Como Proteger WordPress de Ataques: De novato a profesional

WordPress es muy fácil de usar sobre todo cuando eres un novato, pero muchos usuarios a menudo olvidan un factor; la seguridad. En este artículo, repasare los pasos para saber como proteger wordpress de ataques, y te dare algunos consejos para hacer tu sitio web más seguro.

Crear tu propia pagina en WordPress es emocionante y a la vez agobiante. Hay mucho que tienes que hacer para configurar todo, desde elegir un tema hasta escribir tu primera entrada en el blog. Sin embargo, el único factor que muchas personas descuidan es la seguridad.

WordPress es muy amigable para principiantes y fácil de aprender, pero eso conlleva algunas advertencias. A los hackers les gusta aprovecharse de usuarios relativamente inexpertos y acceder a nuevos sitios web. Lo hacen para obtener acceso a información confidencial o utilizar el sitio para propagar malware a visitantes desprevenidos.

Después de todo, WordPress impulsa casi el 35% de la web. Esto significa que más de un tercio de todos los sitios comparten vulnerabilidades similares, lo que los convierte en un objetivo lucrativo para los hackers. Entonces, ¿merece la pena usar WordPress? ¿No estamos abriéndonos a ser atacados?

WordPress: ¿Es realmente un sistema de código abierto seguro?

WordPress es de código abierto, lo que significa que el código que ejecuta su sitio web es libre de ser examinado por cualquiera que lo desee. Esto incluye a los hackers que buscan vulnerabilidades que pueden utilizar. Teniendo esto en cuenta, ¿es seguro utilizar plataformas de código abierto?

En este caso, el uso de plataformas de código abierto puede ser mucho más seguro que crear tu propia página web, especialmente si no tiene ni idea de lo que está haciendo. Muchos programadores tendrán una comprensión de cómo hacer un sistema seguro, pero a menudo tendrá que contratar a un ingeniero de seguridad para estar completamente protegido. E incluso entonces, tendrás que mantener tu propio código y mantenerlo actualizado, y eso es caro.

El código de WordPress no sólo es analizado por hackers. También es examinado por el equipo de seguridad de WordPress, desarrolladores voluntarios, hackers  y otras empresas interesadas con buenas intenciones. Así que incluso si algo se escapa, hay una buena posibilidad de que lo atrapen rápido.

La mayoría de los problemas de seguridad ni siquiera son causados por una vulnerabilidad en una instalación actualizada de WordPress. Ocurren porque la gente no mantiene WordPress y sus plugins actualizados, pueden instalar software malicioso accidentalmente o usar contraseñas inseguras. Si sigues las reglas, lo más probable es que estés a salvo.

Dicho esto, veamos algunas de las cosas que puedes hacer para proteger tu página web con WordPress.

Elija un hosting seguro

Un factor importante detrás de estas vulnerabilidades de seguridad es la baja calidad del hosting.

Invierta en un host que valora la seguridad. No te estás haciendo ningún favor si crees que los costes de alojamiento más baratos superan a los de seguridad. Parte de la investigación de mercado debe incluir la búsqueda del historial de seguridad de la empresa de hosting. ¿Son conscientes de la seguridad? ¿Confían en la tecnología y los estándares más recientes?

Esto también es válido para el hosting compartido. Aunque es una opción más barata, también significa que está compartiendo espacio de servidor con otros clientes. Desafortunadamente, todo lo que se necesita es que un sitio web se infecte y que el malware se propague por todos los sitios de la red.

Esta es la razón por la que deberíamos considerar la posibilidad de actualizar a cloud, VPS o hosting dedicado cuando nos lo podamos permitir.

Además, deberíamos estar buscando un alojamiento que ofrezca los siguientes servicios:

  • Software de servidor actualizado: Demasiados hosts todavía se ejecutan en PHP 5, el cual ha perdido soporte hace tiempo. En este momento, los servidores deben usar al menos PHP 7.0+. Lo mismo ocurre con otros programas como cPanel, MySQL u otros programas de base de datos, y el sistema operativo.
  • Monitoreo y eliminación de malware: elija un host que haga un gran esfuerzo para detectar y prevenir infecciones de malware y que posiblemente ofrezca escaneado y eliminación de malware para cuando se produzca una infracción. No todos los proveedores de alojamiento web tienen una política para eliminar el malware de un sitio infectado y, entre los que sí la tienen, algunos cobran un plus por este servicio.
  • Cortafuegos y otras medidas de seguridad: Hay muchas maneras en que los proveedores de alojamiento pueden aumentar la seguridad de sus servidores. Posiblemente, el más efectivo de ellos es confiar en un cortafuegos ya que evita el acceso externo no autorizado al servidor. Puede ser una buena idea verificar si el proveedor tiene éste y otros medios de prevención antes de tomar una decisión.

Instalar un certificado SSL

Un certificado SSL (Secure Sockets Layer) encripta los datos servidos entre el usuario y tu pagina web. Esto es algo que es crucial para los sitios donde los usuarios intercambian información de pago, y menos relevante para los blogs informativos.

SSL le concede una URL HTTPS y un certificado que la acompaña, sin el cual los usuarios recibirán una notificación roja “No protegido” en la barra de direcciones cuando visiten nuestro sitio. Los visitantes conocedores de la tecnología sabrán que esto no representa un riesgo si simplemente están navegando, pero definitivamente ahuyentará a muchos otros.

A lo largo de los años, los certificados SSL han generado confianza entre los usuarios, y prácticamente les dice que nuestra identidad es verificada y autentificada por un proveedor de confianza. No evitará directamente que nos pirateen, pero aún así es bueno tenerlo. Si su sitio web recopila información a través de formularios, pagos, etc., es absolutamente necesario que obtenga uno.

IdenTrust y Comodo son actualmente los proveedores más populares de certificación SSL. Plugins como Really Simple SSL pueden ayudarle a configurar el certificado y hacer que HTTPS se ejecute.

Hacer copias de seguridad en su página web

Incluso antes de comenzar a hacer cambios en su web, antes de actualizar WordPress o instalar un plugin, lo primero que debe hacer es configurar sus copias de seguridad. De esta manera, no importa cuál sea el peor de los casos, un cambio accidental en el código, un fallo en WordPress, una base de datos dañada tenemos una solución.

Las copias de seguridad manuales, copiar archivos y transferirlos manualmente al disco duro o a la nube, son gratuitas pero consumen mucho tiempo. Es cierto que podemos hacer esto tan seguido (una vez al día) o tan raramente como queramos. Aunque una copia de seguridad hecha una vez cada 6 meses puede ser un poco peligroso.

Compruebe si su host ofrece copias de seguridad automatizadas semanales, mensuales o diarias. Este servicio suele ser comercial, pero ocasionalmente gratuito. Si este es el caso, y su host realiza una copia de seguridad de sus archivos y base de datos, no necesita hacer nada más. Aunque puede ser una buena idea mantener algunas copias de seguridad manuales por si acaso.

Plugins de Copia de Seguridad para WordPress

Si nuestro host no ofrece copias de seguridad del sitio web, o si la copia de seguridad proporcionada por nuestro host excluye archivos o nuestra base de datos, también podemos confiar en los plugins.

Es una buena idea tener al menos una solución sólida para cada sitio web que tengas o administre, y los plugins de copia de seguridad de WordPress pueden proporcionar esa capa extra de protección.

iTemas es un buen ejemplo. Este plugin de seguridad ofrece copias de seguridad gratuitas de la base de datos, junto con su conjunto de herramientas y parches. Su plugin relacionado BackupBuddy te permite hacer una copia de seguridad completa del sitio también.

Los plugins gratuitos como UpdraftPlus, BackUpWordPress y VaultPress también hacen el trabajo eficientemente y vale la pena comprobarlo.

Recuerde que incluso si decide confiar en un plugin de copia de seguridad, necesitará un plugin de seguridad, como Wordfence, si desea mantenerse seguro.

No esperes a que sea demasiado tarde. Configurar su seguridad en el último minuto es tan efectivo como arreglar los agujeros en tu techo durante una tormenta.

Gastar una hora más o menos para configurar sus copias de seguridad y la seguridad le ahorrará meses, quizás incluso años de trabajo.

Proteja los plugin y el tema

Si has elegido un buen host y sus copias de seguridad están configuradas, dispone de una infraestructura de seguridad bastante buena. Pero todavía hay algunas cosas más que debes hacer para asegurar completamente tu sitio.

Un plugin desactualizado o un tema inseguro es la gran puerta de entrada para infiltrarse en tu página web. Mantenerlos actualizados ayuda a reparar los posibles agujeros, evitando que esto ocurra.

Actualizar los componentes de tu sitio es tan sencillo como ir a tu panel de control de administración de WP y comprobar si hay notificaciones de actualización en Panel > Actualizaciones.

Marque los temas o plugins que quieras actualizar marcando las casillas y, a continuación, haga clic en el botón situado en la parte superior/inferior para empezar a actualizarlos. Si tiene el hábito de ignorar estas alertas, es hora de frenar.

Como sabes, los plugins y temas pueden ser actualizados a través de las pestañas Plugins y Temas. Además, no todos los temas premium de terceros incluyen actualizaciones automáticas, por lo que es posible que desee revisar sus sitios web de vez en cuando.

Más importante que actualizar tus plugins y temas es mantener WordPress actualizado.

El 39% de los sitios de WordPress pirateados estaban anticuados. A veces es posible que tenga que rechazar una actualización porque puede interferir con un plugin que esté usando, pero eventualmente puede que tenga que perder el plugin para guardar su sitio. Dejar WordPress obsoleto durante meses es posiblemente lo peor que puedes hacer.

(Consejo: Haga siempre una copia de seguridad de tu sitio antes de introducir actualizaciones. Por si acaso hay un contratiempo.)

Ya que estás en ello, deberías eliminar el número de versión de tu código fuente.

Por defecto, los sitios web de WordPress llevan una etiqueta meta que contiene el número de versión de WordPress que el sitio está usando. Tenemos que estar de acuerdo con los especialistas en seguridad en que esto hace la vida demasiado fácil a los hackers.

Puedes eliminar manualmente el número de versión de WordPress colocando un código simple en tu archivo functions.php. Si, como hemos sugerido, estás usando un plugin de seguridad de WordPress, muchos de ellos ocultan tu versión de WP automáticamente. Si está considerando usar un plugin de rendimiento, el plugin de Perfmatters también incluye una opción para ocultar la versión WP.

Instalar plugins y temas desde fuentes confiables

Otro gran error que cometen los usuarios de WordPress es adquirir los plugins y temas de proveedores poco fiables. Un mal tema o plugin puede corromper, dañar o inyectar malware en sus páginas.

Los sitios web de terceros y los desarrolladores no están respaldados por WordPress, y como tal, nunca se sabe lo que se está obteniendo. Lo mejor sería evitar cualquier cosa que provenga de sitios web desconocidos. Si el plugin en cuestión tiene muchas críticas positivas y parece ser popular, debería ser lo suficientemente seguro como para instalarlo.

Incluso si un plugin está en el directorio oficial, no está garantizado que sea seguro. Antes de descargar algo del repositorio, eche un vistazo a las estadísticas que aparecen en la barra lateral a la derecha de la página. Evite descargar plugins que no hayan sido actualizados en el último año o más, que tengan menos de unos pocos cientos de instalaciones o que reciban bajas calificaciones.

Lo mismo ocurre con los temas. WordPress ofrece algunos temas en el repositorio de temas. Si, como muchos usuarios, buscas más variedad, asegúrate de comprar sus temas sólo a proveedores y creadores que sean de confianza y conocidos en la comunidad.

Debe evitar los plugins y temas de WordPress “nulled”. Software nulled es un término utilizado para los plugins premium distribuidos de forma gratuita y sin permiso.

Además de ser cuestionable y posiblemente ilegal, los temas y plugins nulled son un gran riesgo para la seguridad. Confiar en un desarrollador que ya está actuando de forma poco ética para no incluir malware en el código, es tan sensato como pedirle a un ratón que proteja su queso.

Algunos distribuidores nulled incluyen código que hace que aparezcan anuncios excesivos en su sitio, distribuyen malware o corrompen su base de datos. Además, no tendrá acceso a ninguna actualización, y eso puede dejarle vulnerable a los ataques cuando el software quede obsoleto.

Con todo, está dentro de nuestro mejor interés evitar los plugins nulos en conjunto, y sólo instalar software del repositorio de WordPress o de proveedores de confianza.

Desactivar edición de archivos

WordPress viene con un conjunto de editores de temas y plugins de fácil acceso. Puede encontrarlos en Apariencia > Editor de Temas y Plugins > Editor de Plugins. Estos permiten el acceso directo al código de su sitio.

Aunque estas herramientas son útiles para algunos, muchos usuarios de WordPress no son programadores y nunca necesitarán tocar nada aquí. Jugar con este código sin saber lo que estás haciendo es una forma segura de romper algo. Si eres un usuario de este tipo, es mejor desactivar la edición de archivos, ya que los hackers pueden utilizar el editor de archivos para ejecutar rápidamente código malicioso o eliminar partes enteras de tu sitio web. Desactivando esto se ralentizan.

También puede desactivar los editores de temas y plugins con una línea de código en wp-config.php. Si al final necesitas editar tu sitio o plugins, sólo tienes que volver a activarlos temporalmente. Alternativamente, puede editarlos a través de un cliente FTP.

Desactivar la edición de archivos no impedirá necesariamente que los atacantes causen daños, pero puede confundir a los hackers menos experimentados y detenerlos en su camino. Por lo menos, les hará un poco más difícil y nos dará más tiempo para darnos cuenta de que algo anda mal.

Fortalecer el proceso de inicio de sesión

Cuando alguien averigua tu contraseña sin recurrir a utilizar las claves del sitio, lo más probable es que sea el resultado de ataques. Esto implica intentar por la fuerza varias combinaciones de letras y números hasta que la contraseña sea correcta.

A veces un atacante puede intentar combinaciones comunes, antes de pasar a usar programas, ejecute un proceso automatizado que intenta varias combinaciones de contraseñas aleatorias por segundo.

Si está empezando a sentir que es mejor que renuncie a toda esperanza de mantener la seguridad de sus sitios, no lo haga. Hay muchas maneras de frenar a los hackers, disuadir e incluso evitar que los atacantes hagan cosas como ataques a la fuerza.

La instalación por defecto de WordPress se basa en una ruta de acceso similar cada vez. Haciendo de esto un objetivo fácil y principal para los hackers que intentan contraseñas comunes o fácilmente adivinables.

La razón por la que tanta gente sigue usando WordPress es que muchos de estos problemas se solucionan fácilmente.

Crear una combinación dificil de inicio de sesión

El primer y más importante paso es elegir un nombre de usuario y una contraseña adecuados. Podríamos ocultar la página de inicio de sesión bajo una URL diferente, pero si el inicio de sesión es algo tan mundano como admin/contraseña, no habría ninguna diferencia una vez que los hackers lo encuentren.

Aquí hay una lista de nombres de usuario que definitivamente deberías evitar.

  • Admin: Este solía ser el nombre de usuario por defecto para WordPress y es, por lo tanto, uno que definitivamente será probado en un ataque de fuerza bruta.
  • Su nombre o apodo real: Esta es información pública y tan fácil de adivinar como “admin”. Además, puede tener sentido crear un perfil separado sin derecho de administrador para publicar contenido. De esta manera, el nombre de usuario del inicio de sesión principal no aparece en el sitio web.
  • Cualquier información personal: Incluyendo cumpleaños, etc. Sólo utilice un dato personal si es algo que nadie podría saber.
    El título de su sitio, o algo obviamente relacionado con él – “Gatitos” para una agencia de adopción de gatos, etc.

También debe elegir una contraseña segura. La esencia general de esto es la misma: evitar la información personal, las opciones obvias como la “contraseña”, o cualquier cosa claramente relacionada con tu sitio web.

Una buena contraseña tiene más de 10 caracteres, utiliza una variedad de caracteres y evita palabras y frases comunes. Las mejores contraseñas son una larga serie de letras, números y símbolos completamente aleatorios que nadie podría adivinar. Servicios como Secure Password Generator pueden ayudarte a crearlos.

Si tiene dificultades para recordar tu información de acceso, considera la posibilidad de utilizar un servicio como LastPass.

Proteja su página de inicio de sesión

De forma predeterminada, cualquiera puede iniciar sesión en su sitio web en yoursite.com/wp-admin. Puedes detenerlos cambiando la URL por completo. El Hide Login de WPS le permite cambiar a lo que quiera. Simplemente instálalo y ve a la configuración del plugin para cambiarlo.

Debe utilizar una ruta de inicio de sesión que no sea obvia. Podría disuadirlos un poco si lo cambias a algo como /login o /new-login, pero si están decididos, lo averiguarán bastante rápido. Por lo tanto, es mejor elegir algo muy difícil de adivinar como /jacksparrowshideout.

A continuación, instale un plugin para limitar los intentos de inicio de sesión. Cualquier persona puede enviar spam a su servidor con cientos de solicitudes hasta que lo adivine correctamente. Un plugin que limita los intentos de inicio de sesión les dará sólo unas pocas oportunidades antes de que se bloqueen. También puede detectar y redirigir los robots lejos de su página de inicio de sesión.

Alternativamente, puedes activar un CAPTCHA para ralentizarlos aún más.

En este punto, la mayoría de los hackers buscarán objetivos más fáciles. Pueden seguir intentándolo una vez que se acabe su tiempo, pero en ese tiempo podríamos revisar nuestros registros de auditoría, notar sus intentos de entrar, y emitir una prohibición de IP.

También puede probar Cloudflare Rate Limiting. Esto detecta automáticamente la fuerza bruta, así como los ataques DDoS y bloquea la dirección IP infractora.

El último paso es configurar la autenticación de dos pasos utilizando un plugin. Además de requerir un nombre de usuario y una contraseña para entrar, pide al visitante un tercer autentificador. La más común es una verificación de texto de un mensaje enviado a su teléfono. Un hacker podría tener acceso a tu correo electrónico, pero es muy poco probable que te roben el teléfono.

Mantén WordPress a salvo

Una instalación intacta de WordPress está abierta a los atacantes. El descuido de la seguridad lo hace vulnerable a los hackers que buscan desfigurar, eliminar o incluso inyectar malware en tu sitio.

Sin embargo, un día instalando y configurando los plugins de seguridad adecuados y rellenando todos esos pequeños agujeros podría marcar la diferencia.

Siguiendo los consejos que te eh dado, tu sitio estará mucho más seguro de los atacantes. Lo mejor es que muchos de estos métodos son acciones de “ponerlo y olvidarlo”. Simplemente cambiando un ajuste y no tendrá que pensar en ello durante mucho tiempo.

En resumen: elija un host fiable con servidores seguros, instale un certificado SSL si está recopilando datos de usuario, realice una copia de seguridad de su sitio web y actualice la instalación y los temas, y asegúrese de que dispone de un inicio de sesión seguro. Haz todo esto y los hackers, especialmente los hackers aficionados, serán detenidos en la puerta.

¿Tu sitio de WordPress ha sido pirateado alguna vez? ¿Cómo se las arregló para recuperar su sitio web y limpiarlo? Nos encantaría escuchar su historia en los comentarios.

Estaremos encantados de escuchar lo que piensas

Deje una respuesta

Suscríbete

"El Blog de CarlosMarketer"
¡SUSCRÍBETE!
Close