Las amenazas de seguridad no son exclusivas de WordPress.
Cada plataforma, ya sea privada o de código abierto, está bajo ataque las 24 horas del día, los 7 días de la semana.
Afortunadamente, la comunidad de WordPress ofrece muchas soluciones para facilitar el trabajo.
Los siguientes son algunos pasos clave a seguir para proteger un sitio de WordPress de las amenazas de seguridad.
Cómo proteger un sitio de WordPress
Hay ocho acciones fundamentales que todos los editores de WordPress deben considerar para mitigar las actividades maliciosas y las vulnerabilidades.
Seguir estas mejores prácticas ayudará a garantizar que un sitio de WordPress esté listo para enfrentar la avalancha de piratas informáticos que están probando sitios web todos los días:
- Utilice HTTPS.
- No use la palabra “admin” como su nombre de usuario de administrador.
- Hacer cumplir el uso de contraseñas seguras.
- Actualización de complementos y temas.
- Plan de copia de seguridad del sitio web.
- Minimizar el uso de complementos.
- Autenticación de dos factores.
- Instale un firewall de WordPress y un escáner de vulnerabilidades.
Repasemos cada uno de estos con un poco más de detalle.
1. Agregar HTTPS/SSL
Por ahora, la mayoría de los sitios usan HTTPS. Pero si su sitio no usa HTTPS, consulte con su proveedor de alojamiento web para agregar un certificado SSL gratuito.
Simplemente configure la dirección de WordPress y la dirección del sitio usando https://. Esto se puede lograr en la pestaña Configuración general.
Si el sitio se está actualizando de un estado inseguro a uno seguro, entonces vale la pena considerar el complemento Really Simple SSL (utilizado por más de 5 millones de sitios web), ya que realmente simplifica la conversión a HTTPS al manejar las redirecciones y otras tareas relacionadas.
Really Simple SSL también ayuda a mitigar las amenazas de seguridad, como el secuestro de clics y los ataques de falsificación entre sitios, al brindar la opción de agregar encabezados de seguridad.
En estos días, instalar un certificado SSL es una tarea fácil.
Muchos servidores web ofrecen certificados SSL gratuitos; además, es un factor de clasificación conocido en Google.
Después de convertir a HTTPS, es una buena idea verificar que ninguna página solicite enlaces o contenido HTTP.
La verificación de contenido mixto es imprescindible.
El contenido mixto es cuando los activos del sitio web no seguros (guiones, imágenes, videos, etc.) están vinculados desde páginas HTTPS.
Rastree su sitio con Missing Padlock para identificar rápidamente instancias de contenido mixto y luego corrija los errores al vincular a activos HTTPS.
2. Use un nombre de usuario de administrador seguro
Una gran cantidad de ataques de seguridad contra la pantalla de inicio de sesión de WordPress se realizan con el nombre de usuario “Administrador”.
Hay dos tipos principales de ataques que intentan descifrar la contraseña de inicio de sesión:
- Fuerza bruta.
- Ataque de diccionario.
El ataque de fuerza bruta es cuando el software de piratería automática intenta adivinar la contraseña de administrador usando diferentes combinaciones de palabras, letras y números.
Un ataque de diccionario es cuando el software de piratería usa contraseñas comunes para intentar adivinar el inicio de sesión del administrador.
En muchos casos, el nombre de usuario administrador que utiliza este software es “Admin”.
No usar la palabra “Administrador” como nombre de usuario es un paso simple que ayudará a proteger un sitio de WordPress.
Para ir un paso más allá, puede crear una regla de firewall con el complemento de seguridad de Wordfence para bloquear automáticamente a cualquier humano o bot que intente iniciar sesión con el nombre de usuario Admin.
3. Aplicar contraseñas seguras
No permita que nadie, especialmente los usuarios con privilegios de administrador, cree una contraseña que no sea segura.
Incluso los usuarios con pocos privilegios en el sitio web, como el nivel de suscripción, pueden convertirse en un vector de ataque. Por lo tanto, es importante imponer contraseñas seguras a todos los que pueden iniciar sesión en el sitio de WordPress.
El popular complemento iThemes Security WordPress, con más de 1 millón de usuarios, ofrece la aplicación de la fuerza de la contraseña de inicio de sesión, así como la autenticación de dos factores.
También se puede habilitar una política de seguridad de contraseñas que imponga contraseñas seguras mediante el complemento de seguridad de WordPress de Wordfence.
4. Actualizar complementos y temas
Algunas actualizaciones de complementos, temas y la instalación principal de WordPress son para corregir (parchar) vulnerabilidades.
Si no se actualiza el software, el sitio puede volverse vulnerable.
La mayoría de las actualizaciones funcionan bien. En raras ocasiones, una actualización puede cambiar algo en el software que comienza a chocar con otro complemento o tema, lo que hace que el sitio se bloquee.
Si eso sucede, es fácil revertir el sitio a un estado anterior si se ha realizado una copia de seguridad del sitio.
La mejor manera de actualizar complementos y temas es organizar el sitio y verificar si funciona como debería con el software actualizado.
Pero si no está preparando el sitio, la segunda opción es hacer una copia de seguridad del sitio y luego actualizarlo.
Pruebe el sitio para asegurarse de que todo funciona. Si el sitio no funciona correctamente, retírelo con la copia de seguridad.
La tercera opción es configurar todos los complementos para que se actualicen automáticamente, de modo que ni siquiera tenga que pensar en ello. Si algo se rompe, devuélvelo a su estado anterior.
5. Haga una copia de seguridad de su sitio web de WordPress
Hacer una copia de seguridad de un sitio web a diario es fundamental.
Hay muchas cosas que pueden salir mal, y una copia de seguridad salvará el día en que suceda algo catastrófico en el sitio.
UpdraftPlus WordPress Backup Plugin, con más de 3 millones de usuarios, es una solución popular y confiable.
Lo uso en todos mis sitios web y puedo recomendarlo con confianza.
Me salvó el rediseño de un sitio web que no salió tan bien, permitiéndome restaurar fácilmente el sitio a una versión anterior.
Otra solución popular se llama WP Rollback.
WP Rollback tiene más de 200.000 instalaciones, y las personas que crean el software son desarrolladores de WordPress expertos y de confianza.
Funciona bien con temas y complementos que se descargan de WordPress.org.
6. Minimice el uso de complementos
Cada complemento que se instala aumenta la posibilidad de que uno de ellos exponga el sitio a una vulnerabilidad.
Aparte de las razones de seguridad, el uso de demasiados complementos puede afectar el rendimiento del sitio, así como aumentar la posibilidad de que el código entre dos o más complementos tenga un conflicto y bloquee el sitio.
Planifique con anticipación qué complementos desea usar para lograr lo que necesita.
Algunos complementos pueden realizar múltiples tareas, eliminando la necesidad de instalar un complemento independiente para lograr eso.
7. Implementar la autenticación de dos factores
La autenticación de dos factores se llama así porque se necesitan dos formas de identificación para iniciar sesión en un sitio de WordPress con esta función activada.
El primer factor es el nombre de usuario y la contraseña.
El segundo factor es una segunda forma de autenticación, generalmente con una aplicación como Authy o Google Authenticator que está en el teléfono celular del usuario.
Por lo tanto, incluso si un pirata informático obtiene acceso al nombre de usuario y la contraseña, no podrá iniciar sesión sin la segunda autenticación.
Hay muchos complementos de WordPress para elegir para agregar esta función, que incluyen:
WP 2FA
WP 2FA es una opción popular para agregar autenticación de dos factores.
Admite múltiples métodos de autenticación de dos factores, incluidos Google Authenticator, Authy, enlace de correo electrónico, OTP de correo electrónico y notificación automática.
Hay métodos adicionales, como la autenticación de voz y WhatsApp, disponibles con la versión Pro.
Seguridad de inicio de sesión de Wordfence
Wordfence es una marca confiable. su complemento de autenticación de dos factores independiente es compatible con Authenticator, Authy, 1Password y FreeOTP.
Además, los complementos de seguridad como Wordfence e iThemes Security también tienen opciones para activar la autenticación de dos factores.
8. Instale un complemento de seguridad de WordPress
Los complementos de seguridad son útiles porque pueden cerrar cualquier brecha de seguridad y bloquear a los piratas informáticos que intentan aprovechar esas vulnerabilidades.
Hay dos tipos de complementos de seguridad de WordPress:
- Escaneo y refuerzo de seguridad.
- cortafuegos.
Aquí hay algunas herramientas que recomendaría.
Sucuri Seguridad
Sucuri es una opción confiable para un complemento de seguridad. Es propiedad de GoDaddy.
Sucuri escanea un sitio en busca de malware y ofrece opciones para fortalecer el sitio contra exploits.
Elegir Sucuri es fácil porque complementa un complemento de firewall, como Wordfence.
La versión de pago también incluye un cortafuegos.
Jetpack Proteger
Jetpack Protect es creado por Automattic, la empresa detrás de WordPress.com, Akismet, WPScan y WooCommerce, entre otros.
Jetpack Protect realiza un análisis de malware diario del núcleo, los complementos y los temas de WordPress.
Este complemento gratuito es relativamente nuevo: se convirtió en un complemento independiente en 2022.
Seguridad de Wordfence: cortafuegos, escaneo de malware y seguridad de inicio de sesión
Wordfence es una opción popular para la seguridad de WordPress. Hay más de 4 millones de instalaciones activas.
Wordfence actúa como un cortafuegos para proteger un sitio web contra ataques de piratería y puede prohibir los bots de piratería automatizados y los piratas informáticos reales en tiempo real si la actividad se ajusta al patrón de un pirata informático.
Los usuarios pueden configurar el firewall de Wordfence con reglas que pueden bloquear inmediatamente a los piratas informáticos.
Wordfence también ayuda a proteger un sitio contra la piratería al proporcionar autenticación de dos factores y deshabilitar la ejecución de PHP en carpetas donde PHP no debería ejecutarse.
Otro beneficio de Wordfence es que el complemento envía recordatorios por correo electrónico cuando un complemento necesita una actualización.
La versión paga de Wordfence recibe reglas de firewall para protegerse contra las vulnerabilidades más recientes tan pronto como Wordfence las conozca.
iThemes Seguridad
iThemes Security es un complemento todo en uno que escanea y fortalece un sitio web y bloquea los bots malos como un firewall. Hay más de un millón de instalaciones activas.
iThemes maneja muchas actividades relacionadas con la seguridad, lo que lo convierte en una opción popular para aquellos que prefieren un complemento para hacerlo todo.
Tome medidas de seguridad adicionales de WordPress
Estos son los pasos adicionales para crear una sólida postura de seguridad.
Verifique su versión de PHP
PHP es el software en el que se ejecuta WordPress.
Las versiones obsoletas de PHP pueden exponer un sitio a vulnerabilidades de seguridad.
Asegúrese de que la versión de PHP utilizada no haya alcanzado el estado de fin de vida útil (EOL).
Buscar vulnerabilidad en línea
Aquí hay tres herramientas en línea que buscan vulnerabilidades o indican si un sitio ha sido pirateado:
El futuro de la seguridad de WordPress
Los piratas informáticos están atacando todos los sitios, independientemente del sistema de administración de contenido (CMS) que se utilice.
WordPress es el CMS más popular del mundo, lo que lo convierte en un objetivo popular para los piratas informáticos.
Afortunadamente, WordPress tiene una comunidad masiva que trabaja para mantenerlo seguro, lo cual es una ventaja que otras plataformas no tienen.
Todos los propietarios de sitios web de WordPress deberían considerar tomarse el tiempo para asegurarse de que se implementen medidas para mantener sus sitios de WordPress completamente seguros.
Más recursos:
Imagen destacada: Shutterstock/fizkes
Con información de Search Engine Journal.
Leer la nota Completa > La guía de seguridad de WordPress para mantener su sitio seguro