19 formas de proteger un sitio web (¡7 son clave!)

Publicado: 2022-08-20


¿Preocupado por la seguridad de WordPress?

¡Usted debería ser! Pero no se preocupe demasiado : si implementa algunas de las mejores prácticas de seguridad del sitio web de WordPress en su sitio, puede estar seguro de que su sitio no experimentará problemas.

WordPress es seguro. Pero las acciones que toman los usuarios (y los complementos que instalan los usuarios) pueden introducir todo tipo de vulnerabilidades de WordPress.

Para evitar cometer esos errores, todo lo que necesita hacer es seguir los consejos de esta publicación.

Para que esta publicación sea lo más procesable posible, dividiremos nuestros consejos de seguridad de WordPress en dos categorías:

Siete prácticas recomendadas de seguridad de WordPress que DEBES SEGUIR

Si no saca nada más de esta publicación, le recomiendo que implemente al menos estas siete mejores prácticas de seguridad de WordPress en su sitio.

Si no está haciendo estas siete cosas, está abriendo su sitio a grandes vulnerabilidades.

1. Aplicar actualizaciones de complementos y núcleos lo antes posible

Una de las mejores cosas que puede hacer para mantener WordPress seguro es aplicar siempre actualizaciones al núcleo, los complementos y los temas de WordPress.

No importa qué tan bueno sea un software, es natural que se descubran nuevas vulnerabilidades. Sin embargo, con un equipo de desarrollo de calidad, estas vulnerabilidades se solucionarán antes de que puedan ser explotadas por actores malintencionados... ¡siempre que aplique las actualizaciones de inmediato!

Muchos de los exploits de WordPress generalizados más recientes podrían haberse evitado si la gente simplemente hubiera actualizado sus sitios .

Para recibir alertas sobre nuevas actualizaciones, preste atención al Panel de control → Área de actualizaciones en su administrador de WP.

Aplicar actualizaciones de WordPress es esencial para la seguridad de WordPress

Si le preocupan los problemas de compatibilidad, puede probar las actualizaciones en un sitio provisional antes de aplicarlas a su sitio en vivo. También querrá realizar una copia de seguridad antes de aplicar las actualizaciones, más sobre eso más adelante.

Nota : la única excepción a esta regla son las actualizaciones importantes, que se centran únicamente en agregar nuevas funciones y no incluyen ninguna corrección de seguridad. Puede esperar tranquilamente unas semanas para aplicar estas actualizaciones importantes.

  • Versión principal (características) – 5.0, 5.1, 6.0, etc. – puede esperar para aplicar estas actualizaciones.
  • Lanzamiento menor (seguridad/corrección de errores ): 5.0.1, 5.1.2, 6.0.4, etc. SIEMPRE debe aplicar estos lo antes posible.

2. Use solo complementos y temas de desarrolladores acreditados (y no complementos anulados)

Si bien el software principal de WordPress es seguro, no se puede decir lo mismo de todos los complementos y temas que existen ( en su mayoría complementos ).

Al agregar código nuevo y modificar la funcionalidad de su sitio, los complementos pueden introducir todo tipo de vulnerabilidades.

Al mismo tiempo, no usar complementos no es realmente una opción, ya que los complementos son una parte integral de cada sitio de WordPress.

En consecuencia, es importante enfocarse en usar solo complementos y temas de desarrolladores acreditados con un historial de buena calidad de código y mantenimiento rápido.

Es decir, tenga cuidado con los complementos que instala en su sitio .

Aquí hay algunos consejos para ayudarlo a usar solo complementos y temas de alta calidad:

  • Lee las reseñas . Las malas críticas pueden indicar una mala calidad del código.
  • Compruebe el recuento de instalaciones activas . Si bien esta no es una regla estricta, generalmente es más probable que los complementos populares reciban atención.
  • Compruebe si hay actualizaciones recientes . Tener un desarrollador activo es importante para parchear cualquier vulnerabilidad recién descubierta.
  • No instale complementos innecesarios . Debido a que cada complemento que instala es un vector de ataque potencial, solo debe instalar complementos que sean importantes para su sitio.

También tenemos una guía completa sobre cómo elegir complementos de WordPress.

Finalmente, también querrá evitar complementos anulados porque no sabe qué código se ha agregado al complemento.

3. Utilice alojamiento seguro de WordPress

Elegir un proveedor de alojamiento de WordPress de calidad puede contribuir en gran medida a garantizar la seguridad de su sitio.

En primer lugar, un proveedor de alojamiento de WordPress de calidad se asegurará de que su entorno esté optimizado para la seguridad de WordPress, como los permisos de archivo adecuados y un archivo wp-config.php seguro.

Muchos hosts de WordPress también incorporarán protecciones más proactivas, como firewalls integrados o escaneo de malware.

Algunos hosts administrados de WordPress incluso limpiarán su sitio de forma gratuita si le sucede algo.

Básicamente, con un host de calidad (especialmente un host de WordPress administrado), se encargarán de muchas de estas mejores prácticas para que pueda concentrarse en hacer crecer su sitio.

Para encontrar algunas opciones de calidad, consulte nuestras publicaciones con el alojamiento de WordPress mejor administrado y el mejor alojamiento de WordPress en general.

Si puede permitírselo, considere opciones como Flywheel (lo que usamos para WPKube, nuestra revisión de Flywheel) o Kinsta (nuestra revisión de Kinsta).

Un anfitrión de calidad puede implementar consejos de seguridad del sitio web de WordPress

4. Bloquee su página de inicio de sesión y acceso a la cuenta

Todos los consejos de seguridad de WordPress en el mundo no pueden ayudarlo si un actor malintencionado puede obtener acceso a una de sus cuentas de usuario legítimas de WordPress ( especialmente una cuenta de administrador ).

Piénselo en el mundo real: podría tener el mejor sistema de seguridad para el hogar del mundo, pero no va a hacer nada si un ladrón tiene la llave de su casa y el código de seguridad.

Eso significa que es esencial que encuentre formas de proteger el proceso de inicio de sesión y las cuentas de usuario de su sitio de WordPress.

Para comenzar, querrá usar credenciales de cuenta sólidas:

  • Nombre de usuario : nunca use "admin" como nombre de usuario. En su lugar, elija un nombre de usuario único que no use en ningún otro lugar.
  • Contraseña : use una contraseña fuerte y única. Para obtener los mejores resultados, utilice un administrador de contraseñas como LastPass o Bitwarden para generar contraseñas únicas para cada sitio.

Más allá de eso, también puede usar tácticas para proteger la página de inicio de sesión de WordPress:

  • Cambie la URL de inicio de sesión : esto también reduce mucho el tráfico de bots. ¿Cómo? Use el complemento gratuito WPS Hide Login.
  • Limite los intentos de inicio de sesión : bloquee temporalmente una dirección IP si realiza demasiados intentos de inicio de sesión incorrectos (tal como lo hacen los bancos). ¿Cómo? Use el complemento gratuito Limitar intentos de inicio de sesión recargados.
  • Requerir autenticación de dos factores (2FA) : haga que las personas ingresen un código de una aplicación de autenticación, SMS o correo electrónico además de sus credenciales. ¿Cómo? Use complementos gratuitos como WP 2FA o Two-Factor.
Un ejemplo de cómo limitar los intentos de inicio de sesión en WordPress

Todos los sitios deben cambiar la URL de inicio de sesión y limitar los intentos de inicio de sesión, pero el uso de la autenticación de dos factores de WordPress solo es necesario para los sitios de misión crítica.

5. Instale un certificado SSL y use HTTPS

Un certificado SSL le permite usar HTTPS en su sitio en lugar de HTTP.

Con HTTPS, todos los datos que pasan entre su navegador y su servidor están encriptados. Más allá de ser generalmente bueno para la privacidad, esto es esencial para proteger datos importantes como su nombre de usuario y contraseña.

Sin HTTPS, un actor malicioso en su red de Internet puede ver todos los datos que pasan entre su navegador y su sitio. Por ejemplo, si inicia sesión en su sitio en su cafetería local usando HTTP, alguien en esa red podría ver su nombre de usuario y contraseña en texto sin formato.

Sin embargo, cuando usa HTTPS, su nombre de usuario y contraseña (junto con todos los demás datos) están encriptados de forma segura, lo que significa que los actores maliciosos solo verían un montón de caracteres aleatorios.

Uso de WordPress HTTPS

Hoy en día, la mayoría de los proveedores de alojamiento de WordPress de calidad ofrecen certificados SSL gratuitos.

Una vez que instale un certificado SSL a través de su panel de alojamiento, puede configurar su sitio para usar HTTPS. Si necesita ayuda para mover su sitio a HTTPS, el complemento SSL gratuito Really Simple ofrece una configuración con un solo clic.

Siga nuestra guía HTTPS de WordPress para obtener más detalles.

6. Utilice versiones de PHP compatibles

WordPress está escrito en el lenguaje de programación PHP. Sin embargo, existen diferentes versiones de PHP que puede usar en su cuenta de alojamiento.

Las versiones anteriores de PHP ya no reciben mantenimiento, lo que significa que pueden tener problemas de seguridad sin parches.

A partir de 2022, la versión de PHP más antigua que recibe actualizaciones de seguridad es PHP 7.4. Sin embargo, a partir de 2023, querrá usar PHP 8.0 como mínimo.

Puede verificar el soporte de la versión actual de PHP en esta página.

Compatibilidad con WordPress PHP

Como beneficio adicional, las versiones más nuevas de PHP también ofrecen grandes mejoras de rendimiento, lo que significa que su sitio se cargará más rápido además de ser más seguro.

Si no está seguro de cómo actualizar PHP, puede consultar con el soporte de su anfitrión. También tenemos una guía sobre cómo actualizar PHP en hosts populares de WordPress.

7. Haga una copia de seguridad de su sitio con regularidad

Hacer una copia de seguridad de su sitio no evitará que ocurran problemas de seguridad en su sitio. Sin embargo, evitará que los problemas de seguridad se conviertan en problemas mayores.

Sin una copia de seguridad, cualquier incidente de seguridad en su sitio puede ser absolutamente devastador. Puede perder datos, tener mucho tiempo de inactividad, etc.

Sin embargo, con una copia de seguridad reciente, el peor caso de un incidente de seguridad suele ser que solo necesita restaurar la copia de seguridad limpia de su sitio. Todavía molesto, pero mucho menos catastrófico.

Si su host aún no ofrece copias de seguridad automáticas seguras, las herramientas pagas como Jetpack Backup o BlogVault ofrecen la forma más sencilla de habilitar copias de seguridad seguras fuera del sitio.

Si no tiene el presupuesto para pagar una herramienta, UpdraftPlus también es una excelente opción gratuita; solo asegúrese de conectarlo a un proveedor de almacenamiento externo, como Google Drive o Amazon S3.

Aquí está nuestra publicación completa sobre los mejores complementos de copia de seguridad de WordPress.

Doce consejos adicionales para reforzar la seguridad de WordPress

Si implementa fielmente las mejores prácticas de seguridad del sitio web de WordPress que se deben seguir, evitará el 99% de los problemas en su sitio.

Sin embargo, si desea mejorar aún más las cosas, hay algunos consejos de fortalecimiento adicionales que puede implementar para proteger aún más su sitio.

8. Configurar un cortafuegos

Un cortafuegos puede proteger de forma proactiva su sitio de las amenazas al bloquear el tráfico o las acciones maliciosas antes de que puedan afectar su sitio o servidor.

Muchos hosts ya implementan sus propios firewalls, por lo que es posible que esto no sea imprescindible para los sitios si está utilizando un alojamiento de WordPress de calidad ( ver arriba ).

Si su host no lo hace (o si desea más protección), puede agregar un firewall a nivel de aplicación con un complemento como Wordfence o a nivel de DNS con un servicio como Cloudflare o Sucuri.

9. Use un complemento de seguridad de WordPress

Puede crear sitios seguros de WordPress sin un complemento de seguridad dedicado, por lo que definitivamente no se requiere un complemento de seguridad para crear un sitio seguro.

Dicho esto, un complemento de seguridad aún puede ser útil por varias razones:

  1. Los complementos de seguridad pueden ofrecer firewalls en tiempo real para protegerse contra las amenazas emergentes.
  2. Un complemento de seguridad de calidad facilitará la implementación de muchos de los otros consejos de refuerzo de esta lista, lo que puede simplificarle las cosas y ahorrarle tiempo.

En caso de duda, el complemento de Wordfence es una excelente opción para comenzar. Puede encontrar más opciones en nuestra colección completa de los mejores complementos de seguridad de WordPress.

10. Ocultar la versión de WordPress

Ocultar el número de versión de WordPress agrega una cantidad insignificante de "seguridad por oscuridad" al dificultar un poco que los actores malintencionados detecten el número de versión de su sitio.

Para ocultarlo, puede agregar el siguiente código al archivo functions.php de su tema secundario o un complemento como Code Snippets.

 function wp_version_remove_version_number() return ''; add_filter('the_generator', 'wp_version_remove_version_number');

Si quieres ir más allá, tenemos una guía sobre cómo ocultar que tu sitio usa WordPress.

11. Verifique los permisos de archivo

Si está utilizando un host de calidad, los permisos de archivo de su sitio ya deberían ser correctos. Sin embargo, podría valer la pena verificar dos veces porque es importante tener los permisos de archivo correctos.

Para obtener más información, consulte nuestra guía completa sobre los permisos de archivos de WordPress.

12. Use solo conexiones seguras para FTP

Siempre que se conecte a su sitio a través de FTP u otras tecnologías, asegúrese de utilizar protocolos seguros como SFTP.

Así como HTTPS protege los datos que se mueven entre su navegador y su sitio web, SFTP protege la conexión entre su cliente FTP y su servidor.

También debe evitar almacenar sus contraseñas FTP en su cliente FTP, a menos que esas contraseñas estén encriptadas de forma segura.

13. Configurar el registro de actividad

El registro de actividad le permite realizar un seguimiento de lo que hacen los usuarios en su panel, lo que puede ayudarlo a detectar actividades sospechosas (especialmente si otorga acceso al panel a otros usuarios).

Registro de actividad de WordPress para la seguridad del sitio web

Para configurar esto, puede usar un complemento como WP Activity Log. Tenemos un tutorial sobre cómo configurar el registro de actividad, así como un cupón exclusivo de registro de actividad de WP para ahorrar algo de dinero.

14. Ejecute escaneos regulares de malware/seguridad

Si bien su sitio no debería experimentar ningún problema si ha implementado las mejores prácticas anteriores, sigue siendo una buena práctica ejecutar periódicamente escaneos de seguridad/malware en su sitio.

Para verificar cualquier problema en la interfaz de su sitio, puede usar la herramienta gratuita Sucuri SiteCheck.

Para ejecutar un análisis completo de los archivos de su servidor, puede considerar herramientas como MalCare o Wordfence.

Su host de WordPress también podría ejecutar sus propios análisis de malware diarios, lo que podría hacer que estas herramientas sean redundantes.

15. Deshabilitar XML-RPC

XML-RPC ayuda a las herramientas externas a conectarse a su sitio de WordPress, como la aplicación de escritorio de WordPress.

Sin embargo, si no está utilizando estas herramientas, solo agrega un vector de ataque innecesario a su sitio. Para deshabilitarlo por completo, puede usar el complemento gratuito Disable XML-RPC.

16. Bloquear enlaces activos

Hotlinking es cuando alguien incrusta contenido de su servidor en su sitio (por ejemplo, una imagen). Puede afectar la seguridad de su sitio al agotar los recursos de su servidor sin su permiso.

Para bloquear hotlinking, puede agregar algún código al archivo .htaccess de su sitio.

Para generar el código .htaccess necesario para bloquear hotlinking, puede utilizar esta herramienta gratuita. Le permitirá incluir en la lista segura a ciertos proveedores de enlaces directos (como la búsqueda de imágenes de Google), mientras bloquea a otros.

17. Cambiar el prefijo de la base de datos de WordPress

Cambiar el prefijo de la base de datos de WordPress agrega una pequeña cantidad de "seguridad por oscuridad", aunque algunos expertos (incluido Wordfence) dicen que los beneficios de seguridad son bastante triviales.

Si tiene un sitio de WordPress existente, no recomiendo hacer esto porque los riesgos de romper su sitio superan cualquier posible beneficio de seguridad.

Sin embargo, si está configurando un nuevo sitio de WordPress, también podría usar un prefijo de base de datos personalizado, incluso si no tiene un gran efecto.

18. Deshabilite la ejecución de archivos PHP en la carpeta wp-content/uploads

Puede bloquear algunos ataques de casos extremos al deshabilitar la ejecución de archivos PHP en su carpeta wp-content/uploads .

Así es cómo:

  1. Utilice el Bloc de notas para crear un nuevo archivo .htaccess.
  2. Agregue el fragmento de código a continuación.
  3. Cargue ese archivo en la carpeta wp-content/uploads .
 <Files *.php> deny from all </Files>

19. Deshabilitar la edición de código en el tablero

De forma predeterminada, WordPress le permite editar archivos de temas y complementos desde el panel de control de WordPress, lo que permitiría a un atacante agregar código malicioso si alguna vez tuviera acceso a una cuenta de administrador.

Para evitar esto, puede deshabilitar la edición de archivos agregando este fragmento a su archivo wp-config.php :

define( 'DISALLOW_FILE_EDIT', true );

Preguntas frecuentes sobre la seguridad del sitio web de WordPress

Para terminar, aquí hay algunas preguntas comunes sobre la seguridad de WordPress.

¿Wordpress tiene problemas de seguridad?

WordPress en sí no tiene problemas de seguridad, pero la instalación de complementos en su sitio puede presentar vulnerabilidades de seguridad, especialmente en el caso de complementos mal codificados y/o mantenidos.

¿Se piratea fácilmente WordPress?

La gran mayoría de los sitios de WordPress son pirateados debido a un error del usuario, no por el software en sí. Seguir algunas de las mejores prácticas esenciales de seguridad hará que su sitio sea muy difícil de piratear.

¿Puedes hacer que WordPress sea seguro?

Si, absolutamente. Siempre que siga las mejores prácticas, WordPress puede ser muy seguro. Hay una razón por la que tantas marcas importantes confían en WordPress.

¿Necesita un complemento de seguridad de WordPress?

Puede crear un sitio seguro de WordPress sin un complemento de seguridad integral. Sin embargo, estos complementos pueden simplificar el proceso de implementación de las mejores prácticas para fortalecer la seguridad y brindarle acceso a funciones útiles, como firewalls y análisis de seguridad.

Implemente estas mejores prácticas de seguridad de WordPress hoy

Si no saca nada más de esta publicación, espero que implemente al menos los siete consejos de seguridad de WordPress que debe seguir de arriba.

Si hace solo esas siete cosas, puede estar seguro de que evitará el 99,9 % de los problemas de seguridad en su sitio.

Si desea una protección aún mejor, puede continuar e implementar los 19 consejos de esta lista.

¿Todavía tienes alguna pregunta sobre la seguridad de WordPress? ¡Cuéntanos en los comentarios!