¿Quiere proteger su sitio WordPress de los piratas informáticos?
La seguridad en WordPress no es sólo una opción. Proteger tu sitio de riesgos de seguridad como código malicioso, malware, bots y mucho más es necesario.
Cada semana, Google incluye en sus listas negras más de 10.000 sitios web por malware y más de 50.000 por phishing. Así que si te tomas en serio la seguridad de tu sitio web, estás en el lugar adecuado.
En esta guía de seguridad de WordPress, le mostraremos cómo proteger su sitio web de WordPress de la mayoría de los problemas de seguridad.
¿Puede WordPress ser seguro?
WordPress puede ser un sistema de gestión de contenidos (CMS) seguro si se toman las medidas de seguridad necesarias. A continuación, compartiremos las precauciones de seguridad del sitio web más esenciales que debes tomar y explicaremos por qué hacerlo es vital para el sitio web de tu empresa.
- 1. Entender por qué es importante la seguridad de WordPress
- 2. Mantenga actualizados los archivos principales de WordPress
- 3. Eliminar temas y plugins no utilizados
- 4. Utilice contraseñas y permisos seguros
- 5. Elija una empresa de alojamiento de WordPress segura
- 6. Instale una solución de copia de seguridad de WordPress
- 7. Elija el mejor plugin de seguridad para WordPress
- 8. Utilice un cortafuegos de aplicaciones web (WAF)
- 9. Cambiar de HTTP a SSL/HTTPS
- 10. Limitar los intentos de inicio de sesión
- 11. Utilizar autenticación de dos factores
- 12. Ocultar la página de inicio de sesión de WordPress
- 13. Cambiar su nombre de usuario de administrador predeterminado
- 14. Conceder acceso de administrador por IP
- 15. Desactivar XML-RPC en WordPress
- 16. Desactivar la edición de archivos
- 17. Escanee su sitio WordPress en busca de malware
Conceptos básicos de seguridad en WordPress
Empecemos por entender por qué mantener su sitio WordPress seguro es esencial para su éxito y cómo implementar algunas medidas de seguridad básicas.
En primer lugar, quizá se pregunte por qué es importante la seguridad en WordPress.
1. Entender por qué es importante la seguridad de WordPress
Imagine despertarse un día y encontrar su sitio web WordPress comprometido. Todo ese trabajo de creación de un sitio empresarial profesional, un blog o un sitio web de comercio electrónico se hace añicos por culpa de molestos hackers.
Los piratas informáticos pueden introducir vulnerabilidades de seguridad que no sólo dañan los ingresos y la reputación de su empresa. También pueden robar información personal, como contraseñas y datos de tarjetas de crédito, e instalar software malicioso que envíe malware a tus usuarios.
Lo peor es que puedes ser víctima del pago de un ransomware para recuperar el acceso a tu sitio web.
Si tu sitio es un negocio y quieres evitar esa pesadilla, necesitas prestar más atención a la seguridad de tu WordPress. Eso empieza con la sencilla práctica de mantener actualizada tu versión principal de WordPress.
2. Mantenga actualizados los archivos principales de WordPress
Dado que WordPress es de código abierto, se mantiene y actualiza con regularidad. La instalación predeterminada de WordPress instalará automáticamente las actualizaciones menores, pero tendrás que actualizar WordPress manualmente a la última versión de las versiones mayores.
Del mismo modo, WordPress cuenta con miles de plugins y temas. Los desarrolladores de estas herramientas de terceros también lanzan actualizaciones periódicas.
Además, las actualizaciones suelen contener parches de seguridad que corrigen vulnerabilidades. Así que es vital actualizar los plugins y temas de WordPress con frecuencia para garantizar la estabilidad y seguridad de tu sitio.
3. Eliminar temas y plugins no utilizados
Además de mantener actualizados tus plugins y temas, también deberías eliminar los que ya no utilices.
Tener temas y plugins innecesarios es como dejar las puertas de tu casa sin cerrar. Ofrece una puerta trasera para que los hackers accedan, así que deshazte de todo lo que no necesites.
4. Utilice contraseñas y permisos seguros
Algunos de los intentos de pirateo de WordPress más comunes utilizan nombres de usuario y contraseñas robados para acceder a un sitio web. Para dificultar los intentos de pirateo, utiliza contraseñas seguras y exclusivas para tu sitio de WordPress.
Esto se aplica a tu sitio WordPress, alojamiento, cuentas FTP, dirección de correo electrónico de empresa y mucho más.
Aunque es tentador utilizar el nombre de tu mascota porque es fácil de recordar, también es fácil de adivinar.
La mejor práctica es utilizar una contraseña con al menos 12 caracteres. Esos caracteres deben tener números en mayúsculas y minúsculas, símbolos y letras.
Muchos usuarios de WordPress evitan crear contraseñas complejas porque son difíciles de recordar. La buena noticia es que puedes utilizar gestores de contraseñas para generar y almacenar contraseñas seguras.
Otro consejo importante es mantener la privacidad de tu cuenta de administrador de WordPress. Si tienes un equipo grande trabajando en tu sitio, o varios autores de WordPress, puedes asignarles roles y permisos de usuario específicos antes de añadir sus nuevas cuentas de usuario.
5. Elija una empresa de alojamiento de WordPress segura
Otro paso básico en materia de seguridad es asegurarse de utilizar un alojamiento web de confianza. Los mejores proveedores de alojamiento de WordPress, como Bluehost, SiteGround y Hostinger, ponen especial cuidado en proteger sus servidores frente a brechas de seguridad.
Una buena empresa de alojamiento de WordPress suele trabajar en segundo plano para proteger su sitio mediante las siguientes medidas:
- Vigilancia de actividades sospechosas
- Mantener herramientas para prevenir ataques DDOS a gran escala
- Mantener actualizados el software, el hardware y las versiones de PHP del servidor.
- Implantar planes de recuperación en caso de catástrofe y accidente para incidentes graves
Muchos proveedores ofrecen planes de alojamiento compartido en los que se comparten los recursos del servidor web con otros clientes.
Dado que esto puede suponer el riesgo de que los hackers utilicen sitios vecinos para atacar el suyo, puede ser mejor utilizar en su lugar un alojamiento WordPress gestionado.
Los proveedores de alojamiento gestionado de WordPress, como WPEngine, tienen una plataforma más segura. También ofrecen copias de seguridad automáticas, actualizaciones de WordPress y seguridad avanzada.
Pasos de seguridad de WordPress sin código
Entendemos que mejorar la seguridad de su WordPress puede asustar, especialmente a los nuevos propietarios de sitios web y a los principiantes. No te preocupes, los pasos que te damos a continuación no requieren conocimientos técnicos.
En unos minutos, estarás en camino de reforzar la seguridad de tu WordPress sin escribir código.
6. Instale una solución de copia de seguridad de WordPress
Hacer copias de seguridad de WordPress es una de tus primeras defensas contra los hackers. Si ocurre algo terrible, te permiten restaurar tu sitio al estado anterior.
Los mejores plugins de copia de seguridad de WordPress tienen versiones gratuitas y de pago con funciones adicionales, como transferencias de bases de datos y archivos de WordPress, puntos de recuperación y alertas por correo electrónico. Sin embargo, la función más importante que debes buscar es la capacidad de realizar y guardar copias de seguridad de forma periódica en una ubicación remota.
Busca soluciones de copia de seguridad con almacenamiento externo en lugares como Amazon, Dropbox o almacenamiento privado en la nube. Además, opta por plugins que permitan realizar copias de seguridad según tus horarios, como copias de seguridad una vez al día o en tiempo real.
Algunos plugins de copia de seguridad populares con estas características incluyen Duplicator, UpdraftPlus, BlogVault y Jetpack VaultPress Backups. Son fáciles de usar, fiables y no requieren codificación.
7. Elija el mejor plugin de seguridad para WordPress
Después de buscar una solución de copia de seguridad, la siguiente tarea es configurar un sistema de supervisión para realizar un seguimiento de la actividad en su sitio web. Esta actividad puede incluir intentos fallidos de inicio de sesión, supervisión de la integridad de los archivos, análisis de malware, etc.
La mayoría de estas tareas de monitoreo son fácilmente manejadas por Sucuri Scanner, el mejor plugin de seguridad gratuito para WordPress. Después de instalar y activar Sucuri, navega a Sucuri Security " Settings desde tu panel de WordPress y haz clic en la pestaña Hardening.
Ahora vaya a través de cada opción y haga clic en el botón Aplicar endurecimiento.
Estos ajustes ayudan a bloquear las áreas de su sitio que los hackers utilizan a menudo en sus ataques. La única opción que tendrá que pagar para actualizar es el Web Application Firewall que explicaremos en el siguiente paso.
Otros plugins de seguridad alternativos para WordPress son WordFence e iThemes Security.
8. Utilice un cortafuegos de aplicaciones web (WAF)
Utilizar un cortafuegos es una forma eficaz de bloquear el tráfico malicioso antes de que llegue a su sitio de WordPress, y hay varios tipos entre los que elegir.
- Cortafuegos de sitios web a nivel de DNS: Enruta el tráfico del sitio a través de servidores proxy en la nube, enviando sólo tráfico genuino a su servidor web.
- Cortafuegos de nivel de aplicación: Examina el tráfico una vez que llega a su servidor pero antes de cargar los scripts de WordPress.
Como se mencionó anteriormente, el firewall de Sucuri es una solución robusta para esto. Sucuri ayudó a WPBeginner a bloquear 450.000 ataques en 3 meses, lo que demuestra su eficacia.
El plugin también incluye limpieza de malware y garantía de eliminación de listas negras, por lo que si te hackean mientras lo usas, ellos arreglarán tu sitio sin hacer preguntas. Teniendo en cuenta que la mayoría de los expertos en seguridad cobran alrededor de 250 dólares por hora, este servicio es una ganga por solo 199 dólares al año.
Mejore la seguridad de su WordPress con el Firewall Sucuri hoy mismo.
9. Cambiar de HTTP a SSL/HTTPS
Si aún no lo ha hecho, añadir el cifrado SSL a su sitio de WordPress es un paso crucial. SSL, abreviatura de Secure Sockets Layer, cifra las transferencias de datos entre su sitio y los navegadores de los visitantes. Básicamente, dificulta a los piratas informáticos el robo de información.
Una vez activado SSL, su sitio utilizará HTTPS en lugar de HTTP. También habrá un icono de candado junto a su dirección en los navegadores web.
Los precios de los certificados SSL oscilan entre 80 y cientos de dólares anuales, por lo que es algo que muchos propietarios de sitios evitan. Sin embargo, desde que Let's Encrypt empezó a ofrecer certificados SSL gratuitos, muchas empresas de alojamiento los ofrecen como parte de sus planes.
Si tu proveedor de alojamiento web no ofrece SSL, puedes comprar uno en domain.com. Tienen la oferta de SSL más fiable, con una garantía de seguridad de 10.000 dólares y el sello de seguridad TrustLogo.
Consejos avanzados de seguridad para WordPress
Una vez que hayas dominado los pasos de seguridad anteriores, es hora de subir de nivel. Siempre hay algo más que puedes hacer para asegurar tu sitio WordPress, vamos a explorar algunas medidas de seguridad avanzadas.
Nota: Algunos de los pasos siguientes pueden requerir conocimientos de codificación.
10. Limitar los intentos de inicio de sesión
Para proteger aún más tu sitio contra la amenaza de ataques de fuerza bruta, puedes limitar los intentos de inicio de sesión en WordPress. De esta forma, cuando alguien introduce una contraseña incorrecta repetidamente, se le bloquea el acceso a tu sitio durante un tiempo.
Una forma de implementar esta función es utilizar el plugin Limit Login Attempts Reloaded.
Te permite especificar el número máximo de contraseñas incorrectas permitidas antes de bloquear al usuario y te envía un correo electrónico cada vez que falla un inicio de sesión.
Para obtener instrucciones completas sobre la configuración de este plugin, consulte esta guía sobre cómo limitar los intentos de inicio de sesión en WordPress.
11. Utilizar autenticación de dos factores
La autenticación de dos factores hace que el proceso de inicio de sesión de los usuarios legítimos sea más complicado y molesto, y ayuda a mantener alejados de su sitio web a los indeseables.
Como su nombre indica, la autenticación de dos factores requiere que los usuarios completen dos pasos de seguridad antes de poder utilizar el sitio. El primer paso suele ser la tradicional comprobación de nombre y contraseña. El segundo paso consiste en introducir un código de seguridad que se les envía por SMS u otro dispositivo seguro.
Muchos plugins permiten configurar la autenticación de dos factores, como el plugin gratuito WordPress Two Factor Authentication.
Después de instalar y activar el plugin, haga clic en el enlace Two Factor Auth en su administración de WordPress, que revela un código de configuración de un solo uso.
A continuación, instala y abre una aplicación de autenticación en tu teléfono, como Google Authenticator, y haz clic en el icono del signo más para añadir un nuevo código.
A partir de ahí, puedes escanear el código QR en la página de configuración del complemento para finalizar la configuración.
La próxima vez que inicie sesión en su sitio de WordPress, se le pedirá el código de autenticación de dos factores después de introducir su contraseña.
12. Ocultar la página de inicio de sesión de WordPress
Casi todos los hackers saben que normalmente se accede a una página de administración de WordPress añadiendo /wp-admin después del nombre de dominio. Por ejemplo, si su nombre de dominio es xyz.com, es probable que se acceda a su página de administración mediante la siguiente URL: http://xyz.com/wp-admin.
También saben que el nombre de la página de inicio de sesión es wp-login.php.
Afortunadamente, puedes cambiar eso. Los plugins, como WPS Hide Login, te permiten personalizar tu URL de inicio de sesión.
Se hace mucho más difícil para los hackers entrar en su sistema si no pueden encontrar su página de inicio de sesión. También puedes seguir esta guía sobre cómo cambiar la URL de inicio de sesión de WordPress.
13. Cambiar su nombre de usuario de administrador predeterminado
Del mismo modo, su instalación de WordPress puede dar a las cuentas de administrador el nombre de usuario "admin". Es mejor cambiar este nombre lo antes posible porque los hackers están familiarizados con él y pueden intentar un hack de "fuerza bruta" (intentar varias contraseñas repetidamente) con ese nombre de usuario.
Muchos proveedores de alojamiento son conscientes de esta posibilidad de ataque y, por ello, evitan crear la cuenta de administrador con el nombre "admin". Sin embargo, sigue mereciendo la pena comprobarlo para mejorar tu seguridad.
14. Conceder acceso de administrador por IP
Si usted es la única persona autorizada para realizar tareas administrativas en su sitio de WordPress, también puede restringir el acceso administrativo por dirección IP.
Su dirección IP es un cuarteto de números que le identifica en Internet. Piense en ella como su dirección digital.
Con esto en mente, puedes decirle a WordPress que sólo permita a la gente acceder al administrador si tienen una dirección IP específica. Esto significa que los hackers que intenten acceder a tu sitio desde cualquier otra IP no tendrán éxito.
Para implementar esta función de seguridad, vaya a whatismyip.com para descubrir su dirección IP. A continuación, tendrás que modificar tu archivo .htaccess en el directorio de administración de tu proveedor de alojamiento para realizar el cambio de seguridad.
Si no sabes cómo hacerlo, llama a la línea de asistencia técnica de tu empresa de alojamiento y pide a un técnico que lo haga por ti.
Específicamente, usted querrá algo que se parece a esto añadido al archivo:
<Files wp-login.php>
order deny,allow
Deny from all
Allow from xxx.xxx.xxx.xxx
</Files>
Sustituye "xxx.xxx.xxx.xxx" por la dirección IP que has visto en whatismyip.com. Una vez hecho esto y guardado el archivo, sólo las personas con esa IP específica podrán acceder al administrador de WordPress.
Nota: A veces, tu proveedor de servicios de Internet (ISP) cambia tu dirección IP. Si eso ocurre, te bloquearán el acceso a tu sitio. La solución es llamar al servicio de asistencia técnica y pedir a un técnico que actualice la dirección IP en consecuencia. Hazlo por tu cuenta y riesgo.
15. Desactivar XML-RPC en WordPress
ML-RPC es una función introducida en WordPress 3.5 que ayuda a conectar tu sitio WordPress con aplicaciones web y móviles. Sin embargo, debido a lo potente que es, también puede amplificar los ataques de fuerza bruta.
Por ejemplo, anteriormente, si un pirata informático quería probar 500 contraseñas diferentes, tendría que realizar 500 intentos de inicio de sesión que los plugins de limitación de intentos de inicio de sesión normalmente detectaban. Sin embargo, con XML-RPC, los hackers pueden utilizar la función system.multicall para probar miles de contraseñas con menos peticiones.
En consecuencia, si no utiliza XML-RPC, lo mejor es desactivarlo. Para obtener instrucciones completas, consulte esta guía sobre cómo desactivar XML-RPC en WordPress.
16. Desactivar la edición de archivos
WordPress tiene un editor de código integrado que te permite editar archivos de temas y plugins desde el área de administración de WordPress. En las manos equivocadas, esta función puede poner en riesgo la seguridad de tu sitio, por lo que es mejor desactivarla.
Puede hacerlo fácilmente añadiendo el siguiente código a su archivo wp-config.php.
<Files *.php>
deny from all
</Files>
Alternativamente, puedes desactivar la edición de archivos utilizando la función Hardening del plugin gratuito de Sucuri mencionado anteriormente.
17. Escanee su sitio WordPress en busca de malware
Probablemente ya disponga de un software antivirus en su PC que escanea su disco duro en busca de amenazas potenciales. Si tienes instalado un plugin de seguridad para WordPress, comprobará de forma rutinaria tu sitio en busca de brechas de seguridad y malware.
Sin embargo, una caída repentina en el tráfico de su sitio web o en el posicionamiento en los motores de búsqueda podría indicar que algo va mal, y debería realizar un análisis manual. Para ello, puedes utilizar el plugin de seguridad de WordPress o un escáner de malware y seguridad.
Ejecutar un escáner en línea es muy sencillo. Solo tiene que introducir las URL de su sitio web y el escáner lo rastreará en busca de malware y código malicioso.
Aunque estos escáneres pueden escanear su sitio web, no pueden eliminar el malware ni limpiar un sitio pirateado.
Próximos pasos
Esperamos que esta guía sobre cómo proteger tu sitio WordPress de los hackers te haya resultado útil. Tu sitio WordPress es tan susceptible de sufrir intrusiones como cualquier otro sitio de la web, pero puedes mitigar el riesgo de sufrir un ataque siguiendo las mejores prácticas de seguridad para WordPress.
Para más información, consulta los siguientes tutoriales y guías:
- Los mejores plugins para WordPress multisitio
- Cómo proteger con contraseña un sitio de WordPress
- Los mejores plugins duplicadores de WordPress
- Cómo aceptar pagos seguros de Stripe en WordPress
Gracias por leernos. Nos encantaría conocer tu opinión, así que no dudes en dejarnos un comentario con tus preguntas y comentarios.
También puede seguirnos en YouTube, X (antes Twitter) y Facebook para obtener más contenidos útiles para hacer crecer su negocio.
Hola, amigo mi pregunta es que, por favor diga cómo asegurar blog wordpress / sitio de los piratas informáticos? ¿Es esto responsabilidad de los proveedores de alojamiento o de mi mismo. Amablemente decir algunos plugins para wordpress.,.
La mejor forma de proteger su sitio web WordPress no es utilizar un plugin, sino denegar el acceso a determinados directorios mediante el archivo htaccess y el archivo robots.txt. Elija también un proveedor de alojamiento seguro.
Los consejos que has añadido son muy útiles. Pero para asegurar WordPress, es necesario dar más énfasis a la seguridad de su área de inicio de sesión. Es necesario prestar más atención en el fortalecimiento de su área de inicio de sesión de administrador.
Buen artículo.
La seguridad del sitio web es la clave.
1. Elige el mejor proveedor de hosting.
2.Su sitio web de WordPress debe tener un fuerte nombre de usuario y contraseña, mantener Admin Dashboard seguro.
3.Utilice sólo los plugins mejor valorados.
4.Monitor de su sitio web de vez en cuando. Tome copias de seguridad periódicas del sitio y limpie los plugins no utilizados.
5. 5. Actualice las versiones de WordPress de su sitio.
Me preguntaba si alguna vez has pensado en cambiar el diseño de página de tu blog.
Spot en cuanto a por qué más usuarios WP deben asegurar sus sitios e ir más allá de los plugins de seguridad, a pesar de que muchos son excelentes. Parece que el pirateo de sitios web se está convirtiendo en un deporte, por lo que proteger nuestros sitios y los datos de los clientes es fundamental.
El uso de un servicio VPN y un servidor proxy también puede ayudar a proteger su sitio web o blog de wordpress de los piratas informáticos.
Qué información tan relevante has compartido. Sigo el mismo procedimiento para mantener mi sitio web seguro. También uso Ace Vpn para mantener mis datos seguros mientras navego especialmente pagar a alguien en línea.