5 pasos para realizar una auditoría de seguridad en WordPress

Escrito por: Jhon Veléz

Te voy a recomendar cinco pasos a seguir si deseas tener tranquilidad y que tu sitio web sea aún más seguro, (WordPress ya lo es).
Si sospechas que algo no está bien con tu sitio web, es posible que desees realizar una auditoría de seguridad para asegurarse de la seguridad de tu sitio.
Te mostraré cómo realizar fácilmente la auditoría sin ser necesario eliminar o dañar nada.
Tabla de contenido
¿Qué es una auditoría de seguridad en WordPress?
Una auditoría de seguridad en WordPress es el proceso de verificar su sitio web en busca de señales de una violación de seguridad.
Puede realizar una verificación de WordPress para buscar actividad sospechosa, código malicioso o una caída inusual en el rendimiento.
La seguridad básica de WordPress contiene pasos simples que puede realizar manualmente.
Para una auditoría más exhaustiva, puede usar una herramienta de auditoría de seguridad y realizar comprobaciones de forma automática.
También hay servicios externos en línea de auditoría de seguridad para WordPress que puede usar para evaluar la seguridad de su sitio web.
Si encuentra algo sospechoso, puede aislarlo, eliminarlo y arreglarlo.
¿Cuándo es recomendable realizar una auditoría de seguridad en WordPress?
Se debe realizar este tipo de auditoría de seguridad por lo menos una vez cada tres meses.
Esto le permite estar al tanto de todo y cerrar las brechas de seguridad incluso antes de que causen problemas.
Sin embargo, si ve algo sospechoso, debe realizar una auditoría de seguridad de inmediato y si es aún más exhaustiva, mejor.
Las siguientes son algunas de las señales que indican que puede necesitar una auditoría de seguridad:
De repente, el sitio web se ha puesto muy lento.
Repentinamente ha disminuido el tráfico en el sitio web.
Encuentra nuevas cuentas de usuario sospechosas, con correos electrónicos muy extraños o que no corresponden a su idioma, solicitudes de restablecimiento de contraseña olvidada o intentos inusuales de inicio de sesión en su sitio web.
Aparecen enlaces sospechosos en su sitio web
Ahora sí, demos una mirada a la forma cómo realizar fácilmente una auditoría de seguridad a su sitio web sobre WordPress.
Lista de chequeo para la auditoría de seguridad
Los siguientes cinco pasos, son los que puede seguir para realizar este proceso de seguridad básica en WordPress:
Actualizaciones de software ( Paso 1 )
Las actualizaciones de WordPress son realmente importantes para la seguridad y estabilidad de su sitio web.
Aplican parches a las vulnerabilidades de seguridad, aportan nuevas funciones y mejoran el rendimiento.
Asegúrese de que el software principal de WordPress, esté al día al igual que todos sus complementos y temas, debidamente actualizados.
Puede hacerlo fácilmente siguiendo la siguiente ruta:
Ingresa al escritorio (tusitio.com/wp-admin)

Una vez que ingresas al escritorio, a la izquierda se observa en el menu, la opción Actualizaciones, das clic allí:

Si tenemos actualizaciones pendientes, en la siguiente ventana nos va a mostrar acerca de cuáles complementos (plugins), temas, o actualizaciones de WordPress son necesario actualizar. Como siempre recomendamos, es importante estar seguro acerca de lo que se va a actualizar y por favor crea antes una copia de seguridad del sitio web y su base de datos:

En este caso, solo tenemos pendiente actulizar un complement y la última version de WordPress, primero vamos con el complemento y el tema por defecto de WordPress:

Ahora vamos con la actualización de WordPress:

Y este es el resultado:

Revisar y verificar cuentas de usuario y contraseñas ( Paso 2 )
A continuación, debes revisar las cuentas de usuario de WordPress visitando la sección Usuarios / Todos los usuarios:

Busca cuentas de usuario sospechosas que no deberían estar allí. Que los nombres sean ratos para ti o tu idioma.
Si tienes una tienda en línea , un sitio de membresías o vendes cursos en línea , entonces seguramente permites la creación de cuentas de usuario para que sus clientes inicien sesión.
En caso contrario, si tu sitio web, blog o un sitio comercial, es administrado por unos pocos, solo debería ver las cuentas de usuario suya y las de otros usuarios agregados manualmente y de confianza:

Si encuentras cuentas de usuario sospechosas, debe eliminarlas de inmediato sin pensarlo dos veces.
Ahora, si tu sitio web no requiere que los usuarios se registren y/o creen una cuenta, entonces debes visitar la página Ajustes / Generales y desactivar la casilla “Cualquiera puede registrarse”.
Como precaución adicional, cambia con frecuencia tu contraseña de administrador de WordPress.
Recomendamos enfáticamente agregar una autorización de doble factor para fortalecer la seguridad del ingreso a su sitio web.
Lleve a cabo un análisis de seguridad de WordPress ( Paso 3 )
El siguiente paso es verificar su sitio web para detectar vulnerabilidades de seguridad.
La ventaja es que hay varios servicios, escáneres de seguridad en línea que puede usar para verificar si hay malware.
Entre ellos recomendamos servicios que verifican su sitio web en busca de malware y otras vulnerabilidades de seguridad:
Estas herramientas son buenas, pero solo pueden escanear las páginas públicas de su sitio web.
Te mostraremos cómo realizar auditorías más profundas siguiendo más adelante en este artículo.
Verifique el análisis de su sitio web ( paso 4 )
El análisis del sitio web lo ayuda a realizar un seguimiento del tráfico de su sitio web y es un buen indicador de la salud de su sitio web.
Si su sitio web ha sido incluido en la lista negra por los motores de búsqueda, verá una caída repentina en el tráfico de su sitio web.
Si es lento o no responde, las visitas generales de su página también se reducirán.
Recomendamos usar las herramientas gratuitas de Google Análisis (Analitycs) y Consola de búsqueda (Search Console) que le ayudarán a rastrear el tráfico hacia su sitio web.
También podrá hacer seguimiento a sus páginas vistas generales, usuarios registrados en eventos, actividades y formularios, conversiones de distintas índoles y mucho más.
Compruebe o configure las copias de seguridad de WordPress ( Paso 5 )
Si no aún lo ha hecho, es necesario contar un sistema de copias de seguridad.
En nuestro caso, ofrecemos este servicio de forma automática y gratuita para todos nuestros clientes, estando disponibles copias de los últimos siete días.
También existen opciones de complementos que hacen copias frecuentes según se haya configurado su frecuencia y archivos a respaldar.
Esto garantiza que siempre tengamos a la mano una copia de seguridad disponible en caso de que algo salga mal.
Pensamientos finales…
Esta lista de verificación de cinco pasos le permite recorrer los aspectos más importantes de una auditoría de seguridad.
Sin embargo, no es un proceso muy completo, son un primer diagnóstico, significando que su sitio web aún puede ser vulnerable.
Por ejemplo, es difícil mantener un registro manual de toda la actividad del usuario, diferencias de archivos, códigos sospechosos y mucho más.
En este punto es donde se necesita un complemento para automatizar la auditoría de seguridad y mantener un registro de todo.
Esto es posible con la ayuda de complementos de seguridad y monitoreo de WordPress que dejamos en libertad de cada persona, escoger el que mejor le parezca.
0 comentarios