Guía de seguridad para un sitio web en WordPress

En esta guía de seguridad para WordPress te daremos los consejos que necesitas para proteger tu sitio web. Esto incluye cifrado mediante el uso de certificado SSL, bloqueo de bots, spam, detención de ataques de fuerza bruta y mucho más. Después de esto, tu sitio web debería ser mucho más seguro.

Tiempo de lectura estimado: 0 minutos

Índice

¿Por qué es importante la seguridad en WordPress?

Un sitio de WordPress pirateado (Hackeado), puede causarte graves daños a tus ingresos y la reputación de tu negocio. Los piratas informáticos pueden robar información del usuario, contraseñas, instalar software malintencionado e incluso distribuir malware a tus usuarios.

Google incluye en la lista negra alrededor de 20.000 sitios web por malware y alrededor de 50.000 por phishing cada semana, asi que si tu sitio web es una empresa, debes prestar especial atención a la seguridad de WordPress. De manera similar a cómo es responsabilidad de los propietarios de empresas proteger el edificio de tu tienda física, como propietario de una empresa en línea, es tu responsabilidad proteger el sitio web de su empresa.

Vamos a ello…

Mantener WordPress actualizado

WordPress es un software de código abierto que se mantiene y actualiza periódicamente. De forma predeterminada, WordPress instala automáticamente actualizaciones menores. Para las versiones principales, debes iniciar la actualización manualmente.

WordPress también viene con miles de plugins y temas que puedes instalar en tu sitio web. Estos plugins y temas son mantenidos por desarrolladores externos que también publican actualizaciones regularmente. Estas actualizaciones de WordPress son cruciales para la seguridad y estabilidad de tu sitio de WordPress. Debes asegurarte de que tu núcleo, plugins y tema de WordPress estén actualizados.

Permisos de usuario y contraseñas seguras

Los intentos de piratería de WordPress más comunes utilizan contraseñas robadas. Puedes hacerlo difícil utilizando contraseñas más seguras que sean únicas para tu sitio web.  No solo para el área de administración de WordPress, sino también para las cuentas FTP, la base de datos, la cuenta de hosting de WordPress y tus direcciones de correo electrónico personalizadas que utilizan el nombre de dominio de tu sitio.

¿Quieres aprender a mantener tú WordPress Seguro de manera avanzada? Revisa nuestro curso de Seguridad en WordPress

A muchos principiantes no les gusta usar contraseñas seguras porque son difíciles de recordar. Lo bueno es que ya no es necesario que recuerdes las contraseñas.

Otra forma de reducir el riesgo es no dar acceso a nadie a tu cuenta de administrador de WordPress a menos que sea absolutamente necesario. Si tienes un gran equipo o autores invitados, asegúrate de comprender los roles y capacidades de los usuarios en WordPress antes de agregar nuevas cuentas de usuario y autores a tu sitio de WordPress.

Plugins de seguridad de WordPress

Hay muchos plugins de seguridad para WordPress que te pueden funcionar, pero acá te hablaré de un par de plugins gratuitos que funcionan bastante bien para mejorar la seguridad de tu sitio web:

All In One WP Security & Firewall

Ingresa a tu panel de WordPress para acceder a él escribiendo la url de la barra de administración de WordPress después del nombre de tu sitio web e iniciando sesión en tu panel de WordPress.

Desplázate en el apartado plugins, luego selecciona agregar nuevo y en el cuadro de búsqueda coloca la siguiente frase: All In One WP Security & Firewall y haz clic en instalar ahora y luego activar. Ahora tendrás un botón que aparecerá en tu panel de control llamado seguridad.

Haz clic en él y luego clic en sitio seguro, luego escribe tu dirección de correo electrónico y haz clic en activar red (WordPress multisitio). Una protección de fuerza bruta. Así que esto hace que tu sitio web sea mucho más seguro. Pero esto es como una medida de seguridad muy amplia, más una buena práctica que una verdadera configuración de seguridad.

Lo que intento decir con esto es que, básicamente, queda mucha más seguridad por hacer, pero la mejor seguridad siempre es la prevención.

Cada vez que creas un nuevo sitio de WordPress, siempre recomiendo que instales algún tipo de plugin de seguridad para ayudarte.

iTheme Security

Otro de los plugins de seguridad que te recomiendo usar en tu sitio de WordPress es el que te describiré a continuación tiene una versión gratuita y otra de pago, pero para lo que mayormente se hace, la versión gratuita funcionará bien. Y después de todo, si deseas aprender cómo proteger tu sitio web, es mejor aprender con herramientas gratuitas desde el principio.

Puedes instalar este plugin navegando en tu panel de WordPress y haciendo clic en plugins, luego Agregar nuevo y buscar iThemes Security, y luego haz clic en instalar ahora y luego activar, este plugin por defecto empezara a operar en tu sitio web.

Ocultar el backend

Siempre insisto en que la mejor seguridad es la prevención. No necesitarás proteger tu sitio si nadie intenta piratearlo, ¿cierto? Una buena manera de hacerlo es cambiar la url de inicio de sesión de wp-admin o wp-login a una ruta única, puesto que la mayoría de los ataques automatizados siempre intentan acceder a sitios web que utilizan el portal de inicio de sesión wp-admin o wp-login.

Una vez dentro de tu panel de WordPress, haz clic en el botón de seguridad de iTheme Security. Ahora, en la esquina superior derecha, haz clic en estos pequeños botones y esto te dará más opciones, una vez acá busca la opción de backend y haz clic en configurar ajustes. Luego haz clic en la casilla de verificación para habilitar una función de backend, aquí cambiará el texto de inicio de sesión del escritorio de WordPress predeterminado a algo único.

¿Quieres aprender a mantener tú WordPress Seguro de manera avanzada? Revisa nuestro curso de Seguridad en WordPress

Con este simple truco de instalar un complemento de seguridad de WordPress y redirigir el tráfico. Ya protegerás tu sitio web de miles de ataques.

Backdoors (Ataques de Puerta Trasera)

que es una puerta trasera

La segunda fuente de malware más común son los ataques de Backdoors. A modo de contexto, en el mundo de las tecnologías de la información, el  término Backdoor (puerta trasera), se refiere a un acceso alternativo a un software o un sistema de hardware que permite eludir las medidas de seguridad habituales, en otras palabras, la protección de acceso.

Un programador puede crear una puerta trasera (Backdoor), o instalar un malware sin tu conocimiento, a menudo, los troyanos se utilizan para instalar una posibilidad de acceso secreto. Cabe mencionar que los términos puertas traseras (Backdoor) y Troyanos se utilizan normalmente en el mismo contexto; sin embargo, son dos cosas diferentes.

Guía recomendada: Cómo resolver errores en WordPress

Un troyano es un software que se disfraza como un programa útil para infiltrarse en tu computadora e instalar puertas traseras. Básicamente, es solo el medio para un fin. El final en este escenario es la capacidad de obtener acceso no autorizado, también conocido como puertas traseras.

Para prevenir este problema es tan simple como mantener actualizados todos los temas, plugins, y el core de WordPress de tu sitio web. Regularmente con estas actualización se corrigen bug’s de seguridad en el código.

Detener los ataques de fuerza bruta

Otro ataque muy común del que necesitas proteger tu sitio web son los ataques de fuerza bruta. Esto es cuando los piratas informáticos prueban miles de contraseñas y simplemente adivinan la combinación correcta.

Para proteger tu sitio web de este tipo de ataques, deberás agregar un límite en la cantidad de veces que 1 dirección IP puede intentar iniciar sesión incorrectamente antes de que se incluya en la lista negra. Sin embargo, también te mostraré cómo agregarte a la lista blanca y proteger tu sitio web y tu dirección IP para que no se bloqueen por accidente.

Primero, haz clic en el botón de security del plugin iTheme Security una vez más, luego en la parte superior derecha. Selecciona todos a la vez más y busca la opción de Local brute force protection y haz clic en configurar ajustes.

Luego, deberás hacer clic en la configuración global y desplazarse hacia abajo. una vez acá deberás cambiar el umbral de la lista negra a dos, luego desplazate hacia abajo nuevamente y haz clic en: agregar mi IP actual a la lista blanca. No olvides hacer clic en guardar configuración

Lo que logras con este paso es que te hace inmune a los cambios que estamos haciendo aquí porque para detener los ataques de fuerza bruta, lo que vas a hacer es poner un límite a la cantidad de veces que las personas pueden intentar iniciar sesión antes. se detienen permanentemente. Sin embargo, a veces simplemente olvidas la contraseña de tu propio sitio web y luego pruebas una de las cinco mil millones de variaciones de esa contraseña que tienes. Y no querrás que te bloque tu propio sitio web.

¿Quieres aprender a mantener tú WordPress Seguro de manera avanzada? Revisa nuestro curso de Seguridad en WordPress

Por eso estamos colocando tu dirección ip en la lista blanca de direcciones IP, de esta manera puedes intentar tantas veces como quieras, pero otras personas no podrán.

También te recomiendo encarecidamente volver a la Local brute force protection y configurar los intentos de inicio de sesión de diez a cinco solo para estar seguro.

Si no tienes iTheme Security es recomendable que instales al menos el plugin Limit Login Attempts Reloaded que funciona exactamente para esta funcionalidad, y es bastante sencillo de configurar.

Configurar un temporizador de cierre de sesión para usuarios inactivos

Cómo crear un temporizador para apagar tu PC de forma automática

Si tienes muchas personas que tienen acceso a tu sitio, considere usar un plugin dedicado que los cerrará automáticamente cuando estén inactivos.

Si el usuario se aleja de su computadora mientras aún está conectado a tu sitio, cualquiera puede realizar cambios en su cuenta de WordPress. Un plugin, como el Inactive Logout, te permitirá establecer la duración para decidir cuánto tiempo un usuario puede estar inactivo antes de que se cierre automáticamente.

También puedes escribir un mensaje que aparecerá en la pantalla justo antes de que el usuario cierre la sesión; de esa manera, si todavía está frente a tu computadora, puede optar por permanecer conectado.

Copias de seguridad de sitios web

Realiza una copia de seguridad de tu sitio de WordPress con regularidad (una vez al día o más) y asegúrate de incluir la base de datos, los archivos multimedia y los archivos de plugins y temas en cada copia de seguridad.

Si bien la mayoría de los proveedores de alojamiento web que se centran en la seguridad ya te ofrecen la opción de realizar una copia de seguridad de tu sitio como parte de su paquete de alojamiento, por ejemplo, SiteGround.

A veces, estas funciones de seguridad no vienen incluidas. Pero hay una forma de hacer una copia de seguridad de tu sitio web de forma gratuita. Esto actúa como un paso secundario al averiguar en cómo proteger tu sitio web de los piratas informáticos. Porque incluso si logran pasar y meterse con tu sitio, puede restaurar todo lo que se perdió con 1 clic.

No importa qué tan seguro sea tu sitio web, si tu computadora no es segura, por ejemplo, si tiene un registrador de teclas, tu sitio web está en riesgo. Por eso tener una copia de seguridad es quizá una de las medidas de seguridad más importantes que puedes tomar.

Utiliza un firewall de aplicaciones web

Una de las mejores formas de mantener tu sitio seguro es mediante el uso de un firewall de aplicaciones web. Básicamente, mantendrás el tráfico malicioso lejos de tu sitio. Hay dos opciones:

Firewall de nivel DNS: este tipo de cortafuegos enviará tráfico a través de sus propios servidores proxy en la nube. El único tráfico que llegará hasta tu sitio será tráfico de calidad y no malicioso.

Firewall a nivel de aplicación: cuando utilizas mediante el uso de un plugin para que funcione, el tráfico llegará a tu servidor, pero el plugin lo comprobará antes de cargar los scripts.

Si bien un firewall a nivel de aplicación es mejor que nada, un firewall a nivel de DNS es la opción más segura de las dos. Los plugins populares como Wordfence, servicios como Cloudflare y algunos hosts seguros ofrecen esto.

Deshacerse de las instalaciones no utilizadas

Si has desactivado plugins y temas que no necesitarás, elimínalos. Lo mismo ocurre con los archivos innecesarios, las instalaciones de WordPress y las bases de datos: elimínalos. Cuantos más datos haya en tu sitio de WordPress, más vulnerable será tu sitio, especialmente cuando se trata de instalaciones antiguas de WordPress que no estarán actualizadas.

Eliminar archivos no deseados

Debes verificar cualquier archivo que no pertenezca allí y luego eliminarlo. Para hacer esto, es posible que debas instalar un plugin de seguridad, como los que te muestro a continuación.

¿Quieres aprender a mantener tú WordPress Seguro de manera avanzada? Revisa nuestro curso de Seguridad en WordPress

Las opciones más populares son:

  • Wordfence
  • Defender Security – Malware Scanner
  • Login Security & Firewall
  • MalCare Security – Free Malware Scanner
  • Protection & Security for WordPress.

Estos tipos de plugins pueden escanear tu sitio y alertar sobre cualquier cosa que no parezca familiar.

Sin embargo, ten en cuenta que un proveedor de hosting WordPress de calidad lo hará automáticamente, lo que significa que no tendrás que preocuparte por instalar un plugin, escanear con regularidad o eliminar archivos problemáticos.

Limpia regularmente tu base de datos

Cuando limpias tu base de datos, te deshaces de los datos adicionales e innecesarios que tu sitio ha acumulado a lo largo del tiempo, como spam y comentarios basura, configuraciones para temas que ya no uses, etc.

Cuantos menos datos inútiles haya en tu base de datos, más rápido tu sitio se ejecutará. Además, si recibes una alerta de tu plugin de seguridad o proveedor de que tu base de datos ha sido pirateada, este paso es necesario. 

Hay varios plugins para elegir en el directorio de WordPress: WP Optimize es la opción dedicada más popular, o puedes considerar WP-Sweep o Advanced Database Cleaner. Alternativamente, puedes trabajar con un host que se encargue de las limpiezas periódicas de la base de datos por ti.

Supervisar cambios en tus archivos

Cada vez que ocurre un ataque, siempre hay algún rastro que dejan atrás; puede haber evidencia del ataque en los registros o en los archivos, por ejemplo.

Debes monitorear tus archivos todo el tiempo, y deben haber alertas configuradas para que sepas cada vez que se realiza un cambio. De esa manera, si se produce un cambio que no conocías de antemano, puedes evaluar rápidamente si se debe a una infracción de seguridad o no. Algunos de los plugins, como Defender, pueden encargarse de esto por ti.

Proteje tu wp-config.php

El archivo wp-config.php es uno de los archivos más importantes y, por lo tanto, vulnerables en tu sitio. Aloja información y datos cruciales sobre toda la instalación de WordPress. Técnicamente, es el núcleo de tu sitio de WordPress. Si te sucede algo malo, no podrás utilizar tu blog con normalidad.

¿Quieres aprender a mantener tú WordPress Seguro de manera avanzada? Revisa nuestro curso de Seguridad en WordPress

Una cosa simple que puedes hacer es tomar ese archivo wp-config.php y simplemente moverlo un paso por encima de tu directorio raíz de WordPress. tu sitio de WordPress no se verá afectado en absoluto por este movimiento, pero los piratas informáticos ya no podrán encontrarlo.

Certificado SSL – Aumenta la seguridad en WordPress

Los certificados SSL son un componente esencial del proceso de cifrado de datos que hace que las transacciones en Internet sean seguras. Son pasaportes digitales que proporcionan autenticación para proteger la confidencialidad e integridad de la comunicación del sitio web con los navegadores.

El trabajo del certificado SSL es iniciar sesiones seguras con el navegador del usuario a través del protocolo de capa de sockets seguros (SSL). Esta conexión segura no se puede establecer sin el certificado SSL, que conecta digitalmente la información de la empresa a una clave criptográfica.

Cualquier organización que se dedique al comercio electrónico debe tener un certificado SSL en un servidor web para garantizar la seguridad de la información del cliente y de la empresa, así como la seguridad de las transacciones financieras.

Conclusión 

En resumen, si estabas pensando en cómo proteger tu sitio web, ya estarás muy por delante de la curva. Con estas medidas de seguridad de WordPress implementadas, tu sitio web debería tener MUCHO menos probabilidades de ser violado o pirateado.

Además puedes tomar medidas adicionales para mejorar la seguridad de tus sitios. Por ejemplo, la solución de administración de claves externas de Lockr (de paga) protege contra vulnerabilidades críticas del sitio, dado que no puedo cubrir todos los plugins que hay, los que te he recomendado lo he hecho en función de mi experiencia con los usuarios.

Además de las técnicas anteriores, hay muchas otras formas en que puede hacer que su sitio web sea seguro, ademas recuerda que el uso de un firewall es importante y que debes contratar un host robusto que tenga un firewall incorporado.

¿Quieres aprender a mantener tú WordPress Seguro de manera avanzada? Revisa nuestro curso de Seguridad en WordPress

Artículos relacionados

Comentarios