La seguridad de WordPress es un tema de gran importancia para todos los propietarios de sitios web.

Cada semana, Google suspende alrededor de 20.000 sitios web por malware y alrededor de 50.000 por phishing. Si tú le das la suficiente seriedad a tu sitio web, entonces necesitas prestar atención a las mejores prácticas de seguridad para WordPress.

En esta guía, compartiremos los mejores consejos de seguridad de WordPress para ayudarte a proteger tu sitio contra los piratas informáticos y el malware.

Mientras que el software básico de WordPress es muy seguro, y es auditado regularmente por cientos de desarrolladores en el mundo, hay mucho que se puede hacer para fortalecer tu sitio web sobre WordPress.

Estamos seguros que la seguridad no se trata sólo de eliminar el riesgo, sino también se trata de reducirlos. Como propietario de un sitio web, hay mucho que puedes hacer para mejorar tu seguridad (incluso si no eres experto en tecnología).

Un sitio de WordPress hackeado puede causar serios daños a los ingresos y reputación de tu negocio. Los hackers pueden robar información del usuario, contraseñas, instalar software malicioso e incluso distribuir malware a tus usuarios, que muestren mensajes e imágenes inapropiadas, o mucho peor: te puedes encontrar pagando dinero a los piratas informáticos para recuperar el acceso a tu sitio web.

¿Por qué es importante la seguridad de tu sitio web?

En marzo de 2016, Google informó que más de 50 millones de usuarios de sitios web han sido advertidos, acerca de los sitios web que están visitando ya que posiblemente podrían contener malware o robar información. Así como los dueños de un negocio tienen la responsabilidad de proteger su edificio físico o la tienda, tu como propietario de un negocio en línea debes tener la responsabilidad de proteger su sitio web.

Actualización de WordPress

WordPress es un software de código abierto que se actualiza periódicamente. De forma predeterminada, este realiza instalaciones automáticas y actualizaciones menores. Para las actualizaciones principales, debes realizar la actualización de forma manual.

También existen cientos de complementos (plugins) y temas disponibles que puedes instalar en tu sitio web, que son mantenidos por desarrolladores de terceros que también realizan actualizaciones regulares.

Estas actualizaciones de WordPress son cruciales para la seguridad y la estabilidad de tú sitio web. Debes asegurarte de que el núcleo de WordPress, los complementos y el tema estén siempre al día.

Contraseñas seguras y permisos de usuario

Los intentos más comunes de hacking de WordPress son realizados a traves del uso de contraseñas robadas. Tú puedes hacerlo difícil mediante el uso de contraseñas más fuertes que sean únicas para tú sitio web. No sólo para WordPress en el área de administración, sino también para cuentas FTP, base de datos, cuentas de alojamiento de WordPress, incluso para tú dirección de correo electrónico.

La principal razón del porqué a los principiantes no les gusta usar contraseñas seguras es porque son difíciles de recordar.

Otra forma de reducir el riesgo es no dar acceso a tú cuenta de administrador de WordPress a menos que sea absolutamente necesario.

Si tienes un equipo de trabajo numeroso o autores invitados, asegúrate de comprender las funciones y capacidades de cada uno de ellos en en WordPress, antes de agregar nuevos usuarios y autores a tú sitio web.

El papel del servicio de alojamiento WordPress

Tú servicio de alojamiento WordPress juega el papel más importante en la seguridad de tú sitio web. Ya que un buen proveedor de alojamiento web compartido Siteground toma medidas adicionales para proteger tus servidores contra amenazas.

Sin embargo, en el alojamiento compartido, abres el riesgo de contaminación entre sitios, donde un hacker puede usar un sitio vecino para atacar tu sitio web.

El uso de un servicio de alojamiento administrado por WordPress proporciona una plataforma más segura para tu sitio web. Las empresas de alojamiento administradas por WordPress ofrecen copias de seguridad y actualizaciones automáticas y configuraciones de seguridad más avanzadas para proteger tú sitio web.

Recomendamos a Siteground como el mejor proveedor de alojamiento para sitios sobre WordPress.

Seguridad de WordPress en sencillos pasos (sin codificación)

Sabemos que mejorar la seguridad de WordPress puede ser un pensamiento aterrador para los principiantes, especialmente si tú no tienes conocimiento necesario. ¿Adivina qué?, no estás solo.

Te enseñaremos cómo puedes mejorar la seguridad de tu sitio en WordPress con sólo unos pocos clics sin ser necesario tener conocimientos técnicos.

Instalar una copia de seguridad en WordPress

Las copias de seguridad son tú primera defensa contra cualquier ataque. Recuerda, nada es 100% seguro. Si los sitios web gubernamentales pueden ser hackeados, entonces el tuyo también puede serlo. Las copias de seguridad te permiten restaurar rápidamente tú sitio, en caso de que algo malo suceda.

Hay muchos complementos o plugins de copia de seguridad que se pueden utilizar. Lo más importante que se debe saber en cuanto a copias de seguridad, es que éstas se deben realizar regularmente y de manera remota (no en tu cuenta de alojamiento).

Te recomendamos almacenar la copia en la nube, donde existen servicios prestados por Amazon, Dropbox, Mega o nubes privadas como Stash.

De acuerdo a la frecuencia con la que actualices tú sitio web y la cantidad de contenido que publicas en él, tu copia de seguridad podría ser diaria, semanal o mensual.

Afortunadamente esto lo puedes hacer fácilmente mediante el uso de complementos como VaultPress o BackupBuddy, que son confiables y lo más importante, fáciles de usar.

El mejor plugin de seguridad en WordPress

Después de las copias de seguridad, lo siguiente que podremos hacer es configurar un sistema de auditoría y monitoreo que realize un seguimiento de todo lo que sucede en tú sitio web. Esto incluye supervisión de integridad de archivos, intentos fallidos de inicio de sesión, escaneo de malware, entre otros.

Afortunadamente, esto se puede hacer utilizando el plugin gratuito de seguridad de WordPress, llamado Scanner Sucuri. Solo necesitas instalar y activar este plugin.

Tras la activación, tienes que ir al menú de Sucuri en tu administrador de WordPress.

Lo primero que solicitará es que generar una clave API gratuita; esto permite el registro de tu auditoría, comprobación de integridad, alertas por correo electrónico y otras características importantes.

Lo siguiente que debes hacer es hacer dar clic en la pestaña Menú de Sucuri. Revisa todas las opciones y haz clic en el botón «harden».

Estas opciones te ayudan a bloquear las áreas clave que los hackers usan con frecuencia en sus ataques. La única opción de fortalecimiento de seguridad es una actualización pagada y es el firewall de aplicaciones web el cual explicaremos en el siguiente paso, así que omítelo por ahora.

También hemos cubierto muchas de éstas opciones de «fortalecimiento» donde más adelante en este artículo te hablaremos de ellos, para los que quieran hacerlo sin usar un complemento o los que requieren pasos adicionales como «Cambio de prefijo de base de datos» o «Cambiar el nombre de usuario de administrador».

Después de la parte de fortalecimiento, la mayoría de los ajustes predeterminados de este complemento son suficientes y no es necesario cambiar más nada, lo único que recomendamos es personalizar las alertas por correo electrónico.

La configuración predeterminada de éstas alertas puede llenar tú bandeja de entrada con correos electrónicos. Lo recomendado es recibir alertas para acciones clave como cambios en complementos, registro de nuevos usuarios, entre otros. Puedes configurar las alertas en Configuración de Sucuri Alertas.

Este complemento de seguridad es muy potente, así que navega por todas las pestañas y configuraciones para conocer todo lo que hace, como escaneo de malware, registros de auditoría, seguimiento fallido de intento de inicio de sesión…

Habilitar el firewall de aplicaciones web (WAF)

La forma más fácil de proteger tú sitio web y confiar en su seguridad es mediante un firewall de aplicaciones web (WAF). El firewall bloquea todo el tráfico malicioso antes de que incluso llegue a tú sitio web.

La mejor parte del cortafuegos de Sucuri es que también incluye una limpieza de malware y una garantía de eliminación de listas negras. Básicamente si tú fueras hackeado, ellos te garantizan que arreglarán tú sitio web sin importar cuántas páginas tengas.

Esta es una garantía bastante fuerte porque la reparación de sitios web hackeados es muy costosa. Los expertos en seguridad normalmente cobran USD$250 por hora, mientras que puedes tener las funcionalidades completas de Sucuri por USD$199 anuales.

Seguridad de WordPress para los usuarios aficionados

Si haces todo lo que hemos mencionado hasta ahora, entonces estás en una buena forma; pero como siempre, hay más que tú puedes hacer para fortalecer la seguridad de tu sitio en WordPress.

Algunos de estos pasos pueden requerir conocimientos técnicos.

Cambiar el nombre de usuario predeterminado «admin»

En los viejos tiempos, el nombre de usuario de WordPress era «admin»; dado que los nombres de usuario constituyen la mitad de las credenciales de inicio de sesión, esto facilitó a los hackers el hacer ataques forzosos.

Afortunadamente, desde entonces WordPress ha cambiado esto y ahora permite que selecciones un nombre de usuario personalizado en el momento de instalar WordPress.

Sin embargo, algunos instaladores de WordPress, todavía establecen el nombre de usuario administrador predeterminado como «admin»; entonces esta es probablemente una buena razón para cambiar de empresa alojamiento web.

Dado que WordPress no te permite cambiar los nombres de usuario de forma predeterminada, hay tres métodos que puedes utilizar para cambiar este nombre.

→ Crea un nuevo nombre de usuario admin y elimina el antiguo
→ Utiliza el complemento de cambio de nombre de usuario
→ Actualiza el nombre de usuario desde phpMyAdmin

Deshabilitar la edición de archivos

WordPress viene con un editor de código incorporado que te permite editar tus archivos del tema y complementos desde tú área de administración, aunque esta característica puede ser un riesgo de seguridad, por lo que recomendamos desactivarlo.

Tú puedes hacer esto fácilmente agregando el siguiente código en tu archivo wp-config.php:

// Disallow file edit define( ‘DISALLOW_FILE_EDIT’, true );

También puedes usar la función de fortalecimiento en el complemento de Sucuri gratuito que mencionamos anteriormente con solo un clic.

Deshabilitar la ejecución de archivos PHP en determinados directorios de WordPress

Otra forma de fortalecer la seguridad de WordPress es deshabilitar la ejecución de archivos PHP en directorios donde no son necesarios, como /wp-content/uploads/.

Puedes hacerlo abriendo un editor de texto como el Bloc de notas y pegar el siguiente código:

//deny from all

A continuación, debe guardar este archivo como .htaccess y subirlo a /wp-content/uploads/folders en tú sitio web usando un cliente FTP.

Al igual que en el punto anterior, puedes usar la función de fortalecimiento en el complemento de Sucuri gratuito que mencionamos anteriormente con solo un clic.

Limitar los intentos de inicio de sesión

De forma predeterminada, WordPress permite a los usuarios intentar iniciar la sesión tantas veces como quieran. Esto deja tu sitio web vulnerable a ataques forzosos. Los hackers tratan de romper contraseñas intentando iniciar sesión con diferentes combinaciones.

Esto puede arreglarse fácilmente limitando los intentos de inicio de sesión fallidos que un usuario puede realizar. Si estás utilizando el cortafuegos de aplicaciones web mencionado anteriormente, éste se encargará automáticamente. Sin embargo, si no tienes la configuración del cortafuegos, puedes proceder con los siguientes pasos con la ayuda de un plugin o complemento.

En primer lugar, es necesario instalar y activar el plugin de inicio de sesión LockDown.

Tras la activación, ingresa a Configuración → Inicia sesión en la página LockDown para configurar el complemento.

Cambiar el prefijo de la base de datos de WordPress

De forma predeterminada, WordPress utiliza wp_ como prefijo para todas las tablas de la base de datos. Si su sitio de WordPress utiliza el prefijo predeterminado de la base de datos, es más fácil para los hackers adivinar cuál es su nombre de tabla. Por eso recomendamos cambiarlo.

Puede cambiar el prefijo de la base de datos siguiendo nuestro tutorial paso a paso sobre cómo cambiar el prefijo de la base de datos de WordPress para mejorar la seguridad.

Password Protect WordPress Admin y página de inicio de sesión

Normalmente, los hackers pueden solicitar tú carpeta wp-admin y tú página de inicio de sesión sin ninguna restricción. Esto permite a los hackers probar sus trucos de hacking o ejecutar ataques DDoS. Puedes agregar protección de contraseña adicional en un lado del servidor que bloqueará efectivamente esas solicitudes.

Deshabilitar la indexación de directorios y la exploración

La exploración de directorios puede ser utilizada por hackers para averiguar si se tiene archivos con vulnerabilidad conocida, de este modo aprovechan estos archivos para obtener acceso.

La exploración de directorios también puede ser utilizada por otras personas para buscar en sus archivos, copiar imágenes, averiguar su estructura de directorios y otra información. Por este motivo, se recomienda desactivar la indexación y la exploración de directorios.

Necesitas conectarte a tu sitio web mediante FTP o el administrador de archivos de cPanel. A continuación, busca el archivo .htaccess en el directorio raíz de tú sitio web.

Después de eso, debes agregar la siguiente linea de codigo al final del archivo .htaccess:

Options -Indexes

No olvides guardar y subir el archivo .htaccess de nuevo a tú sitio.

Deshabilitar XML-RPC en WordPress

XML-RPC se habilitó de forma predeterminada en WordPress 3.5 porque ayuda a conectar tú sitio WordPress con aplicaciones web y móviles. Sin embargo, debido a su poderosa naturaleza, XML-RPC puede ampliar significativamente los ataques forzosos por hackers.

Por ejemplo, tradicionalmente si un hacker quería probar 500 contraseñas diferentes en un sitio web, tenia que hacer 500 intentos de inicio de sesión que serían capturados y bloqueados por el plugin de bloqueo de inicio de sesión. Pero con XML-RPC, un hacker puede usar la función system.multicall para probar miles de contraseñas con 20 ó 50 peticiones. Por eso, si no utilizas XML-RPC, te recomendamos que lo deshabilites.

Sugerencia: El método .htaccess es el mejor porque es el que requiere menos recursos.

Si estás utilizando el cortafuegos de aplicaciones web mencionado anteriormente, éste puede solucionarlo.

Desconectar automáticamente usuarios inactivos en WordPress

Los usuarios conectados a veces pueden alejarse de la pantalla y esto plantea un riesgo de seguridad. Alguien puede secuestrar su sesión, cambiar contraseñas o hacer cambios en su cuenta. Esta es la razón por la cual muchos sitios bancarios y financieros desconectan automáticamente a un usuario inactivo. También puedes implementar una funcionalidad similar en tu sitio web.

Deberás instalar y activar el complemento de Idle User Logout. Tras la activación, visita la página Configuración → Idle User Logout para configurar los plugins.

Simplemente debes establecer la duración del tiempo y desmarcar la casilla junto a la opción «Deshabilitar en wp admin» para una mejor seguridad. No olvides hacer clic en el botón guardar los cambios para guardar tu configuración.

¿Cómo arreglar un sitio WordPress hackeado?

Muchos usuarios de WordPress no se dan cuenta de la importancia de las copias y la seguridad del sitio web hasta que su sitio es hackeado.

La limpieza de un sitio web puede ser muy difícil y conllevar mucho tiempo. Nuestro primer consejo sería dejar que un profesional se encargue de ello. Los hackers instalan backdoors en los sitios afectados, y si estos backdoors no se arreglan correctamente, entonces su sitio web probablemente será hackeado de nuevo.

Permitir que una empresa de seguridad profesional arregle su sitio web asegurará que su sitio es seguro para usar de nuevo. También le protegerá contra cualquier ataque futuro.

Siguenos