Saritel Abbaszade
Autor
WordPress es el Sistema de Gestión de Contenidos que impulsa más del 30% de todos los sitios web. Sin embargo, a medida que aumenta su popularidad, los hackers lo han notado y están comenzando a atacar directamente las páginas de WordPress. Entonces, ¿cómo hacer que un sitio de WordPress sea seguro?
¿Por qué necesitas seguridad en WordPress?
Hay muchas razones por las que necesitas mantener seguro tu sitio web de WordPress. Primero, WordPress es un sistema de gestión de contenidos (CMS) que impulsa millones de sitios web en todo el mundo. Eso significa que si un hacker encontrara una manera de explotar una vulnerabilidad de seguridad en WordPress, podría afectar potencialmente a millones de sitios web.
En segundo lugar, debido a que WordPress es tan popular, es un objetivo principal para los hackers. Los hackers saben que si pueden encontrar una manera de explotar un sitio web de WordPress, potencialmente pueden acceder a un gran número de sitios web.
En tercer lugar, si tu sitio web de WordPress es hackeado, podría dañar tu reputación y costarte dinero. Si los hackers logran acceder a tu sitio web y desfigurarlo o agregar código malicioso, podría reflejarse negativamente en tu negocio y podrías perder clientes. Y, si tu sitio web se utiliza para distribuir malware o estafas de phishing, podrías ser responsable de los daños.
¿Qué tan seguro es WordPress?
Aunque ningún sitio web es 100% seguro, WordPress es una plataforma bastante segura. El equipo central de WordPress trabaja arduamente para abordar las vulnerabilidades de seguridad a medida que se descubren. Y, dado que WordPress es de código abierto, la comunidad puede ayudar a identificar y solucionar problemas de seguridad.
Más de 86 mil millones de solicitudes de asalto de contraseñas han sido detenidas por el firewall de Wordfence en la primera mitad del año 2021. Las estadísticas y patrones han sido analizados, y los resultados muestran que el número de asaltos a las contraseñas de los usuarios seguirá aumentando. Wordfence detuvo 8,227,887,615 intentos de irrumpir usando fuerza bruta en enero de 2021. Este número se ha más que duplicado, con aproximadamente 18,552,519,601 intentos de fuerza bruta detenidos solo en el mes de junio de 2021.
Recurso: Wordfence
Preocupaciones sobre la seguridad de WordPress
Entonces, ¿cuáles son las posibles consecuencias para alguien que decide ignorar todas estas cifras y no hace ningún esfuerzo por proteger su sitio web de WordPress? Resulta que una cantidad significativa. Las siguientes son las formas más típicas de ciberataques llevados a cabo contra sitios web de WordPress:
Intentos de inicio de sesión por fuerza bruta
Esta es una de las formas más sencillas de ataque. Un inicio de sesión por fuerza bruta es cuando un atacante utiliza software automatizado para ingresar una gran cantidad de combinaciones de nombre de usuario y contraseña en un corto período de tiempo en un intento de adivinar las credenciales correctas. La técnica de hacking conocida como fuerza bruta puede usarse para acceder a cualquier dato protegido por contraseña, no solo inicios de sesión.
Scripting que abarca muchos sitios (XSS)
Se dice que un atacante ha utilizado XSS cuando "inyecta" código malicioso en el backend del sitio web objetivo para robar información y causar estragos en el funcionamiento del sitio. Este código podría añadirse en el backend a través de técnicas más complejas, o podría suministrarse simplemente como una respuesta en un formulario que se presenta al usuario.
Inyecciones en bases de datos
Este tipo de ataque también se conoce como inyección SQL, y ocurre cuando un adversario envía una cadena de código malicioso a un sitio web a través de alguna entrada del usuario, como un formulario de contacto. Después, el sitio web guardará el código en su propia base de datos interna. Un código malicioso se ejecuta en el sitio web, al igual que un ataque XSS, para recuperar o comprometer información sensible que se guarda en la base de datos.
Puertas traseras
Una puerta trasera es un archivo que contiene código que permite a un atacante acceder a tu sitio web en cualquier momento al permitirles eludir la pantalla de inicio de sesión habitual de WordPress. Es común que los atacantes oculten puertas traseras entre otros archivos fuente de WordPress, lo que dificulta que los usuarios con menos habilidades las localicen. Incluso después de que la puerta trasera ha sido desactivada, los atacantes pueden seguir eludiendo tu inicio de sesión escribiendo variaciones de ella y empleándolas.
Aunque WordPress restringe los formatos de archivo que los usuarios pueden subir en un esfuerzo por reducir el riesgo de puertas traseras, este sigue siendo un problema significativo que debe tenerse en cuenta.
Ataques utilizando el Protocolo de Denegación de Servicio (DoS)
Como resultado de estos ataques, los usuarios autorizados no pueden acceder a sus propios sitios web. El método más común de realizar un ataque de denegación de servicio es derribar el servidor objetivo inundándolo con tráfico excesivo. Las consecuencias se agravan en el caso de un ataque de denegación de servicio distribuido, también conocido como ataque DDoS, que es un ataque DoS que se lleva a cabo por varias máquinas al mismo tiempo.
Phishing
El phishing es el acto de un atacante contactando a un objetivo mientras finge ser una empresa o servicio genuino y solicita información sensible. En la mayoría de los casos, el objetivo de un esfuerzo de phishing será persuadido para entregar información personal, descargar software malicioso o visitar un sitio web malicioso. En el caso de que un adversario obtenga acceso a tu cuenta de WordPress, incluso podrían coordinar ataques de phishing en tus clientes mientras fingen ser tú.
Hotlinking
Cuando otro sitio web muestra contenido incrustado (a menudo una imagen) alojado en tu sitio web sin tu permiso, esta práctica se conoce como "hotlinking". Da la impresión de que el otro sitio web posee el contenido. Aunque es más análogo al robo que a un ataque en toda regla, el hotlinking suele ser ilegal y causa serios problemas para la víctima. La víctima debe pagar cada vez que el contenido se recupera de su servidor y se muestra en otro sitio web, lo que resulta en que la víctima incurra en altos costos.
¿Cómo hacer seguro tu sitio web de WordPress?
En esta guía, repasaremos nuestros consejos para mantener seguro tu sitio de WordPress.
Elige una buena empresa de alojamiento de dominios
Elegir un servicio de alojamiento que ofrezca varias capas de protección es la forma más segura de mantener tu sitio seguro. Puede sonar tentador seleccionar un proveedor de alojamiento de bajo costo; después de todo, ahorrar dinero en el alojamiento web te permite invertirlo en otras áreas de tu negocio. Sin embargo, no se debe tomar esta ruta. Puede, y a menudo lo hace, llevar a pesadillas en el futuro. Tu información podría ser eliminada y tu URL podría comenzar a redirigir a una ubicación diferente.
Cuando pagas un poco más por un proveedor de alojamiento superior, obtienes niveles adicionales de cifrado aplicados automáticamente a tu sitio web.
Otra ventaja de tener un buen servicio de alojamiento de WordPress es que puedes acelerar significativamente el dominio de WordPress.
Intenta no usar temas nulled
Los temas premium de WordPress tienen un aspecto más pulido y ofrecen más oportunidades de personalización que los temas gratuitos. Sin embargo, se puede argumentar que obtienes lo que pagas. Los temas premium son diseñados por desarrolladores experimentados y se prueban para pasar varias pruebas de WordPress desde el primer momento. La personalización del tema no está regulada, y obtendrás ayuda completa si algo sale mal en tu sitio. Lo más importante, recibirás actualizaciones diarias del tema.
Sin embargo, hay algunos sitios web que venden temas nulled o crackeados. Un tema nulled o crackeado es un tema premium que ha sido comprometido y puesto a disposición por medios ilícitos. Por lo tanto, son muy peligrosos para el sitio web.
Instala un plugin de seguridad para WordPress
Probar regularmente la protección de tu sitio web contra malware consume tiempo. Debido a que mantienes tu conocimiento de los estándares de codificación actualizado, ni siquiera entiendes que estás viendo malware escrito en el documento. Afortunadamente, la mayoría de las personas han reconocido que no todos son desarrolladores y han desarrollado plugins de protección para WordPress para ayudar. Un plugin de protección cuida la seguridad de tu sitio, verifica si hay ransomware y lo monitorea las 24 horas del día, los 7 días de la semana para ver qué está pasando.
Crea una contraseña segura
Las contraseñas son un aspecto vital de la seguridad del sitio web que a menudo se pasa por alto. Si estás usando una contraseña simple como "123456, abc123, password", debes actualizarla de inmediato. Esta contraseña es fácil de recordar, pero también es fácil de adivinar. Un usuario sofisticado puede descifrar rápidamente tu contraseña y acceder a tu cuenta sin dificultad.
Es fundamental usar una contraseña complicada, o mejor aún, una creada automáticamente usando una combinación de números, variaciones de letras incomprensibles y caracteres especiales como el porcentaje o el punto.
Intenta deshabilitar la edición de archivos
Hay una función de edición de código en tu panel de control de WordPress que te ayuda a editar tu tema y plugins cuando estás configurando tu plataforma. Apariencia>Editor es donde encontrarás una función de edición de código. También puedes usar el editor de plugins.
Recomendamos que desinstales esta función una vez que tu sitio esté en línea. Los hackers pueden insertar código malicioso sutil en tu tema y plugin si obtienen acceso a tu panel de administración de WordPress. La codificación es siempre tan silenciosa que no sabrás que algo está mal hasta que sea demasiado tarde. Pega el código en tu archivo wp-config.php para desinstalar la capacidad de editar plugins y archivos de temas.
Configura un certificado SSL
SSL, o Capa de Conexión Segura, también es ampliamente utilizado por todos los sitios web. Inicialmente, SSL se usaba para hacer que un sitio web fuera seguro para transacciones particulares, como el procesamiento de pagos. Hoy, sin embargo, Google ha reconocido su importancia y da una clasificación más alta en sus resultados de búsqueda a los sitios web habilitados para SSL.
SSL es necesario para cualquier sitio que maneje datos sensibles, como contraseñas o números de tarjetas de crédito. Los datos entre el navegador web del usuario y tu servidor web se entregan en texto plano si no tienes una licencia SSL. Los hackers podrán descifrar esto. Usar un certificado SSL cifra la información confidencial antes de que se envíe entre su navegador y el sitio web, lo que hace que sea más difícil de leer y mejora la seguridad de tu sitio.
Cambia la URL de la página de inicio de sesión de WordPress
La dirección para iniciar sesión en WordPress es "tusitio.com/wp-admin" por defecto. Si lo dejas tal cual, evitas ser víctima de un ataque de fuerza bruta dirigido a romper tu combinación de nombre de usuario/contraseña. Puedes recibir una gran cantidad de registros de spam si permites que los usuarios se registren para cuentas de suscripción. Ajusta la URL del nombre de usuario del administrador o aplica una consulta de seguridad a la pestaña de registro e inicio de sesión para evitar esto.
Agrega un plugin de autenticación de 2 factores a tu sitio de WordPress para asegurar tu página de inicio de sesión. Para obtener acceso a tu sitio, necesitarías tener seguridad adicional al intentar iniciar sesión.
También podrás ver qué direcciones IP tienen la mayoría de los intentos de inicio de sesión fallidos y bloquearlas.
Limita el inicio de sesión
WordPress permite que las personas intenten iniciar sesión tantas veces como quieran por defecto. Aunque esto puede ayudar a recordar qué letras están en mayúsculas, también te expone a ataques de fuerza bruta.
Los usuarios intentarán una cantidad limitada de veces antes de ser bloqueados temporalmente al restringir el número de intentos de inicio de sesión. El hacker queda bloqueado hasta que pueda completar su ataque, limitando las posibilidades de un ataque de fuerza bruta.
Oculta los directorios wp-config.php y .htaccess
Aunque cubrir los archivos .htaccess y wp-config.php de tu sitio para disuadir a los hackers de acceder a ellos es un proceso sofisticado para mejorar la protección de tu sitio, es una buena idea si te preocupa tu seguridad.
Recomendamos firmemente a los desarrolladores experimentados que adopten esta opción, ya que es esencial hacer una copia de seguridad de tu sitio primero y proceder con precaución. Cualquier error podría dejar tu sitio web inaccesible.
Tu versión de WordPress debe estar actualizada
Es una buena idea mantener tu WordPress actualizado para mantener tu sitio web estable. Los desarrolladores permiten algunas mejoras en cada lanzamiento, y las características de seguridad se actualizan periódicamente. Al mantener tus aplicaciones actualizadas, puedes prevenirte aún más de convertirte en una víctima de vulnerabilidades y fallos preidentificados que los hackers pueden usar para obtener acceso a tu sitio web.
También es esencial mantener los plugins y temas actualizados por las mismas razones. WordPress instala automáticamente actualizaciones menores por casualidad. Sin embargo, los cambios significativos deben realizarse directamente desde el panel de administración de WordPress.
Usa plugins que sean seguros
Usar plugins seguros es tan crítico para la seguridad de tu sitio web de WordPress. Hay muchos plugins para WordPress. No todos son seguros para tu sitio web. Antes de instalarlos, debes saber si son seguros o no. Tal vez tienes un negocio y quieres instalar un plugin de autopublicación para tus publicaciones en redes sociales. Mientras buscas el plugin adecuado para ti, intenta informarte sobre la seguridad del plugin.
Por ejemplo, FS Poster es uno de los mejores plugins de autopublicación en redes sociales. Este plugin es seguro para tu sitio web de WordPress. FS Poster tiene muchas características para ti. Prueba la versión demo y ve estas características.
Para iniciar sesión, usa tu dirección de correo electrónico
Para iniciar sesión en WordPress, primero debes escribir tu nombre de usuario. Usar un ID de correo electrónico en lugar de un nombre de usuario es un enfoque más seguro. Las causas son evidentes. Los nombres de usuario son fáciles de adivinar, pero las direcciones de correo electrónico no lo son. Además, a cada cuenta de usuario de WordPress se le asigna una dirección de correo electrónico única, que sirve como un identificador válido para iniciar sesión.
Varios plugins de protección de WordPress te permiten crear páginas de inicio de sesión que permiten a todos los usuarios iniciar sesión con sus direcciones de correo electrónico.
No uses el nombre de usuario "admin"
Nunca debes usar "admin" como el nombre de usuario para tu cuenta de administrador principal al instalar WordPress. Los hackers pueden inferir fácilmente un nombre de usuario tan fácil de adivinar. Solo necesitan descubrir la contraseña, y todo el sitio web está comprometido.
Realiza copias de seguridad diarias de tu cuenta de WordPress para mantenerla segura
Siempre hay espacio para el crecimiento, sin importar cuán estable sea tu sitio de WordPress. Pero, independientemente de lo que suceda, mantener una copia fuera del sitio en algún lugar es probablemente el mejor antídoto. Puedes restaurar tu sitio de WordPress a un estado funcional en cualquier momento si tienes una copia de seguridad. Algunos plugins pueden ayudarte con esto.
Mantén tu software y plugins actualizados
Una de las cosas más importantes que puedes hacer para mantener seguro tu sitio de WordPress es asegurarte de que tu software y plugins estén siempre actualizados. WordPress lanza actualizaciones de seguridad regularmente, y es esencial instalar estas actualizaciones tan pronto como estén disponibles.
Puedes configurar WordPress para instalar actualizaciones automáticamente o actualizar manualmente tu software iniciando sesión en tu panel de control de WordPress y yendo a la sección de Actualizaciones.
Además de actualizar WordPress en sí, también debes asegurarte de que todos tus plugins y temas estén actualizados. La mayoría de los desarrolladores de plugins y temas lanzan actualizaciones cada vez que se descubre una nueva vulnerabilidad de seguridad.
Si no estás seguro de si un plugin o tema está actualizado, puedes averiguarlo revisando la página de inicio del plugin o el repositorio de plugins de WordPress.org.
Protege tus credenciales de inicio de sesión y no las compartas con nadie más
Otro paso importante para mantener seguro tu sitio de WordPress es proteger tus credenciales de inicio de sesión y asegurarte de no compartirlas con nadie más. Tu nombre de usuario y contraseña son las llaves de tu sitio web, por lo que es esencial mantenerlas seguras.
Reflexiones finales
Puede que te preguntes "cómo hacer seguro un sitio web de WordPress" y busques respuestas. Entonces estás en el lugar correcto. La estabilidad del sitio web es tan crítica. Los hackers rápidamente apuntarán a tu sitio si no mantienes tu protección de WordPress actualizada. Hemos enumerado algunos consejos para hacer seguro tu sitio web de WordPress. Si sigues estos consejos, puedes mantener tu sitio web seguro.
