de archivos PHP en ciertos directorios de WordPress
Otra forma de reforzar la seguridad de WordPress es deshabilitando la ejecución de archivos PHP en directorios donde no es necesario, como / wp-content / uploads /.
Puede hacer esto abriendo un editor de texto como el Bloc de notas y pegando este código:
|
1
2
3
|
<Files *.php>deny from all</Files> |
A continuación, debe guardar este archivo como .htaccess y cargarlo en las carpetas / wp-content / uploads / de su sitio web mediante un cliente FTP .
Alternativamente, puede hacer esto con 1 clic usando la función Hardening en el complemento gratuito Sucuri que mencionamos anteriormente.
Limitar los intentos de inicio de sesión
Por defecto, WordPress permite a los usuarios intentar iniciar sesión tantas veces como quieran. Esto deja su sitio de WordPress vulnerable a ataques de fuerza bruta. Los piratas informáticos intentan descifrar las contraseñas intentando iniciar sesión con diferentes combinaciones.
Esto se puede solucionar fácilmente limitando los intentos fallidos de inicio de sesión que puede realizar un usuario. Si está utilizando el firewall de aplicaciones web mencionado anteriormente, esto se soluciona automáticamente.
Sin embargo, si no tiene la configuración del firewall, continúe con los pasos a continuación.
Primero, debe instalar y activar el complemento Login LockDown .
Tras la activación, visite la página Configuración »Iniciar sesión LockDown para configurar el complemento.
Agregar autenticación de dos factores
La técnica de autenticación de dos factores requiere que los usuarios inicien sesión mediante un método de autenticación de dos pasos. El primero es el nombre de usuario y la contraseña, y el segundo paso requiere que se autentique utilizando un dispositivo o aplicación independiente.
La mayoría de los principales sitios web en línea como Google, Facebook, Twitter, le permiten habilitarlo para sus cuentas. También puede agregar la misma funcionalidad a su sitio de WordPress.
Primero, debe instalar y activar el complemento de autenticación de dos factores . Tras la activación, debe hacer clic en el enlace 'Autenticación de dos factores' en la barra lateral de administración de WordPress.
A continuación, debe instalar y abrir una aplicación de autenticación en su teléfono. Hay varios de ellos disponibles como Google Authenticator, Authy y LastPass Authenticator.
Recomendamos utilizar LastPass Authenticator o Authy porque ambos le permiten hacer una copia de seguridad de sus cuentas en la nube. Esto es muy útil en caso de que su teléfono se pierda, reinicie o compre un teléfono nuevo. Todos los inicios de sesión de su cuenta se restaurarán fácilmente.
Usaremos LastPass Authenticator para el tutorial. Sin embargo, las instrucciones son similares para todas las aplicaciones de autenticación. Abra su aplicación de autenticación y luego haga clic en el botón Agregar.
Se le preguntará si desea escanear un sitio manualmente o escanear el código de barras. Seleccione la opción de escaneo del código de barras y luego apunte la cámara de su teléfono al código QR que se muestra en la página de configuración del complemento.
Eso es todo, su aplicación de autenticación ahora lo guardará. La próxima vez que inicie sesión en su sitio web, se le pedirá el código de autenticación de dos factores después de ingresar su contraseña.
Simplemente abra la aplicación de autenticación en su teléfono e ingrese el código que ve en ella.
Cambiar el prefijo de la base de datos de WordPress
De forma predeterminada, WordPress usa wp_ como prefijo para todas las tablas en su base de datos de WordPress . Si su sitio de WordPress utiliza el prefijo de base de datos predeterminado, los piratas informáticos podrán adivinar el nombre de su tabla más fácilmente. Por eso recomendamos cambiarlo.
Nota: Esto puede dañar su sitio si no se hace correctamente. Continúe solo si se siente cómodo con sus habilidades de codificación.
Página de inicio de sesión y administración de WordPress protegida con contraseña
Normalmente, los piratas informáticos pueden solicitar su carpeta wp-admin y su página de inicio de sesión sin ninguna restricción. Esto les permite probar sus trucos de piratería o ejecutar ataques DDoS.
Puede agregar protección de contraseña adicional a nivel del servidor, que bloqueará efectivamente esas solicitudes.
Deshabilitar la indexación y la exploración de directorios
Los piratas informáticos pueden utilizar la exploración de directorios para averiguar si tiene algún archivo con vulnerabilidades conocidas, de modo que puedan aprovechar estos archivos para obtener acceso.
Otras personas también pueden utilizar la exploración de directorios para buscar en sus archivos, copiar imágenes, averiguar la estructura de su directorio y otra información. Por eso es muy recomendable que desactive la indexación y la exploración de directorios.
Debe conectarse a su sitio web mediante FTP o el administrador de archivos de cPanel. Luego, ubique el archivo .htaccess en el directorio raíz de su sitio web.
Después de eso, debe agregar la siguiente línea al final del archivo .htaccess:
Options -Indexes
No olvide guardar y cargar el archivo .htaccess de regreso a su sitio.
Deshabilitar XML-RPC en WordPress
XML-RPC se habilitó de forma predeterminada en WordPress 3.5 porque ayuda a conectar su sitio de WordPress con aplicaciones web y móviles.
Debido a su naturaleza poderosa, XML-RPC puede amplificar significativamente los ataques de fuerza bruta.
Por ejemplo, tradicionalmente, si un pirata informático quisiera probar 500 contraseñas diferentes en su sitio web, tendría que realizar 500 intentos de inicio de sesión separados que serán capturados y bloqueados por el complemento de bloqueo de inicio de sesión.
Pero con XML-RPC, un hacker puede usar la función system.multicall para probar miles de contraseñas con, digamos, 20 o 50 solicitudes.
Por eso, si no está utilizando XML-RPC, le recomendamos que lo desactive.
Hay 3 formas de deshabilitar XML-RPC en WordPress.
Consejo: el método .htaccess es el mejor porque consume menos recursos.
Si está utilizando el cortafuegos de aplicaciones web mencionado anteriormente, el cortafuegos puede encargarse de esto.
Cerrar sesión automáticamente en usuarios inactivos en WordPress
Los usuarios que han iniciado sesión a veces pueden alejarse de la pantalla y esto representa un riesgo de seguridad. Alguien puede secuestrar su sesión, cambiar contraseñas o realizar cambios en su cuenta.
Esta es la razón por la que muchos sitios bancarios y financieros cierran automáticamente la sesión de un usuario inactivo. También puede implementar una funcionalidad similar en su sitio de WordPress.
Deberá instalar y activar el complemento de cierre de sesión inactivo . Tras la activación, visite Configuración » Página de cierre de sesión inactivo para configurar los ajustes del complemento.
Simplemente configure la duración del tiempo y agregue un mensaje de cierre de sesión. No olvide hacer clic en el botón Guardar cambios para almacenar su configuración.
Agregar preguntas de seguridad a la pantalla de inicio de sesión de WordPress
Agregar una pregunta de seguridad a la pantalla de inicio de sesión de WordPress hace que sea aún más difícil para alguien obtener acceso no autorizado.
Puede agregar preguntas de seguridad instalando el complemento WP Security Questions . Tras la activación, debe visitar la página Configuración »Preguntas de seguridad para configurar los ajustes del complemento.
Escaneo de WordPress en busca de malware y vulnerabilidades
Si tiene un complemento de seguridad de WordPress instalado, esos complementos buscarán de forma rutinaria malware y signos de violaciones de seguridad.
Sin embargo, si ve una caída repentina en el tráfico del sitio web o en la clasificación de búsqueda , es posible que desee ejecutar un análisis manualmente. Puede usar su complemento de seguridad de WordPress o uno de estos escáneres de seguridad y malware .
Ejecutar estos escaneos en línea es bastante sencillo, simplemente ingrese las URL de su sitio web y sus rastreadores recorren su sitio web para buscar malware conocido y código malicioso.
Ahora tenga en cuenta que la mayoría de los escáneres de seguridad de WordPress solo pueden escanear su sitio web. No pueden eliminar el malware ni limpiar un sitio de WordPress pirateado.
Esto nos lleva a la siguiente sección, la limpieza de malware y sitios de WordPress pirateados.
Arreglar un sitio de WordPress pirateado
Muchos usuarios de WordPress no se dan cuenta de la importancia de las copias de seguridad y la seguridad del sitio web hasta que su sitio web es pirateado.
Limpiar un sitio de WordPress puede ser muy difícil y llevar mucho tiempo. Nuestro primer consejo sería dejar que un profesional se encargue de ello.
Los piratas informáticos instalan puertas traseras en los sitios afectados y, si estas puertas traseras no se reparan correctamente, es probable que vuelvan a piratear tu sitio web.
Permitir que una empresa de seguridad profesional como Sucuri arregle su sitio web garantizará que su sitio sea seguro para volver a usarlo. También lo protegerá contra futuros ataques.
Eso es todo, esperamos que este artículo lo haya ayudado a aprender las mejores prácticas de seguridad de WordPress, así como a descubrir los mejores complementos de seguridad de WordPress para su sitio web.
By wpbeginner.com
