Una guía completa sobre cómo proteger su sitio de WordPress.

Publicado: 2018-10-16
La mayoría de las personas, cuando comienzan a diseñar y desarrollar su sitio web por primera vez, se preocupan principalmente por hacer que las cosas funcionen de la manera que desean y lograr que el sitio se vea genial. La seguridad de WordPress no es una de sus principales preocupaciones.

Esto es divertido porque casi todo el mundo ha oído o leído acerca de la piratería, pero cuando se trata de nuestros sitios, de alguna manera esperamos que no nos suceda a nosotros. Porque, ¿por qué un hacker estaría interesado en una pequeña parte de nuestro negocio local, verdad? Equivocado. La seguridad de WordPress es muy importante y, por lo tanto, su sitio web de WordPress debe estar adecuadamente protegido y protegido. ¡Veamos las razones por las cuales!

¿Por qué y cómo un pirata informático piratea su sitio?

Es importante comprender el razonamiento detrás de un ataque a un sitio web antes de analizar las formas de evitar que suceda. Puede haber múltiples razones por las que un pirata informático estaría interesado en su sitio web, incluso si es un sitio de una pequeña empresa o incluso un blog personal.

Las dos razones principales por las que se piratea un sitio son: una, por razones políticas, como desfigurar sitios web para presentar y distribuir contenido que apoya una ideología o grupo en particular.

El otro tiene como objetivo ganar dinero a través de medios fraudulentos. Cómo funciona esto es que el sitio web pirateado se usa como intermediario para distribuir software malicioso y, en la mayoría de los casos, el propietario del sitio ni siquiera se entera.

Este es el mercado negro en línea que opera a través de sitios pirateados. ¡Su sitio web tiene el potencial de convertirse en parte involucrada en actividades delictivas!

Las otras repercusiones negativas además de estas son:

  • Un sitio web pirateado y desfigurado dañará la reputación de su marca y también causará una gran vergüenza.
  • Los sitios pirateados generalmente son bloqueados por el servidor de alojamiento, lo que resulta en la pérdida de negocios.
  • Su sitio, si se corta, se puede utilizar como proxy de spam.
  • El costo de recuperación puede ser muy alto si su sitio web no está respaldado.

Ahora que hemos establecido brevemente por qué su sitio puede ser pirateado, veamos cómo un pirata informático encontraría y apuntaría a su sitio en particular entre los millones disponibles en línea.

Debe ser muy improbable que un pirata informático se dirija a su sitio, ¿verdad? Después de todo, es solo una gota en el océano de sitios web. Bueno, lamento reventar tu burbuja, ¡pero eso está mal!

La piratería no se realiza manualmente. Los piratas informáticos emplean robots/programas cuya única función es buscar sitios web vulnerables. Estos programas generalmente se ejecutan en servidores en la nube, donde se configuran y destruyen según las necesidades, dejando poco o ningún rastro. Están diseñados para descubrir miles de sitios web cada hora. Al encontrar un sitio, se buscan vulnerabilidades, las cuales se encuentran continuamente en WordPress y sus complementos. También pueden deberse a errores humanos, como el uso de contraseñas fáciles de adivinar o un alojamiento poco confiable o poco confiable.

¡Asegurar su sitio de WordPress, por lo tanto, no es una opción sino una necesidad y estamos aquí para ayudarlo a través del proceso!

Tu guía para proteger WordPress

Al final de la larga lista de medidas de seguridad que siguen, estará equipado para garantizar completamente su sitio web de WordPress. Cuando se trata de proteger los sitios web, todos deben tomar medidas primarias específicas.

Estas son cosas no despreciables y en su mayoría simples que serán de gran ayuda y mantendrán su WordPress razonablemente seguro. Luego, hay otro conjunto de medidas para aquellos de ustedes que son muy paranoicos acerca de la seguridad de su sitio web y no les importa hacer un esfuerzo adicional para mantenerlo extremadamente seguro.

Analicemos primero el conjunto anterior de medidas, es decir, las tareas de seguridad necesarias que todos los propietarios de sitios web deben realizar:

Cambiar el nombre de usuario predeterminado

Una de las formas más fáciles y rápidas de asegurar su WordPress es cambiar el nombre de usuario "Administrador" predeterminado a algo que no sea fácil de adivinar. Idealmente, debería cambiar su nombre de usuario de administrador durante la instalación de WordPress, pero si no lo ha hecho, puede cambiarle el nombre usando phpMyAdmin o ejecutando un script de lenguaje de consulta estandarizado en su base de datos.

De cualquier manera, este simple truco de seguridad de WordPress ayudará a que su sitio web evite muchos intentos de piratería aleatorios.

Use una contraseña segura y no la reutilice en diferentes plataformas

Los piratas informáticos saben que nosotros, como humanos, tratamos de mantener contraseñas seguras e idénticas porque tendemos a olvidarlas. Los piratas saben cómo aprovechar esto y, por lo general, tienen una lista de las contraseñas más utilizadas que probarán una y otra vez hasta que encuentren la adecuada. Esta técnica se llama fuerza bruta de una contraseña. Por lo tanto, mantener una contraseña segura y compleja es un paso sencillo para proteger su WordPress.

Otra cosa a tener en cuenta es nunca reutilizar contraseñas. Lo que hace la reutilización de contraseñas es que les da acceso a los piratas informáticos al resto de sus cuentas si incluso una de ellas está comprometida. Sí, puede ser inconveniente y problemático para usted recordar tantas contraseñas diferentes y complejas, pero para ayudarlo, muchos administradores de contraseñas en el mercado lo ayudan a almacenar y mantener sus contraseñas seguras. Sugerimos usar estos.

Ejecute siempre la última versión de WordPress

Es esencial mantener su WordPress actualizado porque, con cada actualización principal, WordPress corrige sus problemas de seguridad descubiertos recientemente. Muchas veces, las personas deshabilitan las actualizaciones principales de WordPress porque la última versión puede no ser compatible con algunos complementos. Sin embargo, lo más importante que debe recordar es que un sitio web pirateado es mucho más problemático que un complemento temporalmente roto.

No cambie el núcleo de WordPress

Editar los archivos fuente del núcleo de WordPress es una idea terrible porque elimina la facilidad de actualizar automáticamente su WordPress a la última versión, cuya importancia hemos discutido en el punto anterior. Si ha cambiado el núcleo de WordPress, una actualización a la versión más nueva hará que pierda estos cambios.

Entonces, ¿qué debe hacer si desea cambiar la funcionalidad de WordPress?

Escribir un plugin es la respuesta. Te da la libertad de hacer lo que quieras sin tener que comprometer el núcleo de WordPress.

Lo mismo se aplica a los temas y complementos también. Cualquier intento de modificar el núcleo resultará en la pérdida de la capacidad de actualizar a la última versión. En general, siempre hay otras formas de obtener la funcionalidad que desea y cambiar el núcleo no es el camino a seguir.

Asegúrese de que todos sus complementos y temas estén actualizados

La razón detrás de la necesidad de actualizar sus complementos e ideas es la misma que detrás de mantener actualizado su WordPress. Es su responsabilidad mantenerlos actualizados a la última versión, ya sea que lo haga de forma manual o automática, para mantener su sitio a salvo de ataques de hackers.

Si está utilizando complementos descargados de WordPress.org, puede habilitar las actualizaciones automáticas en segundo plano, y para cualquier otra actualización de complemento comercial, deberá manejarlo a través de su mecanismo de complemento. Además, asegúrese de mantener activas sus membresías de complementos siempre para obtener las últimas actualizaciones.

Ahora, cuando se trata de actualizar sus temas , puede preocuparse por lo que sucederá con todos los cambios que haya realizado en su tema cuando realice una actualización. Lo que debe hacer al realizar cambios en los temas es hacerlo a través de "temas secundarios" en lugar de realizar cambios directamente en el tema real.

Cuando haga esto, puede actualizar fácilmente sus temas a la última versión sin perder los cambios que haya realizado hasta ahora. Para verificar qué temas requieren actualizaciones, vaya a "Apariencia" y luego a "Temas" en su WordPress. También puede habilitar las actualizaciones automáticas en segundo plano de la misma manera que se hace con los complementos.

Siempre descargue complementos, temas y scripts solo desde su fuente oficial

Puede ser tentador adquirir temas y complementos de fuentes no oficiales a un mejor precio o de forma gratuita, pero no es una buena idea hacerlo. Esto se debe a que muchos de estos temas y complementos pirateados son modificados erróneamente por piratas informáticos para que sirvan como una puerta trasera para que puedan llevar a cabo sus perversos esquemas.

Siempre debe confiar en sitios seguros para encontrar complementos y temas de calidad para asegurarse de que su WordPress sea seguro. El más común de estos es WordPress.org. Otros sitios confiables son WordPress.com, ThemeForest.net, CodeCanyon.net, etc.

Su sitio siempre debe ejecutar la última versión de PHP

PHP es el motor subyacente de WordPress y presenta bastantes actualizaciones de versión.

Pero de acuerdo con la página de estadísticas globales de WordPress, ¡casi el 80% de las instalaciones de WordPress se ejecutan en versiones de PHP que ya no son compatibles! Esto es motivo de preocupación porque, en primer lugar, su sitio web no se beneficia de las funciones de rendimiento que vienen con las últimas versiones y esto también conduce a que no se solucionen los problemas de seguridad que se han encontrado en la versión anterior.

Es por eso que es esencial asegurarse de que su sitio ejecute la última versión de PHP.

Al actualizar el núcleo de WordPress, los complementos y los temas son una tarea bastante clara. Las actualizaciones de la versión de PHP dependen principalmente de su servidor de alojamiento. Esta es una de las razones por las que es fundamental elegir un servidor de alojamiento seguro . Hará que las últimas versiones de PHP estén disponibles para usted con su instalación de WordPress. Un servicio de alojamiento seguro de WordPress también tendrá un equipo proactivo cuyo trabajo es verificar las últimas vulnerabilidades a las que está expuesto su sitio y tomar medidas para mitigarlas.

Actualice su sitio solo a través de redes confiables

¿A quién no le encanta usar Internet Wifi gratis en lugares como el aeropuerto o incluso en un café local, verdad? Pero tenga en cuenta que estas conexiones Wi-Fi abiertas son fáciles de espiar. Debe evitar acceder a su sitio de administración de WordPress a través de dicha red. Y especialmente cuando se trata de actualizar su sitio web, siempre use sistemas confiables como el que tiene en su casa u oficina.

Usa un antivirus

Si hay un virus en su escritorio, puede propagarse rápidamente al replicarse en su sitio web. Este es un esquema que suelen utilizar los virus para infectar su sitio. Luego puede espiar y obtener acceso a sus contraseñas o incluso a sus datos bancarios y personales. Es por eso que debe asegurarse de que su estación de trabajo esté usando un antivirus confiable y actualizado.

Asegure su sitio usando complementos de seguridad de WordPress

Un complemento de seguridad le permite saber a qué vulnerabilidades está expuesto su sitio y le brinda orientación sobre cómo solucionarlas. El uso de un complemento es una forma sencilla pero segura de proteger su sitio de WordPress, y requiere muy poco o ningún esfuerzo de su parte. Ejecutan escaneos y le brindan una revisión detallada de cualquier problema rastreado dentro de su sitio web.

Algunos complementos de seguridad confiables son Total Security, Vulnerable Plugin Checker, iThemes Security Pro y Plugin Inspector.

Mantenga su sitio respaldado

Si todas las medidas anteriores fallan y la seguridad de su sitio aún está comprometida, entonces este paso es lo que lo salvará.

Es esencial crear y programar copias de seguridad para su sitio. Estas copias de seguridad planificadas son una parte indispensable de la política de seguridad de un sitio porque garantiza que si su sitio se ve comprometido, se restaurará a una versión anterior al daño con facilidad.

No solo en el caso de un pirateo, sino también en el caso de un percance o error técnico, tener copias de seguridad asegura que pueda recuperar su sitio y volver a funcionar en poco tiempo.

¡La lista de nuestras medidas de seguridad primarias y esenciales termina aquí!

Ahora hemos llegado a la segunda parte donde discutiremos los consejos de seguridad de WordPress para nuestros fanáticos de la seguridad. Esto es para aquellos administradores que desean varias capas de protección para su sitio web.  

Asegúrese de haber configurado las claves de autenticación secretas de WordPress

Encontrará 8 claves de autenticación y seguridad de WordPress en su wp-config.php. Estas no son más que variables arbitrarias que hacen que sea más difícil deducir sus contraseñas de WordPress al agregar un elemento de aleatoriedad a la forma en que se almacenan en la base de datos.

Veamos cómo puedes usarlo.

  • Primero, use el generador aleatorio de WordPress para generar un conjunto de claves.
  • Luego, edite su archivo wp.config. Encontrará un lugar para agregar las claves únicas generadas en el paso anterior en la sección "Claves únicas de autenticación".

Se supone que no debes compartir o hacer públicas estas claves.

Límite de intentos de inicio de sesión

Ya hemos hablado sobre la fuerza bruta y cómo los piratas informáticos la usan para averiguar su contraseña. Poner en marcha un mecanismo para limitar los intentos de inicio de sesión es esencial por esta misma razón.

Afortunadamente, hay un complemento que hace esto por ti. El complemento "Limitar inicio de sesión de WordPress" detecta muchos intentos de contraseña incorrectos y deshabilita intentos adicionales durante un período de tiempo específico, lo que resulta en esfuerzos fallidos de fuerza bruta y mejora la seguridad de su sitio.

Habilitar la autenticación de dos factores

La autenticación de dos factores o 2FA es una forma extremadamente eficiente de asegurar su inicio de sesión de WordPress. Al habilitar 2FA, cada vez que inicie sesión en su administrador de WordPress, necesitará un token de seguridad basado en el tiempo (único para cada usuario) además de su contraseña habitual. Este token de seguridad caduca en un breve período, que generalmente es de 60 segundos.

Esto hace que sea extremadamente difícil para cualquier persona obtener acceso a su inicio de sesión, incluso si tienen sus credenciales de inicio de sesión (porque no tendrán el token de seguridad actual).

Por lo tanto, habilitar 2FA es una forma de prueba completa de fortalecer su inicio de sesión y escapar de los ataques de fuerza bruta en sus datos de inicio de sesión.

Deshabilitar la ejecución de PHP

Cuando los piratas informáticos obtienen acceso a su sitio, una de las primeras cosas que hacen es ejecutar PHP desde un directorio. Una cosa inteligente que hacer es deshabilitar esto por completo. Entonces, incluso si alguna vulnerabilidad estuviera presente en su sitio web de WordPress, esta protección desbarataría proactivamente el resto de los esfuerzos de un pirata informático para obstaculizar su sitio.

Este es un gran paso hacia la seguridad de WordPress y puede provocar la rotura de ciertos temas y complementos que lo requieran, pero aún así es recomendable implementarlo en los directorios más riesgosos wp-includes y uploads.

Puede implementar esta protección a través de su archivo .htaccess agregando el siguiente código:

  • <Archivos *.php>
  • Orden Permitir, Denegar
  • Negar todo
  • </Archivos>

Deshabilitar la edición de archivos

Por lo general, jugamos con complementos y archivos de temas mientras aún estamos en las etapas iniciales de la creación de un sitio web, ya que, de forma predeterminada, los administradores de WordPress pueden editar archivos PHP. Sin embargo, una vez que nuestro sitio web esté desarrollado, tendremos muy poco uso de esta opción de edición.

Por lo tanto, es recomendable deshabilitar la edición de archivos para los administradores de WordPress una vez que el sitio web esté en funcionamiento. Esto se debe a que incluso si un pirata informático logra iniciar sesión en su sitio, no tendrá privilegios de edición y no podrá cambiar archivos para ejecutar sus perversos esquemas. Para deshabilitar la edición de archivos, inserte el siguiente comando en el archivo wp-config.php: define('DISALLOW_FILE_EDIT', true);

Separe sus bases de datos de WordPress

Si crea todos sus sitios en la misma base de datos e incluso uno de ellos se ve comprometido, todos los demás sitios de WordPress alojados en la misma base de datos también corren una gran amenaza de ser pirateados. Mientras instala su WordPress, siempre debe crear una nueva base de datos y darle un nombre de base de datos, una base de datos y una contraseña por separado. Asegúrese de que sean diferentes de cualquier otro sitio o inicio de sesión que utilice.

Lo que esto hace es que, si uno de sus sitios es pirateado, la infección dejará de propagarse a sus otros lugares, incluso en la misma cuenta de alojamiento compartido.

Si no está en uso, deshabilite XML-RPC

Una aplicación puede acceder a su WordPress a través de algo conocido como API (interfaz de programación de aplicaciones). Para explicárselo en términos sencillos, un ejemplo de XML-RPC es usar la aplicación de su teléfono para actualizar su sitio. También hay complementos específicos que utilizan la funcionalidad XML-RPC.

Sin embargo, si no está utilizando ninguna aplicación de terceros y está seguro de que ninguno de sus complementos de WordPress está utilizando su sitio web a través de XML-RPC, es aconsejable desactivarlo porque XML-RPC se puede utilizar como una herramienta para piratear su sitio web. sitio.

Asegure su archivo wp-config.php

El archivo wp-config.php es uno de los datos más críticos que almacena una gran cantidad de ajustes de configuración necesarios, como los detalles de inicio de sesión de la base de datos, las sales de contraseñas hash, etc. No querrá que nadie se entrometa aquí y, por lo tanto, las medidas de seguridad para salvaguardar este archivo de configuración crítico de WordPress se debe tomar.

Si no ha deshabilitado la ejecución de PHP (discutido en el punto 15), agregue este comando a sus archivos .htaccess:

  • <archivos wp-config.php>
  • orden permitir, negar
  • Negar todo
  • </archivos>

Instalar cortafuegos

Para mantenerlo muy simple, las bolas de fuego de software evitan que las cosas entren o que salgan. En este caso, ayudan a evitar que los piratas informáticos se acerquen a su sitio web (oa la parte de su sitio web). Debe usar un firewall de aplicaciones web (WAF), y uno de los firewalls más confiables y de código abierto generalmente disponibles con los servicios de alojamiento de WordPress de forma gratuita es el firewall "ModSecurity".
Puede averiguar si su servicio de alojamiento ofrece esto y, si es así, puede aprovecharlo y habilitarlo.

Idealmente, también debería usar un servidor de seguridad de red de entrega de contenido (CDN) para mejorar el rendimiento de su sitio al servir abundantes recursos rápidamente. Los CDN también protegen su sitio web contra numerosos problemas de seguridad de WordPress.

Detener el informe de errores de PHP

El informe de errores es beneficioso al momento de desarrollar un sitio web, ya que le informa sobre los errores y puede corregirlos rápidamente. Pero cuando el informe de errores está habilitado en un sitio web que está en funcionamiento, sirve como pistas muy importantes para los piratas informáticos y hace que su trabajo sea mucho más cómodo de lo que debería ser. Los informes de errores pueden brindar información vital a cualquier persona que esté buscándola.

​Por lo tanto , deshabilitar el informe de errores de PHP una vez que el sitio está activo garantiza que, al menos, se minimicen los riesgos de seguridad de WordPress causados ​​por la divulgación de información confidencial sobre su sitio web. Para deshabilitar el informe de errores de PHP, realice cambios en su archivo php.ini como se indica a continuación:

  • informe_error = 4339
  • mostrar_errores = Desactivado
  • display_startup_errors = Desactivado
  • log_errors = activado
  • error_log = /home/ejemplo.com/logs/php_error.log
  • log_errors_max_len = 1024
  • ignore_repeated_errors = Activado
  • ignore_repeated_source = Desactivado
  • html_errors = Desactivado

Use el registro de seguridad para monitorear su seguridad de WordPress

Ver sus registros lo ayuda a descubrir qué ataques están ocurriendo en su sitio y lo equipa para detenerlos. Es una muy buena manera de mejorar la seguridad de WordPress. Para dar un ejemplo mínimo, si descubre que la mayoría de los intentos de piratería provienen de un área en particular, posiblemente una que su sitio web no atiende, podría bloquear esa área usando su firewall. Es recomendable utilizar un complemento de auditoría de seguridad para mantener registros de auditoría regulares.

¡Eso es todo!

Con esto, hemos llegado al final de nuestra larga y completa guía para asegurar completamente su sitio de WordPress. No hay duda de que esta lista de verificación podría haber sido un poco abrumadora para usted si no hubiera pensado mucho en asegurar su sitio web antes. Pero lo bueno es que la mayoría de estos pasos no requerirán mucho esfuerzo de su parte para ejecutarlos y, con el paso del tiempo, se convertirán en una parte habitual de su rutina de mantenimiento de WordPress. Para ser justos, la mayoría de ustedes no seguirán todos los pasos mencionados anteriormente, y eso está bien. Pero cuantas más medidas de seguridad adopte, más seguro será su sitio. ¡Un pequeño esfuerzo adicional de su parte ahora será de gran ayuda!