Una guía práctica para la seguridad de WordPress

Con el aumento de las brechas en la seguridad web, es fundamental tomar medidas preventivas para mantener su sitio web seguro contra intrusos. Entonces, si tienes un sitio de WordPress, sigue leyendo. Le proporcionaremos varios consejos y herramientas que puede usar para hacer que su sitio web de WordPress sea seguro.


“¡No le puede pasar a mi sitio!” Este es el pensamiento general que la mayoría de nosotros tenemos cuando escuchamos que un hacker violó la seguridad de un sitio.

Quizás, la persona con el sitio web pirateado cree que él o ella debe haber hecho algo terriblemente mal para filtrar información vital. Tal vez la persona cometió el terrible error de dar por sentado la seguridad de su sitio web.

Puede sentirse seguro utilizando un CMS muy popular y una plataforma de blogs como WordPress para su sitio. Sin embargo, hará bien en notar que la inmensa popularidad global de WordPress es una de las principales razones por las cuales los hackers se dirigen a sitios basados ​​en esta plataforma.

WordPress es una plataforma muy fácil de usar, y esto lo hace aún más vulnerable a los ataques de hackers y spammers. Desde el principio, debe hacer de la seguridad una prioridad para su sitio web junto con el alojamiento y el diseño web.

Aquí hay un estudio en profundidad sobre las diversas medidas que debe tomar para mejorar la seguridad de su sitio de WordPress. También veremos los mejores consejos para proteger un sitio de WordPress, los mejores complementos de seguridad de WordPress y las herramientas de prueba.

Debes darte cuenta de que ningún sitio web puede ser 100% seguro e incluso la información compartida aquí no hará que tu sitio sea totalmente seguro. El objetivo final es ayudarlo a tomar todas las precauciones necesarias para mantener su sitio web de WordPress seguro de la mayoría de los ataques.

Conceptos básicos de seguridad web

Puede pensar que es muy poco probable que su sitio sea pirateado en el futuro porque nunca ha enfrentado problemas de seguridad en el pasado con respecto a malware, código malicioso o incluso comentarios de spam.

Pero, una de las cosas más básicas para recordar sobre la seguridad web es que debe mantenerse activo y no reactivo. Esto significa que debe tomar algunas medidas de precaución desde el principio, en lugar de creer que alguien no puede piratear su sitio, y trabajar para mejorar su seguridad.

Además, antes de saltar a los pasos para la seguridad de WordPress, debe darse cuenta de la importancia de tener esta seguridad en su lugar.

Mucha gente visita su sitio web. Algunos de ellos pueden suscribirse a los boletines de su sitio, y otros pueden registrarse como miembros de los foros de su sitio. Los datos compartidos por sus visitantes también son vulnerables a los ataques si su sitio es pirateado. Por lo tanto, es su responsabilidad garantizar la seguridad de los datos de su sitio web, lo que, a su vez, protegerá los datos de sus visitantes..

Si su sitio de WordPress atrae poco tráfico, puede argumentar que no hay ninguna razón para que un hacker ataque su sitio cuando hay miles de otros sitios web más populares disponibles en línea. Si es así, entonces probablemente sea hora de que comprenda las razones por las cuales un hacker puede intentar violar su sitio web.

Los hackers no están preocupados si su sitio atrae solo a unos pocos visitantes porque, una vez que obtienen acceso a su sitio, pueden usar su servidor para enviar correos electrónicos no deseados. Lo hacen para ayudarlos a comercializar sus servicios, productos o sitios..
Con un aumento en este tipo de actividad de spam de su servidor pirateado, las posibilidades de que su dirección IP aparezca en la lista negra aumentan enormemente. Alternativamente, los hackers pueden preferir usar su servidor para sus propias actividades del sitio web porque sus direcciones IP ya están en la lista negra.

Además de darse cuenta de las razones para hackear, también debe comprender las diferentes formas en que un hacker o un spammer pueden atacar su sitio web. Esto lo ayudará a planificar las actividades de su sitio de tal manera que su sitio se vuelva menos vulnerable a amenazas de seguridad.

Pueden atacar a través de cualquier plugin o tema de WordPress. De hecho, hay casos en que los problemas con un complemento de seguridad han permitido a los piratas informáticos atacar un sitio web que utilizó el complemento. Además, los piratas informáticos pueden aprovechar cualquier vulnerabilidad de seguridad en su plataforma de alojamiento y usar cualquier parámetro de URL para acceder a su base de datos.

De esta manera, pueden modificar sus datos, cambiar su contraseña o incluso eliminar datos. Es sorprendente saber que muchos ataques incluso ocurren debido a una contraseña débil para acceder al panel de administración de WordPress o incluso para acceder al panel de control de hosting.

Después de haber desarrollado una comprensión básica de la necesidad de asegurar su sitio de WordPress, ahora puede seguir leyendo para conocer las formas en que puede aumentar la seguridad de su sitio web.

9 consejos de seguridad para proteger su sitio de WordPress de los hackers

Mantenga actualizado su sitio de WordPress

Si sigue retrasando la actualización de su sitio de WordPress porque teme perder datos debido a una actualización incorrecta, inmediatamente debe comenzar a hacer copias de seguridad. Una vez que haga una copia de seguridad de su sitio, puede continuar fácilmente y actualizar su versión de WordPress a la última. Debe hacer esto porque WP corrige los errores de seguridad de la versión anterior con cada nueva versión que esté disponible.

Además, la información de WordPress informa al público sobre estas soluciones, lo que hace que su sitio desactualizado sea aún más vulnerable. Por lo tanto, acostúmbrese a usar la opción “Actualizar disponible” regularmente una vez que inicie sesión en su panel de administración de WordPress.

Actualice los temas y complementos que usa y elimine los no utilizados

Necesitas mantener tu Complementos de WordPress y temas actualizados por las mismas razones por las que necesita actualizar la versión general de WordPress. Un pirata informático puede manipular fácilmente un complemento o tema obsoleto (a través de agujeros de seguridad) para obtener acceso al administrador de su sitio web.

Por lo tanto, no se preocupe por la compatibilidad de su complemento con su tema actual, pero debe asegurarse de usar siempre las últimas versiones de ambos.

En el mismo sentido, asegúrese de que su sección de complementos en el panel de administración de WordPress contenga solo los complementos que utiliza. Elimine los que no usa porque es menos probable que actualice dichos complementos, y esto nuevamente aumenta su vulnerabilidad a los ataques de seguridad.

Tenga en cuenta que es importante “eliminar” los complementos no utilizados y no solo “desactivarlos”.

Evite descargar temas o complementos de fuentes desconocidas

Puede tener la tentación de descargar algunos complementos o temas premium de forma gratuita, incluso si provienen de fuentes desconocidas.

Si bien puede sentirse encantado de obtener funciones avanzadas sin costo, puede olvidarse de prestar atención a la amenaza de seguridad que estas características pueden traer consigo. Un complemento de una fuente desconocida puede introducir malware o insertar código malicioso en su sitio. En lugar de correr un riesgo tan grande, siempre es recomendable descargar solo temas y complementos de fuentes conocidas.

Puede usar Plugin-Check o Theme-Check para verificar el código de sus complementos y temas, respectivamente. Un código mal escrito puede facilitar a los hackers el acceso a su sitio web..

Si no está completamente seguro de la fuente y no sabe cómo verificar la calidad del código, simplemente puede optar por los diseños gratuitos de WordPress de la plataforma WordPress.org.

Tener un fuerte nombre de usuario y contraseña de administrador de WordPress

Para crear su sitio utilizando la plataforma WordPress, obtiene acceso al panel de control de fondo. De forma predeterminada, WP genera un nombre de usuario (administrador) y una contraseña segura para que pueda iniciar sesión en este panel de administración durante la instalación de WordPress. Pero, después de la instalación, debe cambiar su nombre de usuario administrador de WordPress a algo que sea exclusivo para usted.

Junto con eso, debe recordar cambiar la contraseña a algo desconocido por las personas que lo rodean o por los visitantes de su sitio web. Por ejemplo, si su sitio revela su fecha de nacimiento o el nombre de su cónyuge, asegúrese de que su contraseña tampoco contenga. Esto dificulta que cualquier hacker adivine su contraseña. También debe mantener una contraseña segura para su cuenta del panel de control.

Además, puede intentar agregar un CAPTCHA a su página de inicio de sesión de WordPress para aumentar aún más la seguridad de su sitio. Esto asegurará que un bot o script no pueda acceder a su sitio web a través de un ataque de fuerza bruta.

Agregue una autenticación de seguridad de WordPress en dos pasos

¿Cuántas contraseñas mantendré y seguiré actualizando regularmente? Es posible que tenga esta pregunta sobre el mantenimiento de contraseñas seguras para varios puntos de entrada a su panel de WordPress o panel de control.

Bueno, puedes disfrutar de un inicio de sesión sin contraseña en tu panel de WordPress usando algo como Complemento de autenticación de dos factores Clef. Con este complemento, puede usar su teléfono móvil para autenticar su inicio de sesión seguro en el panel de administración de WordPress junto con un PIN o huella digital. Entonces, incluso si pierde su teléfono, los detalles de su cuenta Clef permanecen seguros.

O puedes usar el Autenticador de Google para garantizar una autenticación de dos pasos. Con esto, debe usar su contraseña, así como ingresar un código de inicio de sesión generado de manera única que viene como un SMS a su teléfono.

Busque una empresa de alojamiento seguro

Tener la última versión del sitio de WordPress no importará si el pirata informático puede descifrar la antigua versión PHP de la plataforma que aloja su sitio. Por lo tanto, debe utilizar los servicios de alojamiento de un proveedor de alojamiento web extremadamente confiable.

Su host debe tener la capacidad de extender el soporte para las últimas versiones de MySQL y PHP. También debe tener un sistema eficiente de detección de intrusos para identificar cualquier ataque a tiempo y debe ofrecer a su sitio un firewall de aplicación web para una mayor seguridad.

Restrinja el número de intentos de inicio de sesión

Los hackers usan ataques de fuerza bruta para descifrar la contraseña que usas para iniciar sesión en tu panel de WordPress. Intentan continuamente intentos de inicio de sesión aleatorios hasta que tienen éxito.

Incluso si su contraseña es segura, es útil identificar tales cantidades irrazonables de intentos de inicio de sesión y restringir las direcciones IP que realizan estos intentos. Luego puede prohibir dichas direcciones IP por un período definido. Puedes hacerlo haciendo uso de complementos como Bloqueo de inicio de sesión o Solución de seguridad de inicio de sesión.

Programe copias de seguridad frecuentes de su sitio web

Este es un paso importante ya que incluso te ayuda cuando alguien piratea o compromete tu sitio. Cuando alguien piratea su sitio, puede volver fácilmente a la versión anterior de su sitio web que no se vio comprometida. También puede usar cualquiera de las soluciones automatizadas para copias de seguridad, como VaultPress o BackUpBuddy.

Mantenga su espacio de administración de WordPress bien protegido

Solo un número selecto de personas necesita tener acceso a su panel de administración. Además, siempre que sea posible, intente limitar el permiso a aquellos que acceden a su tablero. Esto lo ayudará a reducir la amenaza de ataques de fuentes desconocidas..
También debe asegurarse de que otros tengan acceso limitado o nulo a la carpeta WordPress / wp-admin / o al archivo wp-login.php. Puede permitir el acceso a su propia dirección IP agregando el siguiente código en el archivo .htaccess:

orden negar, permitir
Negar todo
Permitir desde zz.zz.zz.zz

En el código anterior, simplemente necesita reemplazar “zz.zz.zz.zz” con su propio conjunto de direcciones IP para diferentes ubicaciones o dispositivos.

Si no maneja direcciones IP estáticas, entonces este método puede no funcionar para usted. En tales casos, puede usar los complementos mencionados anteriormente para limitar los intentos de inicio de sesión.

Complementos de seguridad de WordPress para detectar código malicioso en su sitio

Si un hacker ataca su sitio, ayudará a limitar el daño o tomar medidas oportunas si se entera de inmediato. Entonces, echemos un vistazo a algunos de los principales complementos de seguridad de WordPress que pueden detectar códigos maliciosos insertados en su sitio web.

WP AntiVirus Site Protection

Este popular complemento, ofrecido por SiteGuarding.com, ayuda a detectar y eliminar cualquier virus o código malicioso que se encuentre en su sitio de WordPress. Escanea a través de elementos como los archivos de complemento, archivos de temas y todas las cargas para detectar rápidamente amenazas de seguridad, incluidas puertas traseras, adware, spyware, rootkits, gusanos, caballos de Troya y herramientas de fraude.

Si sigue descargando temas y complementos de sitios de torrents (en lugar de comprar las copias originales de los desarrolladores), entonces necesita tener este tipo de complemento para una mayor seguridad.

Wordfence Security

Este complemento ofrece seguridad gratuita de clase empresarial al proteger su sitio contra malware y posibles ataques. Comprueba si su sitio ya tiene una infección y realiza un escaneo profundo del lado del servidor del código fuente de su sitio.
Compara el código con el repositorio oficial de WordPress para complementos, núcleos y temas. No solo protege su sitio web contra la mayoría de las amenazas, sino que también lo hace 50 veces más rápido que antes.

Wordfence también permite el bloqueo en tiempo real de atacantes conocidos. Esto significa que si un hacker ataca este complemento en otro sitio, ese hacker también se bloquea automáticamente desde su sitio..

Puede bloquear una red completa de direcciones IP maliciosas cuando existe la amenaza de insertar códigos maliciosos en su sitio. Además, ayuda a bloquear las amenazas en forma de raspadores, rastreadores y robots identificados durante los análisis de seguridad. También analiza troyanos, código sospechoso, puertas traseras, URL de phishing, malware, vulnerabilidad HeartBleed, etc..

Si es un usuario premium, también puede bloquear países, y con frecuencia puede programar análisis para períodos específicos.

Exploit Scanner

Exploit Scanner siempre está buscando algo sospechoso en los archivos y la base de datos de su sitio de WordPress, incluidas las publicaciones y las tablas de comentarios.

También escanea los complementos que usa para buscar nombres de archivos engañosos o inusuales. Si encuentra algún código o archivo malicioso, este complemento proporciona un informe detallado al administrador del sitio y le deja a él o ella que elimine el código malicioso..

Seguridad Sucuri

Este es un conjunto integral de herramientas de seguridad para la detección de malware, el refuerzo de la seguridad y la supervisión de la integridad de la seguridad. Es un gran soporte para las funciones de seguridad de su sitio existente..

Algunas funciones clave de este complemento incluyen monitoreo de integridad de archivos, monitoreo de listas negras, auditoría de actividad de seguridad, escaneo remoto de malware, endurecimiento de seguridad y acciones de seguridad tomadas después de hacks, notificaciones de seguridad y firewall de sitios web.

Cómo escanear su sitio de WordPress en busca de malware oculto?

Dado que WordPress es una plataforma de código abierto, es fácilmente susceptible a las infecciones de malware o las inyecciones de los piratas informáticos. Algunas de las formas comunes en que los hackers pueden inyectar malware en su sitio incluyen las siguientes:

  • Pharma Hacks (inyecciones de spam en su base de datos o archivos)
  • Phishing (adquisición de información confidencial, como direcciones de correo electrónico, contraseñas y nombres de usuario)
  • Redirecciones maliciosas (redirige a los visitantes de su sitio a otra página del sitio donde hay un archivo infectado descargado o un código malicioso)
  • Inyecciones de archivos y bases de datos (adición de código malicioso en la base de datos o archivos de su sitio)
  • Puertas traseras (acceso a su área de administrador o cuenta FTP)
  • Todos los piratas informáticos quieren asegurarse de que el propietario del sitio no sepa que hackearon su sitio. Esto permite que los piratas informáticos infecten a los visitantes del sitio a través de spam continuo durante un período más largo.

Por lo tanto, su objetivo es seguir buscando cualquier malware oculto en su sitio que no conozca y deshacerse de los archivos o carpetas infectados.

Puede hacerlo mediante el uso de plugins populares de WordPress para escaneo de malware, como los que se enumeran a continuación:

Utilizar el Sucuri SiteCheck Scanner para buscar malware potencial. Simplemente ve al sitio aquí e ingrese la URL de su sitio web. Este escáner gratuito realizará un escaneo completo de su sitio en busca de malware, errores del sitio web, un estado de lista negra y software obsoleto.

La única desventaja es que debe realizar este escaneo manualmente con la versión gratuita. Puede actualizar a los planes premium y recibir alertas a través de Twitter, correo electrónico o RSS, siempre que detecte malware.

Elimine su sitio web de las listas negras si un hacker ha usado su servidor para enviar correo no deseado durante mucho tiempo. Los servicios premium también ayudan a eliminar el malware. Incluso puede probar el complemento de seguridad Sucuri mencionado anteriormente para una mejor protección contra malware.

Utilizar el Escáner antimalware para buscar malware, virus, puertas traseras y amenazas conocidas similares, así como para eliminarlos automáticamente. Una característica premium clave de este complemento es parchear su página wp-login.php para detener los ataques de fuerza bruta.

Además, puede usar cualquiera de los complementos de seguridad de WordPress mencionados anteriormente para identificar códigos maliciosos.

Herramientas de prueba de seguridad de sitios web

Para proteger su sitio web de ataques, debe probar constantemente el nivel de seguridad de su sitio mediante el uso de ciertas herramientas de prueba como:

Wapiti detecta vulnerabilidades (divulgación de archivos, inyección de bases de datos, inyección de secuencias de comandos entre sitios, configuraciones débiles de .htaccess y más) en su sitio web. Esta herramienta utiliza el enfoque de escaneo de recuadro negro.

Esto significa que no estudia el código fuente de la aplicación, sino que busca en las páginas web formularios y scripts donde pueda inyectar datos. Inyecta cargas útiles para identificar los scripts que son vulnerables. Proporciona informes en varios formatos, como HTML, XML, texto y JSON..

Google Nogotofail prueba el tráfico de red de un sitio para detectar y corregir conexiones TLS o SSL débiles y tráfico de texto sin formato sensible en varios dispositivos. También puede configurarlo como un servidor VPN o un servidor proxy o incluso un enrutador.

Puede probar el escáner y probador de código abierto llamado Vega. Esta plataforma basada en GUI está en Java y funciona con plataformas OS X, Windows y Linux. Consiste en un proxy interceptor para ejecutar la inspección táctica y un escáner automático para realizar pruebas rápidas..

Esta herramienta se puede utilizar para identificar secuencias de comandos entre sitios (XSS), inyección SQL y vulnerabilidades similares..
Esperamos que estos consejos e información sobre la seguridad de WordPress lo ayuden a mejorar la seguridad de su sitio en gran medida.

¿Ya has probado algunos complementos o métodos que aumentan considerablemente la seguridad de tu sitio web de WordPress? Comparta su experiencia y siga difundiendo la conciencia sobre la importancia de la seguridad del sitio web entre su red.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map