Lista de verificación de seguridad simple para sitios de WordPress

¬ŅSab√≠a que m√°s de 100.000 sitios web son pirateados diariamente? As√≠ es, el cibercrimen es una seria amenaza para cualquier empresa, y cualquiera con un sitio de WordPress tampoco est√° seguro. Tuve un encuentro con piratas inform√°ticos (y tuve que recuperar mi sitio de WordPress), y probablemente sepas que fue feo.

Los hackers están buscando activamente sitios web vulnerables para romper y robar datos que puedan liberar para obtener ganancias monetarias o pura intención maliciosa. Para protegerse y proteger su valioso sitio, debería considerar seriamente fortalecer su seguridad de WordPress.

Teniendo en cuenta que perderá ingresos, tiempo y esfuerzo cuando los piratas informáticos ingresen a su sitio web, hemos creado la siguiente lista de verificación de seguridad que puede usar para proteger su sitio web de WordPress. Todos los elementos de seguridad en la publicación son relativamente fáciles de implementar, incluso para los novatos:

  1. Actualizar WordPress
  2. Actualizar temas y complementos
  3. Use contrase√Īas √ļnicas y seguras
  4. Instalar un complemento de seguridad de WordPress
  5. Elija un gran alojamiento de WordPress
  6. Usar SSL (HTTPS)
  7. Crear una copia de seguridad completa del sitio
  8. Utilice un firewall de aplicaciones web (WAF)
  9. Deshabilitar la edición de archivos en WordPress Admin
  10. Asegure su página de inicio de sesión
  11. Agregar autenticación
  12. Cerrar sesión usuarios inactivos
  13. Analizar en busca de malware y problemas
  14. Usa una VPN

Como puede ver, dividiremos la publicaci√≥n en varias partes que abarcar√°n todo, desde elegir un host seguro hasta fortalecer su √°rea de administraci√≥n y otras. Deber√° repetir algunas tareas de seguridad, como actualizar sus temas regularmente. Otras tareas son √ļnicas, pero a√ļn tienen un impacto significativo en mantener su sitio seguro. Comprueba lo que necesitas arreglar y hazlo de inmediato porque los hackers tampoco pierden el tiempo.

Lista de verificación de seguridad simple de WordPress

1. Actualizar WordPress

El n√ļcleo de WordPress se audita y verifica regularmente para detectar vulnerabilidades de seguridad. Si se detectan fallas y errores de seguridad, los desarrolladores principales generalmente lanzan actualizaciones de mantenimiento. Las actualizaciones menores se instalan en su sitio web de WordPress autom√°ticamente.

Sin embargo, deber√° actualizar WordPress manualmente para todas las versiones principales. Es un proceso relativamente sencillo ya que recibe un mensaje molesto en su administrador de WordPress. Solo el 22% de los sitios web se ejecutan con la √ļltima versi√≥n de WordPress, lo cual es triste teniendo en cuenta lo f√°cil que es actualizar.

No se encuentre en el 78% restante ya que esencialmente est√° exponiendo su sitio a todo tipo de ataques al no actualizar su sitio web. Por lo general, los piratas inform√°ticos son el primer grupo de personas en conocer las vulnerabilidades en las versiones antiguas, ya que cuentan con las fallas para lanzar ataques exitosos.

Antes de actualizar WordPress, recomendamos leer las notas de la versión para ver qué ha cambiado y hacer una copia de seguridad de su sitio web (solo para estar seguro). De esta forma, ahora qué esperar cuando hace clic en ese botón de actualización, y tiene una seguridad en caso de que algo salga mal.

2. Actualizar temas y complementos

Mientras actualiza el n√ļcleo de WordPress, no olvide actualizar sus temas y complementos tambi√©n. Los hackers son particularmente aficionados a los viejos temas y complementos con agujeros de seguridad conocidos.

Explotan estas vulnerabilidades de seguridad e incluso pueden ocultar una puerta trasera en un tema o complemento antiguo. Si no actualiza, pueden hackear su sitio web cuando lo desee.

Para evitar perder sus estilos personalizados, recomendamos utilizar un tema secundario de WordPress en lugar del tema principal. De esa manera, no perder√° sus personalizaciones cuando actualice su tema.

También debería eliminar los temas inactivos, complementos e instalaciones de WordPress no utilizadas. No solo ahorrará ancho de banda y hará que su sitio web sea más rápido, sino que también mantendrá a raya a los hackers.

Otra nota rápida, nunca descargue temas y complementos premium "anulados". Solo vaya con fuentes confiables como WordPress.org, Envato u otra tienda temática de buena reputación.

3. Utilice contrase√Īas √ļnicas y seguras

Te sorprender√° saber que la mayor√≠a de los sitios web son pirateados cuando los malos roban tu informaci√≥n de inicio de sesi√≥n. Adem√°s, los ataques de fuerza bruta son bastante comunes e implican bombardear su p√°gina de inicio de sesi√≥n con miles de combinaciones de nombre de usuario y contrase√Īa hasta que algo ceda.

Si usa nombres de usuario y contrase√Īas d√©biles (como el infame "admin" o "12345"), est√° haciendo que sea muy f√°cil para los hackers ingresar a su sitio web. Acost√ļmbrate a crear contrase√Īas √ļnicas y seguras que cambies regularmente. Incluso puede usar un generador en l√≠nea gratuito, como este de LastPass.

Administrar muchas contrase√Īas seguras puede ser un problema. Para ayudar, a menudo conf√≠o en administradores de contrase√Īas como 1Password o LastPass, entre otros. No reutilice la misma contrase√Īa en varios sitios web y mantenga siempre segura su informaci√≥n de inicio de sesi√≥n. Aseg√ļrese de que sus usuarios de WordPress tambi√©n usen contrase√Īas seguras.

Mientras lo hace, recuerde usar contrase√Īas seguras para su correo electr√≥nico, cPanel, bases de datos MySQL y cuentas FTP tambi√©n.

4. Instale un complemento de seguridad de WordPress

Cada vez que creo un nuevo sitio web de WordPress, generalmente tengo varios complementos de facto que instalo casi autom√°ticamente. Obtengo un complemento anti-spam, Formulario de contacto 7, Symple Shortcodes e iThemes Security, mi complemento de seguridad de WordPress.

El complemento me permite fortalecer mis defensas de WordPress sin sudar. Viene con tantas caracter√≠sticas que hacen que mantener a los malos fuera de mis sitios web sea muy f√°cil. Configurar el complemento es s√ļper f√°cil; deber√≠as estar en funcionamiento en poco tiempo.

Los mejores complementos de seguridad de WordPress le ofrecen diferentes funciones, as√≠ que aseg√ļrese de verificar antes de instalar para asegurarse de que obtiene todas las funciones que necesita para proteger todo su sitio web, sin importar cu√°n √ļnicas sean. Las caracter√≠sticas est√°ndar incluyen escaneo de malware, bloqueo de IP, prevenci√≥n de fuerza bruta, autenticaci√≥n de dos factores y mucho m√°s. ¬°Marque muchas de las casillas de esta lista de verificaci√≥n de seguridad que est√° leyendo ahora mismo!

5. Elija un gran alojamiento de WordPress

Por lo general, los principiantes buscan el primer paquete de alojamiento barato que encuentran. No lo sostendr√≠a en su contra, ya que no lo sabe mejor, pero el alojamiento compartido cuestionablemente barato (o incluso gratuito) puede exponerlo a riesgos de seguridad. S√© esto a ciencia cierta porque he sido pirateado en dos compa√Ī√≠as de alojamiento diferentes que ofrecen alojamiento compartido.

El alojamiento compartido implica compartir un servidor con miles de otros sitios web. Esto aumenta el riesgo de contaminación entre sitios. Es decir, un hacker puede obtener acceso a su sitio incluso si el sitio web de otra persona fue el punto de ataque original.

El alojamiento administrado de WordPress, por otro lado, se centra solo en sitios web de WordPress. No comparte un servidor con otros, y obtiene más opciones de seguridad para mantenerse seguro. También ofrecen soporte dedicado, y más opciones de recuperación en caso de que ocurra lo peor.

Si debe utilizar el alojamiento compartido, digamos que est√° comenzando con un blog que a√ļn no genera dinero, aseg√ļrese de que los sitios est√©n aislados o "encarcelados". Si est√° ejecutando un sitio web comercial o de comercio electr√≥nico, vale la pena usar el mejor alojamiento de WordPress que pueda ajustar a su presupuesto desde el primer momento, como VPS, hosting dedicado o administrado de WordPress.

6. Use SSL (HTTPS)

Hoy en día, muchas empresas de alojamiento de WordPress ofrecen certificados SSL gratuitos desde el primer momento y por una buena razón. Los certificados SSL hacen que su sitio web sea más seguro que los sitios sin SSL. Google también recomienda el uso de certificados SSL para proteger los datos en su sitio web (y asegurarse de que los usuarios sepan si usa SSL o no).

HTTPS es m√°s seguro que su predecesor HTTP. Un sitio web que utiliza HTTPS cifra todos los datos que se mueven entre el navegador del usuario y sus servidores. Si un hacker intercepta la comunicaci√≥n, solo encontrar√° datos encriptados que sean tan √ļtiles como un hombre con una sola pierna en una competencia de patear traseros ūüôā

Instalar certificados SSL en la mayoría de los servidores web es tan fácil como A, B, C. La mayoría ofrece instaladores con un solo clic que facilitan todo el proceso. Simplemente inicie sesión en su cPanel y haga clic en un solo botón para instalar y administrar sus certificados SSL. Si desea un enfoque más práctico, considere revisar Let's Encrypt.

7. Crear una copia de seguridad completa del sitio

Cuando los hackers me destronaron, tuve que reconstruir mis sitios web desde cero, un dolor de cabeza que habría evitado si hubiera recordado de manera confiable hacer una copia de seguridad de WordPress.

Pero no, las copias de seguridad que estaban con mi servidor web se da√Īaron durante el ataque, y no, no ten√≠a una soluci√≥n de copia de seguridad secundaria. Un caso cl√°sico de poner todos tus huevos en una canasta que me ense√Ī√≥ una dura lecci√≥n.

Hoy en día, creo copias de seguridad completas del sitio web que incluyen mis archivos y bases de datos. Principalmente uso ManageWP, pero también uso el complemento Duplicador para almacenar copias de seguridad en mi computadora y en Google Drive.

Le insto a crear copias de seguridad completas regularmente. Muchas soluciones de respaldo de WordPress le permiten automatizar todo el proceso, ahorr√°ndole tiempo y d√°ndole tranquilidad.

8. Use un firewall de aplicaciones web (WAF)

Para agregar una capa adicional de seguridad a su sitio de WordPress y dormir mejor por la noche, habilite un firewall de aplicaci√≥n web (WAF). Un WAF protege su sitio web al bloquear el tr√°fico malicioso mucho antes de que llegue a su sitio. Es una medida proactiva para detener a los malos antes de que causen alg√ļn da√Īo.

El cortafuegos filtra el tr√°fico entrante, elimina a los piratas inform√°ticos y deja pasar a los usuarios leg√≠timos. Muchas compa√Ī√≠as de seguridad de WordPress ofrecen firewalls de aplicaciones web junto con otras funciones. Las opciones populares en la industria incluyen Sucuri y Cloudflare.

9. Desactiva la edición de archivos en WordPress Admin

El CMS de WordPress viene con un fantástico editor de código que le permite editar archivos de plugins y temas dentro de su panel de administración de WordPress. El editor de código es una gran herramienta para tener a su disposición, pero en manos equivocadas, los hackers pueden usarlo para desfigurar o agregar malware en su sitio web.

Siempre puede editar su tema y archivos de complementos (si es necesario) a trav√©s de FTP o administrador de archivos en cPanel, lo que significa que puede desactivar por completo el editor de c√≥digo en WordPress. No desea que los hackers que obtienen acceso a su √°rea de administraci√≥n de WordPress tengan acceso al editor de c√≥digo, ya que pueden causar mucho da√Īo con unas pocas l√≠neas de c√≥digo.

¬ŅQu√© hacer? Puede deshabilitar el editor de c√≥digo incorporado utilizando el complemento gratuito Sucuri Security. Alternativamente, puede agregar el siguiente c√≥digo a su wp-config.php archivo:

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Estamos avanzando

10. Asegure su página de inicio de sesión

Por lo general, el formulario de inicio de sesi√≥n en su WordPress tiene dos campos; nombre de usuario y contrase√Īa. Con los atacantes de fuerza bruta y los robots cada vez m√°s inteligentes, ¬Ņc√≥mo evitas que los piratas inform√°ticos tengan acceso a tu √°rea de administraci√≥n de WordPress? Es simple; agrega CAPTCHA o preguntas de seguridad que hacen que sea m√°s dif√≠cil para cualquier persona obtener acceso no autorizado.

Y no tiene que editar código para agregar CAPTCHA o preguntas de seguridad a su página de inicio de sesión. Existe un popular plugin de WordPress conocido como Pregunta de seguridad de WP que es fácil de configurar y usar. Si desea utilizar CAPTCHA, puede utilizar Captcha de inicio de sesión simple, WordFence o una de las muchas otras opciones disponibles de forma gratuita en WordPress.org.

Al mismo tiempo, puedes cambie su URL de inicio de sesi√≥n de wp a algo √ļnico De esa manera, los bots y los piratas inform√°ticos tendr√°n dificultades para adivinar la URL de su p√°gina de inicio de sesi√≥n. wp-login ya es popular entre los hackers, por lo que tiene mucho sentido cambiar la URL a otra cosa. Puede usar un complemento como WPS Hide Login.

11. Agregar autenticación

Adem√°s, considere implementar la autenticaci√≥n de dos factores y de m√ļltiples factores. En caso de que un hacker tenga acceso a sus datos de inicio de sesi√≥n, no podr√° iniciar sesi√≥n en su sitio de WordPress. Hay muchas opciones disponibles, pero Google Authenticator es una opci√≥n popular.

Aparte de eso, limite los inicios de sesión en su página de inicio de sesión. Si un visitante intenta iniciar sesión con una cuenta que no existe o está intentando volver a iniciar sesión muchas veces, lo más probable es que sea un pirata informático o un bot que intente ingresar por fuerza bruta. Puede usar un complemento como Limit Login Intentos o bloqueo de inicio de sesión para mantener alejados a estos elementos intrusivos.

12. Cerrar sesión usuarios inactivos

Cuando tiene un sitio web de WordPress multiusuario, no puede controlar completamente c√≥mo o d√≥nde los usuarios acceden a su sitio web. Un autor podr√≠a decidir usar Wi-Fi p√ļblico gratuito para hacer toques finales en un art√≠culo. Un dise√Īador web puede abandonar su escritorio y regresar de una hora de almuerzo.

En tales escenarios, su usuario puede exponer su sitio web a riesgos de seguridad sin saberlo. Una persona malintencionada podr√≠a hacerse cargo de su sesi√≥n, editar sus detalles y simplemente causar estragos. Si la parte no autorizada sabe lo que est√° haciendo, puede hacerse cargo f√°cilmente de la cuenta del usuario y causar da√Īos.

¬ŅQu√© hacer? Puede cerrar la sesi√≥n de usuarios inactivos autom√°ticamente despu√©s de un per√≠odo predefinido. ¬ŅY la mejor parte? Hay complementos para este prop√≥sito exacto. Una opci√≥n popular es el complemento de cierre de sesi√≥n inactivo que incluye opciones para personalizar el tiempo de inactividad antes del cierre de sesi√≥n, mensaje emergente personalizado o redirigir al cerrar sesi√≥n y el tiempo de espera seg√ļn el rol del usuario.

13. Analizar en busca de malware y problemas (regularmente)

A menudo olvidado, escanear su sitio web de WordPress regularmente puede ayudarlo a identificar problemas de seguridad desde el principio. Un pirata informático tarda solo un segundo en ingresar a su sitio web y hacer todo tipo de cosas desagradables. Esta es precisamente la razón por la que debes estar al tanto de las cosas en todo momento.

Muchos complementos de seguridad de WordPress para buscar infecciones de malware, vulnerabilidades de seguridad conocidas, scripts obsoletos, ataques de fuerza bruta, copias de seguridad inexistentes, etc. Los complementos le envían informes detallados sobre problemas conocidos, para que pueda solucionarlos o contratar a un profesional.

Existen muchos escáneres de sitios web, como Sucuri SiteCheck, que puede usar para verificar su sitio en un instante. Todo lo que tiene que hacer es ingresar su URL, y las herramientas verificarán su sitio web automáticamente. Después de eso, le ofrecen un informe sobre lo que necesita arreglar. Una vez que tenga el informe, repare todas las vulnerabilidades de seguridad de inmediato.

14. Use una VPN

Si ejecuta un sitio web que contiene informaci√≥n confidencial que nunca debe estar en manos de piratas inform√°ticos, considere usar una red privada virtual (VPN), m√°s a√ļn cuando use Wi-Fi p√ļblico gratuito. Una VPN lo protege de ataques de hombre en el medio que son comunes en las redes p√ļblicas, incluso en el hogar y el trabajo.

Una red privada virtual asegura que, incluso si los atacantes obtienen acceso al sistema y roban sus datos, no pueden hacer nada con los datos que obtienen de usted. Si tiene una red de Internet que comparte con muchas personas, use siempre una VPN antes de acceder a su área de administración de WordPress.

Otras opciones de seguridad de WordPress

¬ŅNecesitas m√°s para hacer? Nos encantar√≠a mantener su sitio web seguro en todo momento, as√≠ que aqu√≠ hay elementos de seguridad adicionales para agregar a su lista de verificaci√≥n:

  • Deshabilite la ejecuci√≥n de archivos PHP en / wp-content / wp-uploads /
  • Cambiar el prefijo de la base de datos de WordPress
  • Proteja con contrase√Īa su administrador y p√°ginas de inicio de sesi√≥n en el lado del servidor
  • Deshabilitar indexaci√≥n de directorio
  • Deshabilite WP REST API y XML-RPC si no es necesario
  • No edite / cambie el n√ļcleo de WordPress: escriba o use un complemento que ofrezca la funcionalidad que necesita en su lugar
  • Aseg√ļrese de que su sitio web ejecute la √ļltima versi√≥n de PHP
  • Use un programa antivirus en su computadora
  • Habilitar Google Search Console
  • Reduzca las vulnerabilidades de inyecci√≥n de XSS y SQL (es posible que necesite una persona m√°s experta en tecnolog√≠a para ayudar con estos dos)

Realmente, la cantidad de pasos que puede seguir para proteger su sitio son infinitas. Pero si puede marcar los 14 elementos que hemos enumerado, es un gran paso para asegurar su sitio.

Asegurar su sitio web de WordPress es desafiante pero no imposible. Con las herramientas y habilidades adecuadas, puede fortalecer r√°pidamente su seguridad de WordPress y mantener alejados a los malos actores.

Como resumen, mantenga siempre actualizado su sitio web. Además de eso, nunca descargue temas o complementos de sitios no confiables. Y para estar seguro si ocurriera lo peor, siempre tenga una solución de respaldo confiable.

Esperamos que haya encontrado todos los consejos que necesita para asegurar su sitio web de WordPress, de ahí su negocio en línea. Si tiene alguna pregunta o necesita ayuda para descubrir cómo proteger su sitio web de WordPress, háganoslo saber en los comentarios. ¡Mantenerse a salvo!