14 formas de proteger su sitio de WordPress: paso a paso

La seguridad de WordPress debería ser una prioridad para los propietarios de sitios. ¿Por qué? Porque hay hasta 90.000 ataques a sitios de WordPress cada minuto.

Si eso no es lo suficientemente preocupante, cada semana Google incluye en la lista negra alrededor de 20 000 sitios web por malware y 50 000 por phishing. Y cuando un sitio web está en la lista negra, y los usuarios se ven obligados a aceptar los riesgos, se pierde alrededor del 95 % del tráfico.

Si bien la última versión de WordPress es siempre la versión más segura disponible, hay más que puede hacer en su sitio para asegurarse de que sea impenetrable para los piratas informáticos y los bots.

Aquí hay algunos consejos de mejores prácticas para ayudarlo a proteger su sitio.

1. Utilice un buen servidor web
2. Use solo temas y complementos de calidad
3. Mantenga el núcleo, los temas y los complementos de WordPress actualizados
4. No use "Administrador" como nombre de usuario
5. Utilice una contraseña segura
6. Usar autenticación de dos factores
7. Límite de intentos de inicio de sesión
8. Instalar un certificado SSL
9. Cambiar el prefijo de la base de datos
10. Protección de archivos wp-config.php y .htaccess
11. Agregar llaves de seguridad
12. Deshabilitar la edición de archivos
13. Evitar que se ejecuten archivos PHP
14. Deshabilitar XML-RPC de forma selectiva

1. Utilice un buen proveedor de alojamiento web

Un buen servidor web es su primera línea de defensa contra los ataques a su sitio. Así que no opte automáticamente por un alojamiento compartido barato. En cambio, haz tu tarea.

Vaya con un host de buena reputación que admita las últimas versiones de tecnologías web básicas, como PHP y MySQL. Asegúrese de verificar que su host sea compatible con PHP 7: es la versión oficial de PHP recomendada para WordPress.

Considere elegir un host de WordPress administrado. Estos servicios están configurados específicamente para WordPress y se ocupan de todos los aspectos técnicos importantes del alojamiento, incluida la seguridad, las copias de seguridad, el tiempo de actividad y el rendimiento.

2. Use solo temas y complementos de calidad

Según WPScan, el 52 % de las vulnerabilidades de los sitios web son causados ​​por complementos, mientras que el 11 % son causados ​​por temas. Combine, eso es más del 60% de la seguridad de WordPress

La forma más fácil de asegurarse de que sus complementos y temas puedan resistir los ataques es descargarlos solo de fuentes confiables. Esto incluye WordPress.org y proveedores premium. La descarga de desarrolladores dudosos que ocultan código malicioso en sus temas y complementos podría comprometer su sitio.

Si no está seguro de si un sitio web desde el que desea descargar es seguro, busque testimonios y reseñas para asegurarse de que el producto que desea sea de calidad de sonido.

Además, asegúrese de que todos los complementos y temas que use también sean compatibles y se actualicen periódicamente. Si un complemento o tema no se ha actualizado en mucho tiempo, es probable que contenga agujeros de seguridad que no estén parcheados o incluso un código incorrecto que podría dejarlo vulnerable a los piratas informáticos.

Por último, solo conserve los complementos y temas que realmente necesita y usa. Cuanto más tenga, mayor será el riesgo de ser pirateado. Por lo tanto, revise regularmente su lista de complementos y temas y desactive y elimine los que no necesite.

3. Mantenga el núcleo, los temas y los complementos de WordPress actualizados

WordPress es un software de código abierto desarrollado y mantenido por una comunidad mundial de voluntarios. Con cada nueva versión, se corrigen las vulnerabilidades de seguridad.

De forma predeterminada, WordPress instala automáticamente actualizaciones menores (es decir, WordPress 4.9.4). Pero para las versiones principales (es decir, WordPress 4.9), usted tiene la responsabilidad de actualizar manualmente a la última versión.

Asegúrese de que su sitio siempre esté ejecutando la última versión de WordPress.

Estas actualizaciones principales son fundamentales para la seguridad y el rendimiento de su sitio. Así que asegúrese de hacer una copia de seguridad de su sitio y aplicar las actualizaciones principales cuando estén disponibles.

Del mismo modo, también es importante actualizar periódicamente los complementos y temas para que siempre esté utilizando las versiones de software más actualizadas y seguras.

4. No use "Administrador" como nombre de usuario

No use "admin" como nombre de usuario para su sitio. Las versiones anteriores de WordPress usaban "admin" como nombre de usuario predeterminado, lo que facilitaba a los piratas informáticos: una pieza menos del rompecabezas para adivinar durante un ataque de fuerza bruta.

Pero los lanzamientos recientes de WordPress cambiaron esto, dando a los usuarios la oportunidad de ingresar su propio nombre de usuario durante la instalación. Sin embargo, algunas personas aún optan por usar "admin" en lugar de crear un nombre de usuario original. Simplemente no lo hagas.

Desea dificultar que los atacantes malintencionados penetren en su sitio, por lo que los ataques tardan más y usted o su proveedor de alojamiento pueden identificar cualquier ataque antes de que tenga éxito y detenerlo.

5. Use una contraseña segura

Cree siempre contraseñas seguras y únicas para su cuenta de administrador de WordPress, base de datos, cuenta de alojamiento, dirección de correo electrónico y cualquier cuenta de FTP. Al igual que los nombres de usuario, las contraseñas son otra pieza del rompecabezas que los piratas informáticos deben adivinar, y cuanto más fuerte sea su contraseña, más difícil será para los piratas iniciar sesión con éxito en su sitio.

Durante la instalación, WordPress intentará imponerle una contraseña segura y le pedirá que marque una casilla si ingresa una débil. Si bien es posible que desee crear su propia contraseña, herramientas como el Generador de contraseñas seguras pueden crear una contraseña segura para usted.

El generador de contraseñas seguras le permite crear contraseñas únicas y aleatorias.

6. Utilice la autenticación de dos factores

Incluso con un nombre de usuario y una contraseña seguros, los ataques de fuerza bruta siguen siendo un problema para muchos sitios web. Aquí es donde la autenticación de dos factores puede ayudar.

La autenticación de dos factores agrega otro paso en el proceso de inicio de sesión, lo que obliga a los usuarios a ingresar un código enviado a su teléfono móvil además de ingresar sus credenciales de inicio de sesión habituales. Esto puede frustrar los ataques automáticos y garantizar que su sitio no sea víctima de piratas informáticos.

Los complementos como iThemes Security pueden implementar la autenticación de dos factores. También hay complementos gratuitos como la autenticación de dos factores que pueden agregar esta capa adicional de seguridad a su sitio.

El complemento gratuito de autenticación de dos factores le permite agregar fácilmente otra capa de protección al iniciar sesión en su sitio.

7. Limite los intentos de inicio de sesión

De forma predeterminada, puede intentar iniciar sesión en su cuenta de WordPress tantas veces como desee. Si bien esto puede ser conveniente para usted si es olvidadizo y no siempre obtiene su contraseña correcta en la primera o incluso en la tercera vez, también es conveniente para los piratas informáticos que realizan ataques de fuerza bruta: les da un número ilimitado de intentos de descifrar su combinación de nombre de usuario y contraseña.

Esto se puede solucionar fácilmente limitando la cantidad de intentos fallidos de inicio de sesión que un usuario puede realizar en su sitio. Los complementos gratuitos como WP Limit Login Attempts le permiten limitar los intentos de inicio de sesión y bloquear las direcciones IP temporalmente.

8. Instalar un Certificado SSL

Es imprescindible instalar un certificado SSL en su sitio, especialmente si tiene una tienda de comercio electrónico. No solo porque dificultará que los piratas informáticos intercepten información confidencial entre los navegadores de los usuarios y su servidor, sino porque Google ahora insiste en que todos los sitios deben tener uno.

A partir de julio de 2018 con el lanzamiento de Chrome 68, las páginas web que se carguen sin HTTPS se marcarán como "no seguras". Esto significa que los usuarios que intenten acceder a sitios que no tienen un certificado SSL recibirán una advertencia de que el sitio no es de confianza.

Este anuncio es importante porque, según Cloudflare, más de la mitad de los visitantes de la web verán estas advertencias.

Let's Encrypt es una autoridad de certificación gratuita que proporciona certificados SSL para propietarios de sitios.

Obtener un certificado SSL es cada vez más fácil de hacer. Let's Encrypt ofrece certificados gratuitos de código abierto, mientras que las empresas de alojamiento generalmente proporcionan uno gratis (y, a veces, incluso gratis).

9. Cambiar el prefijo de la base de datos

De forma predeterminada, WordPress usa wp_ como prefijo para todas las tablas en la base de datos de su sitio. Esto significa que si está utilizando el valor predeterminado, que es un conocimiento común de WordPress, los piratas informáticos pueden adivinar fácilmente cuál es el nombre de su tabla, lo que la hace vulnerable a las inyecciones de SQL.

Una forma simple de arreglar esto es cambiar el prefijo a algo aleatorio, como 5jiqtu69dg_ usando un generador de cadenas aleatorias. Para actualizar el prefijo de su tabla, abra el archivo wp-config.php en la raíz del directorio de archivos de su sitio y busque esta línea:

 $prefijo_tabla = 'wp_';

Usando mi ejemplo, reemplazaría la línea así:

 $prefijo_tabla = '5jiqtu69dg_';

A continuación, deberá actualizar el prefijo utilizado en su base de datos. Si bien los complementos de seguridad como iThemes Security pueden ayudarlo a hacerlo de manera rápida y sencilla, puede aprender cómo hacerlo manualmente a través de phpMyAdmin aquí.

10. Protección de archivos wp-config.php y .htaccess

El archivo wp-config.php de su sitio, que generalmente se encuentra en la carpeta raíz de su sitio web, contiene información crítica sobre su instalación de WordPress, incluido el nombre, el host, el nombre de usuario y la contraseña de su base de datos. Mientras tanto, .htaccess es un archivo oculto que establece la configuración del servidor a nivel de directorio, habilita bonitos enlaces permanentes y permite redireccionamientos.

Evitar el acceso a estos archivos críticos es fácil. Simplemente agregue lo siguiente a su archivo .htaccess para proteger wp-config.php:

 <Archivos wp-config.php>
orden permitir, negar
Negar todo
</Archivos>

Alternativamente, puede simplemente mover su archivo wp-config.php a un directorio más alto, ya que WordPress lo buscará automáticamente allí.

Para detener el acceso no deseado a .htaccess, todo lo que necesita hacer es cambiar el nombre del archivo en el código:

 <Archivos .htaccess>
orden permitir, negar
Negar todo
</Archivos>

11. Agregar claves de seguridad

Las claves de seguridad y las sales de WordPress cifran la información almacenada en las cookies del navegador, protegiendo las contraseñas y otra información confidencial. Hay cuatro claves de seguridad en total: AUTH_KEY , SECURE_AUTH_KEY , LOGGED_IN_KEY y NONCE_KEY .

Estas claves de autenticación son básicamente un conjunto de variables aleatorias y hacen que sea más difícil descifrar sus contraseñas. Una contraseña no encriptada como “wordpress” no requiere mucho esfuerzo para que los atacantes la descifren. Pero una contraseña larga y aleatoria como "L2(Bpw 6#:S.}tjSKYnrR~.Dys5c>+>2l2YMMSVWno4`!%wz^GOBf};uj*>-tkye" es mucho más difícil de descifrar.

Agregar claves de seguridad y sales es un proceso manual y fácil de hacer. Aquí está cómo hacerlo:

1. Obtenga un nuevo conjunto de claves de seguridad y salts. Puedes generarlos aleatoriamente aquí.
2. A continuación, actualice su archivo wp-config.php. Abra su archivo y desplácese hacia abajo hasta que encuentre la sección a continuación y reemplace los valores antiguos con sus nuevas claves y salts:

 /**#@+
 * Autenticación de Claves Únicas y Salts.
 *
 * ¡Cambia estos a diferentes frases únicas!
 * Puede generarlos usando el {@enlace https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
 * Puede cambiarlos en cualquier momento para invalidar todas las cookies existentes. Esto obligará a todos los usuarios a tener que iniciar sesión de nuevo.
 *
 * @desde 2.6.0
 */
define('AUTH_KEY', 'añadir variables únicas aquí');
define('SECURE_AUTH_KEY', 'añade variables únicas aquí');
define('LOGGED_IN_KEY', 'agrega variables únicas aquí');
define('NONCE_KEY', 'añade variables únicas aquí');
define('AUTH_SALT', 'añadir variables únicas aquí');
define('SECURE_AUTH_SALT', 'agrega variables únicas aquí');
define('LOGGED_IN_SALT', 'agregar variables únicas aquí');
define('NONCE_SALT', 'agrega variables únicas aquí');

/**#@-*/

3. Guarde su archivo wp-config.php. La sesión de tu sitio de WordPress se cerrará automáticamente y tendrás que volver a iniciar sesión.

12. Deshabilitar la edición de archivos

WordPress cuenta con un editor de código interno para complementos y archivos de temas. Si bien esto es útil para los administradores que desean realizar cambios rápidos en los archivos, también significa que los piratas informáticos y los usuarios de alto nivel también pueden realizar cambios en los archivos. Puede encontrar esta función yendo a Apariencia> Editor en su administrador de WordPress.

Puede deshabilitar la edición de archivos en su archivo wp-config.php. Simplemente abra su archivo y agregue esta línea de código:

 define('DISALLOW_FILE_EDIT', verdadero);

Aún podrá editar sus complementos y temas a través de FTP o cPanel, pero no en el administrador de WordPress.

13. Evite que se ejecuten archivos PHP

Una carpeta común para que los piratas informáticos carguen malware en WordPress es wp-content/uploads, pero también wp-includes/ . Para evitar que se ejecuten archivos en estas carpetas, cree un nuevo archivo de texto en un editor de texto y pegue este código:

 <Archivos *.php>
Negar todo
</Archivos>

A continuación, guarde este archivo como .htaccess y cárguelo en sus carpetas /wp-content/uploads y wp-includes/ a través de FTP o cPanel.

14. Deshabilitar XML-RPC de forma selectiva

XML-RPC, o XML Remote Procedure Call, es una API que ayuda a conectar aplicaciones web y móviles con su sitio de WordPress. Estaba habilitado de forma predeterminada en WordPress 3.5, pero desde entonces se ha descubierto que amplifica significativamente los ataques de fuerza bruta.

Por ejemplo, si un pirata informático quisiera probar 500 contraseñas diferentes en su sitio, normalmente tendría que realizar 500 intentos de inicio de sesión por separado. Pero con XML-RPC, el hacker podría usar la función system.multicall para probar una gran cantidad de combinaciones de nombre de usuario y contraseñas en una sola solicitud HTTP.

Si bien sería fácil simplemente deshabilitar esta función por completo para su sitio, significaría perder la funcionalidad de complementos como Jetpack. En cambio, es mejor ser selectivo en la forma en que implementa y deshabilita XML-RPC usando complementos especialmente diseñados.

Bonificación: Cómo verificar vulnerabilidades

Hay un par de formas diferentes en las que puede verificar si su sitio tiene vulnerabilidades: con un escáner de sitio en línea o con un complemento.

Con estas herramientas en línea gratuitas, todo lo que necesita hacer es ingresar la URL de su sitio y comenzarán a escanear su sitio en busca de vulnerabilidades conocidas:

Escaneo de seguridad de WordPress : esta herramienta verifica pasivamente los problemas básicos de seguridad. Deberá actualizar a un plan premium para realizar pruebas avanzadas.

Sucuri SiteCheck : revise su sitio web en busca de malware conocido, estado de lista negra, errores del sitio web y software desactualizado. Con una actualización premium, esta herramienta realizará limpieza de malware, protección contra DDoS/fuerza bruta, eliminación de listas negras y monitoreo de seguridad.

WPScan : este escáner de vulnerabilidades de WordPress de caja negra alojado en GitHub le permite escanear su sitio en busca de vulnerabilidades conocidas con núcleo, complementos y temas. Deberá usar la Terminal para ejecutar esta aplicación. Es gratis para uso personal y patrocinado por Sucuri.

Bonificación: los mejores complementos de seguridad de WordPress

La instalación de un complemento de seguridad en su sitio de WordPress agrega otra línea de defensa contra posibles ataques. Ofrecen una amplia gama de funciones para ayudar a proteger su sitio, incluidos los escaneos del sitio, y pueden notificarle cuando su sitio se ha visto comprometido.

Aquí están los 3 mejores complementos:

valla de palabras

Complemento de seguridad de Wordfence.

WordFence es un complemento de seguridad gratuito muy popular con más de 2 millones de instalaciones activas y una opción premium disponible. Cuenta con una "fuente de defensa contra amenazas" que incorpora las reglas de firewall más recientes, firmas de malware y direcciones IP maliciosas, manteniendo el sitio de su sitio web.

Un firewall de aplicaciones web identifica y bloquea el tráfico malicioso, mientras que una lista negra de IP en tiempo real bloquea todas las solicitudes de IP maliciosas, protegiendo su sitio mientras reduce la carga.

Este complemento protege contra los ataques de fuerza bruta al limitar los intentos de inicio de sesión, aplicar contraseñas seguras y otras medidas de seguridad de inicio de sesión. Si encuentra algún tipo de infección en su sitio, se lo notificará por correo electrónico. También puede monitorear el tráfico a su sitio en tiempo real para verificar si está bajo ataque.

Sucuri

Complemento de seguridad Sucuri.

Para un complemento de seguridad gratuito, el complemento de seguridad de Sucuri proporciona un conjunto integral de funciones, incluida la auditoría de la actividad de seguridad para que pueda estar al tanto de cualquier cambio realizado en su sitio, monitoreo de integridad de archivos, escaneo remoto de malware, monitoreo de listas negras y medidas de refuerzo de seguridad.

Una sección de "acciones de seguridad posteriores al ataque" del complemento lo guía a través de las tres cosas clave que debe hacer después de un compromiso. También puede habilitar las notificaciones de seguridad para que cuando se encuentre una infección en su sitio o esté comprometido, se le avise de inmediato.

Cuando actualiza a la versión premium, obtiene acceso a un firewall de sitio web para mayor protección.

iThemes Seguridad

Complemento de seguridad de iThemes.

Si bien la versión gratuita de iThemes Security ayuda a bloquear WordPress, corregir agujeros comunes y fortalecer las credenciales de los usuarios, la versión pro presenta casi todas las medidas de seguridad que podría necesitar.

Hay autenticación de dos factores, programación de escaneo de malware y registro de acciones del usuario para que pueda rastrear cuándo los usuarios editan contenido, inician sesión o cierran sesión. Puede actualizar las claves de seguridad y las sales, establecer la caducidad de la contraseña y agregar Google reCAPTCHA a su sitio.

Otras características incluyen la comparación de archivos en línea, la integración de WP-CLI y la escalada temporal de privilegios para que pueda otorgar acceso temporal de administrador o editor a su sitio.

Conclusión

No existe una forma correcta de proteger su sitio de WordPress contra las amenazas de seguridad. Lo mejor que puede hacer es mantener actualizados el núcleo, los temas y los complementos de WordPress e implementar una serie de soluciones diferentes que corrigen vulnerabilidades, protegen archivos críticos y obligan a los usuarios a fortalecer sus credenciales.

La programación de copias de seguridad periódicas también es imprescindible. Nunca se sabe cuándo su sitio podría sucumbir a un ataque, por lo que es importante que esté listo y tenga un plan para restaurar rápidamente su sitio en caso de una emergencia.

Invertir en un complemento de seguridad sólido que le permita escanear su sitio en busca de vulnerabilidades, monitorear acciones y alertarlo cuando algo no esté bien también ayudará a fortalecer su sitio y garantizar que esté bien protegido contra amenazas.