Una guía para principiantes para proteger su sitio de WordPress
WordPress es uno de los sistemas de gestión de contenido más populares.
De hecho, esta plataforma de publicación ahora es utilizada por más del 27,5% de los 10 millones de sitios principales. Otras plataformas como Joomla y Drupal simplemente palidecen en comparación. Lo que hace que WordPress sea tan ampliamente compatible es su facilidad de uso, lo que hace posible crear un sitio completamente funcional en un corto período de tiempo.
Pero el hecho de que WordPress esté tan extendido también lo convierte en un objetivo para los piratas informáticos.
Cualquier vulnerabilidad de seguridad podría hacer que su sitio sea susceptible a ataques maliciosos e incluso comprometer los datos del usuario en el proceso. Este tipo de ataque puede ser absolutamente devastador para cualquier negocio.
Un sitio comprometido no solo reduce la confianza con sus visitantes, sino que también podría incluir sus páginas en la lista negra de Google. De hecho, un paso que Google ya está dando hacia una web más segura es mostrar una advertencia a los usuarios de Chrome si intentan visitar un sitio potencialmente inseguro o engañoso (por ejemplo, phishing o malware).
Cualquiera que visite su sitio (si ha sido atacado) podría encontrarse con lo siguiente:
La importancia de la seguridad del sitio web no se puede enfatizar lo suficiente.
Todo lo que se necesita es un solo ataque para detener por completo las ventas y, potencialmente, hacer que su sitio aparezca en la lista negra de Google. Sin duda, es posible eliminar su sitio, pero deberá solicitar una revisión manual que puede tardar varios días o incluso semanas en resolverse según el problema. Entonces, una solución mucho mejor es tomar medidas para proteger su sitio.
Aquí analizamos en profundidad cómo puede proteger y mantener seguro su sitio de WordPress.
Mantenga WordPress actualizado
Las actualizaciones para WordPress son críticas.
Una evaluación de más de 11,000 sitios infectados encontró que el 75% estaban en WordPress. Sin embargo, más sorprendente es el hecho de que más del 50% de esos sitios web estaban desactualizados. La actualización a la última versión no solo le brinda acceso a funciones más nuevas, sino que también corrige fallas de seguridad conocidas que los atacantes podrían aprovechar.
De hecho, estas vulnerabilidades de seguridad se conocen cuando hay nuevas actualizaciones disponibles. Aquí hay un ejemplo de un registro de seguridad para una versión actualizada de WordPress:
Esta información está abiertamente disponible a medida que se publican nuevas actualizaciones. Pero si no actualiza inmediatamente, deja su sitio abierto a ataques. Siempre actualice a la última versión para mantener su sitio seguro contra vulnerabilidades recién descubiertas. Si hay actualizaciones disponibles, verá una notificación en la parte superior de su tablero:
Las versiones más nuevas de WordPress le permiten actualizar fácilmente con solo hacer clic en un botón. Tenga en cuenta que su sitio se pondrá en modo de mantenimiento durante un breve período hasta que se complete la actualización. Actualizar solo toma unos minutos, pero una vez que finalice, no necesitará hacer nada más.
¿No tiene ganas de actualizar manualmente su sitio cada vez?
Las notificaciones pueden ser bastante molestas. Pero actualizar su WordPress es una de las formas más fáciles de mantener su sitio seguro. Si no quiere preocuparse por si su sitio tiene la última versión, puede configurar las actualizaciones automáticas con unos simples ajustes.
Abra el archivo wp-config.php y agréguele la siguiente línea:
define('WP_AUTO_UPDATE_CORE', true);
También puede habilitar las actualizaciones automáticas de complementos agregando la siguiente línea al mismo archivo:
add_filter( 'auto_update_plugin', '__return_true' );
Y agregue esta línea para habilitar las actualizaciones de temas:
add_filter( 'auto_update_theme', '__return_true' );
Agregar estas líneas asegurará que su sitio se mantenga actualizado sin requerir ninguna otra acción. Si eres alguien a quien simplemente no le molestan las actualizaciones o las notificaciones, definitivamente querrás configurar las actualizaciones automáticas para asegurarte de que tu sitio esté siempre actualizado.
Proteger el área de administración
No importa cuán seguro sea algo, cualquiera puede acceder fácilmente si tiene las herramientas adecuadas o si los propietarios son negligentes. Con WordPress, el área de administración es un objetivo principal para los piratas informáticos.
Siga estos pasos para mantener esta página segura:
Use una contraseña segura
Si usa una contraseña débil (por ejemplo, «12345», «contraseña», etc.), pone su sitio en mayor riesgo, ya que los atacantes pueden usar secuencias de comandos automáticas para entrar por la fuerza bruta. Esto significa intentar repetidamente una contraseña hasta que finalmente funcione. Pero el uso de una contraseña segura que contenga una combinación de números y símbolos hace que sea casi imposible de descifrar incluso para los programas más sofisticados.
Use una herramienta como Strong Password Generator para crear una contraseña fuerte y segura para su sitio de WordPress:
La fuerza bruta de una contraseña como esta le tomaría años o incluso décadas a un programa de computadora para descifrarla. Sin embargo, la desventaja es que una contraseña segura es difícil de recordar. Pero la compensación definitivamente vale la pena si significa evitar que los atacantes obtengan acceso a su sitio. Afortunadamente, hay varios administradores de contraseñas disponibles que puede usar para almacenar su contraseña.
Cambia tu nombre de usuario
Cuando instale WordPress por primera vez, se le pedirá que ingrese un nombre de usuario.
Los atacantes no podrán acceder a su tablero a menos que tengan su nombre de usuario y contraseña. Puede bloquear fácilmente los intentos de fuerza bruta simplemente usando un nombre de usuario más exclusivo. Por lo tanto, no use «admin» al elegir un nombre de usuario.
Límite de intentos de inicio de sesión
Como se mencionó anteriormente, los atacantes pueden usar programas para entrar en su sitio a través de la fuerza bruta. Sin embargo, hay complementos disponibles, como Login LockDown, que le permiten limitar los intentos de inicio de sesión desde una dirección IP específica. Si más de unos pocos intentos no tienen éxito, ese usuario queda bloqueado.
Cambie el nombre de su página de inicio de sesión
Finalmente, otra forma de proteger el área de administración es mover la página de inicio de sesión por completo. Por lo general, se accede al tablero desde www.yoursite.com/wp-admin
. Sin embargo, un problema evidente es que los piratas informáticos saben que simplemente agregar » /wp-admin
» a un sitio de WordPress les dará acceso a la página de administración.
Protect WP-Admin resuelve este problema al permitir que los webmasters personalicen la URL del panel de administración:
Proteger el área de administración siguiendo estos pasos puede reducir y bloquear en gran medida los ataques automatizados a su sitio.
Habilitar la autenticación de dos factores
La autenticación de dos factores agrega una capa adicional de seguridad al dificultar aún más que los atacantes obtengan acceso a su cuenta. Iniciar sesión no solo requiere un nombre de usuario y una contraseña, sino también un código de autorización adicional que generalmente se envía por SMS a un dispositivo móvil.
Incluso si un atacante de alguna manera adivina su nombre de usuario y contraseña, no podrá iniciar sesión en su cuenta sin el código de autorización. Descargue e instale el complemento Google Authenticator para configurar fácilmente la autenticación de dos factores en su sitio:
Además de poder usar la aplicación Google Authenticator para la verificación, el complemento también ofrece opciones adicionales para la autenticación de dos factores, como la verificación por correo electrónico y llamada telefónica. La autenticación de dos factores también se puede usar si su sitio tiene varios usuarios.
Use .htaccess para limitar el acceso a archivos cruciales
Puede fortalecer aún más la seguridad en su sitio de WordPress con el archivo .htaccess. Este archivo se usa principalmente en WordPress para la optimización de sitios web, como la reescritura de URL para que sean más fáciles de usar y de buscar. Pero también se puede utilizar para mejorar la seguridad de su sitio.
El archivo .htaccess generalmente se encuentra en la carpeta raíz y se puede acceder a través de un cliente FTP o cPanel. También hay varios complementos disponibles, incluido SEO by Yoast, que permite el acceso directo desde el tablero.
Aquí hay varias formas de proteger su sitio usando el archivo .htaccess:
Ocultar wp-config.php
El archivo wp-config.php es estándar con cada instalación, pero también contiene información confidencial, como las claves de seguridad y los detalles de conexión de la base de datos a su sitio. Estos son detalles que ciertamente no quieres que caigan en las manos equivocadas. Entonces, la mejor solución es ocultar este archivo por completo y hacerlo inaccesible.
Oculte el archivo wp-config.php agregando el siguiente código al archivo .htaccess:
order allow,deny
deny from all
Impedir la exploración de directorios
Debido a cómo WordPress implementa su estructura de archivos, es completamente posible que los visitantes accedan a las carpetas y archivos de su sitio simplemente navegando a yoursite.com/wp-content/uploads. Por lo tanto, querrá evitar la exploración de directorios, ya que los atacantes podrían usar esta información con fines nefastos.
Agregue la siguiente línea a su archivo .htaccess:
Options All -Indexes
Los archivos PHP son increíblemente importantes para protegerlos, ya que los piratas informáticos pueden usar estos archivos para inyectar código malicioso para infectar un sitio. Agregue el siguiente código a su archivo .htaccess para evitar el acceso a su complemento y a los archivos PHP de su tema:
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*.php)$ - [R=404,L]
Simplemente agregar estos cambios a su archivo .htaccess mejorará la seguridad de su sitio de WordPress y hará que sea aún más difícil para los atacantes obtener acceso a su sitio. De todos modos, no existe un sitio que sea completamente seguro, ya que constantemente se descubren y explotan nuevas vulnerabilidades.
Es por eso que necesita tener un plan de respaldo en caso de que las cosas empeoren.
Realice copias de seguridad periódicas de su sitio Realice copias de seguridad periódicas
No importa cuántas medidas de seguridad tome, su sitio aún podría ser vulnerable.
Aunque WordPress existe desde hace más de una década, el equipo de desarrollo identifica y soluciona constantemente los problemas de seguridad. Sin mencionar que cualquier nuevo tema o complemento que instale también podría tener vulnerabilidades que aún no se han solucionado.
Por eso es una buena idea hacer una copia de seguridad de tu sitio con regularidad. De esa manera, puede restaurar rápidamente su sitio y minimizar las pérdidas si su sitio es eliminado por un ataque.
Querrá asegurarse de que se haga una copia de seguridad de su sitio en un horario regular y que también se guarde en la nube. Si su computadora está comprometida, podrá acceder a esa copia de seguridad y restaurarla desde otro dispositivo. Recomendamos utilizar una solución automatizada como BackupBuddy.
La mayoría de las soluciones de respaldo requieren una suscripción paga. Pero si confía en su sitio web para su negocio, vale la pena pagar solo por su tranquilidad. En el caso de que su sitio sea eliminado debido a un ataque, puede trabajar con su proveedor de alojamiento y revertir fácilmente su sitio a una versión anterior con una copia de seguridad.
Conclusión
Si bien WordPress en sí mismo es relativamente seguro, agregar temas, complementos y código personalizado aumenta la probabilidad de una vulnerabilidad de seguridad que los piratas informáticos pueden (y lo hacen) explotar. A menos que tome ciertas medidas de seguridad en este momento, su sitio podría ser un objetivo potencial.
Es importante tener en cuenta que ningún sistema es completamente seguro. Pero hay precauciones que puede tomar que reducirán en gran medida las posibilidades de verse afectado por un ataque malicioso.
Siga los pasos que se describen aquí para reforzar la seguridad de su sitio de WordPress.