10 claves poderosas para asegurar su sitio web de WordPress en 2023

Con demasiada frecuencia, los propietarios de sitios web de WordPress descubren que sus sitios han sido comprometidos. Dada su popularidad como CMS, WordPress es la plataforma más atacada por los piratas informáticos y, como resultado, recibe una mala reputación por ser insegura.

Pero este no es realmente el caso.

La naturaleza de código abierto de WordPress significa que cualquiera puede usarlo, y la gran mayoría de quienes lo usan no conocen bien las prácticas básicas de seguridad cibernética. Esto es lo que crea la ilusión de que WordPress es de alguna manera menos seguro que otras opciones de creación de sitios web.

Aquellas personas que utilizan prácticas de seguridad sólidas rara vez tienen problemas con los sitios que son pirateados. Entonces, ¿qué hace que un sitio web de WordPress sea seguro?

 

Asegurar su sitio web de WordPress

Aquí hay 10 cosas a tener en cuenta cuando se trata de proteger su sitio web de WordPress.

 

Utilice un host seguro

Si no obtienes nada más de esta publicación, al menos presta atención a esta. Su sitio web de WordPress es tan seguro como el servidor en el que se encuentra.

La mayoría de los sitios web de WordPress se basan en alojamiento compartido, lo que significa que su sitio vive en el mismo servidor que los sitios web de otros clientes. Elija una empresa de alojamiento que encierre correctamente los permisos de cuenta en sus servidores.

Miren esto: Los mejores servicios de alojamiento de WordPress comparados

No es raro que un sitio web comprometido infecte a otros en el mismo servidor. Si elige un host en el que los permisos estén debidamente separados para cada cuenta, se minimiza el riesgo de contaminación entre sitios.

Contrariamente a la opinión popular, VPS también es susceptible a la propagación de malware. Los ataques de VMescape, donde el malware utiliza vulnerabilidades en las plataformas de virtualización, pueden permitir que el malware escape de un VPS y se traslade a otro VPS que vive en el mismo hardware físico.

Los hosts seguros también tendrán implementadas otras mitigaciones. Estos incluyen el uso de seguridad mod en la configuración de su servidor web, paquetes antimalware como Imunify360 y protección DDoS para evitar que los bots abrumen los sitios.

 

Mantenga su núcleo, temas y complementos actualizados

La mayoría de los sitios de WordPress son pirateados porque se están quedando sin código actualizado. Eso no es una opinión, es un hecho documentado.

Los investigadores de seguridad que realizan análisis forenses en miles de sitios web de WordPress pirateados han determinado sin lugar a dudas que los complementos y temas obsoletos son responsables de más del 80 % de ellos.

Imagínese, simplemente manteniendo sus temas y complementos actualizados, podría eliminar el 80% de las posibilidades de que su sitio se vea comprometido. Ahora, esa es una clave para asegurar WordPress que vale la pena tener en cuenta.

 

Habilitar autenticación de 2 factores

Si bien los temas y complementos desactualizados son responsables de la gran mayoría de los sitios web de WordPress pirateados, los ataques de fuerza bruta a nombres de usuario y contraseñas son los métodos más comunes que se intentan para obtener acceso no autorizado a los sitios web.

Si bien la tasa de éxito suele ser baja, alrededor del 8% de los sitios web pirateados se ingresaron simplemente adivinando la contraseña de un usuario.

Una forma de proteger su sitio web es habilitar la autenticación de 2 factores (2FA). Además de su nombre de usuario y contraseña, 2FA requerirá que también envíe un código de acceso de un solo uso desde su dispositivo móvil o desde un mensaje de correo electrónico.

Si un pirata informático tiene su nombre de usuario y contraseña para su sitio web, pero no tiene su teléfono ni acceso a su correo electrónico, no podrá iniciar sesión.

Hay varios complementos que agregan autenticación de 2 factores a su sitio web, y muchos complementos de seguridad completos de los que hablaremos en la siguiente sección también lo agregan como parte de las muchas funciones que incluyen.

 

Instalar un complemento de seguridad

Hay gente que dice que toda la seguridad debe estar a cargo de su host, pero en el mundo de la seguridad cibernética, creemos que la seguridad ocurre en capas. Tener un plugin de seguridad en tu WordPress El sitio web es solo una más de esas capas.

Cuando se trata de complementos de seguridad, hay una variedad para elegir. Estos son algunos de los complementos de seguridad más populares. Deberías probarlos y ver cuál se adapta mejor a tus necesidades.

 

Wordfence

Si bien esta publicación no va a entrar en qué complemento de seguridad es el mejor, el más popular es Wordfence – y hay grandes razones para ello.

Por un lado, Wordfence es una empresa dedicada a la seguridad en la que la seguridad es todo lo que hacen. No son un desarrollador de complementos de WordPress que simplemente tiene un complemento de seguridad en su cartera, viven y respiran seguridad.

El complemento de Wordfence viene con un firewall de aplicación web gratuito que verifica cada solicitud con una lista de vulnerabilidades conocidas y las bloquea si encuentra una coincidencia. También tienen un escáner de malware que busca signos reveladores de actividad y archivos maliciosos. Otra gran característica es la capacidad del escáner para verificar todos sus archivos de temas y complementos con los del repositorio de WordPress.org para asegurarse de que coincidan.

Wordfence registra toda la actividad relacionada con la seguridad de forma predeterminada para que pueda revisarla y asegurarse de que su sitio esté seguro.

Otra buena característica de Wordfence es que tienen un módulo de autenticación de 2 factores para que pueda eliminar la recomendación n. ° 3 en esta publicación. En la misma línea de protección, también tienen protección de fuerza bruta para bloquear las direcciones IP que intentan iniciar sesión varias veces, deteniendo efectivamente a los bots.

 

Sucuri

Sucuri es otro excelente complemento de seguridad que puede ayudar a proteger su sitio web de WordPress. Tiene muchas de las excelentes características que ofrece Wordfence con una notable excepción: no hay un firewall gratuito, solo está disponible en un plan premium pagado.

Una nota importante sobre Sucuri es que GoDaddy compró recientemente el complemento, por lo que aún no se ha demostrado su capacidad para admitirlo correctamente. En los círculos de hospedaje web, GoDaddy no es visto con buenos ojos, por lo que solo el tiempo dirá si esa reputación se extenderá a Sucuri o si podrán enfrentar el desafío.

Sucuri también tiene un registro de auditoría para que pueda revisar la actividad relacionada con la seguridad en su sitio web, como inicios de sesión fallidos.

 

Todo en uno WP Security & Firewall

Todo en uno WP Security & Firewall es el único complemento que incluso se acerca a Wordfence en popularidad. Ofrece muchos de los mismos beneficios, incluido un firewall gratuito basado en reglas .htaccess, protección de fuerza bruta y un escáner de seguridad.

Una cosa que no incluye es un módulo de autenticación de 2 factores, por lo que deberá agregar un complemento independiente para esa funcionalidad.

Se podría argumentar que All in One WP Security & Firewall en realidad proporciona el firewall más robusto de todos los complementos de seguridad. Dado que el firewall está basado en .htaccess, se procesa antes de que se ejecuten los scripts, lo que lo hace muy confiable.

All in One WP Security & Firewall también incluye una buena función para ayudar a proteger contra el spam de comentarios automatizado. Alternativamente, puede reemplazar el sistema de comentarios predeterminado de WordPress con Deeper Comentarios para características adicionales y protección.

 

Usa Cloudflare

Cloudflare ganó popularidad entre los usuarios de WordPress debido a su excelente (y gratuito) servicio de CDN que ayuda a acelerar su sitio web. Pero Cloudflare también ofrece una gran cantidad de herramientas gratuitas que ayudan a fortalecer su sitio contra ataques.

Por un lado, cuando apunta sus servidores de nombres a Cloudflare, obtiene el beneficio de uno de los servicios DNS más rápidos y seguros disponibles y certificados SSL gratuitos.

Los servidores de Cloudflare verifican todo el tráfico antes de que llegue a su servidor en busca de ataques DDoS y su firewall es altamente configurable incluso en la versión gratuita (con un número limitado de reglas) que le permite filtrar el tráfico según el país, ASN o incluso el URL o cadena de consulta.

Como ejemplo, si solo inicia sesión en su sitio web desde una sola dirección IP o una pequeña cantidad de direcciones IP fijas, podría crear una regla en Cloudflare que bloquee todas las demás direcciones IP incluso para acceder a wp-admin o wp-login.php . Eso bloquearía todos los bots que intentan realizar esos ataques de fuerza bruta de los que hablamos en la sección 3. También puede restrinja el acceso a wp-admin usando su archivo .htaccess en lugar de Cloudflare. Puede implementar ambos si desea múltiples capas de protección (muy recomendable).

 

No use complementos o temas anulados

¿Quieres ese tema premium pero no quieres pagar por él? Bueno, si lo obtienes de uno de esos sitios incompletos que ofrecen temas y complementos anulados, puedes obtenerlo gratis. Pero todavía hay un precio...

Cuando usa un tema o complemento anulado, pierde la garantía de que el producto es el mismo que ofrece el proveedor oficial. Esto significa que pierde la integridad del código.

Los temas y complementos anulados son una fuente importante de malware porque, a veces, quien anuló el complemento, agregó su propio malware para apoderarse de su sitio o realizar otras acciones maliciosas, como robar sus recursos para la minería criptográfica.

Los temas y complementos anulados son el malware que instala voluntariamente en su propio sitio web sin siquiera darse cuenta. ¿Solo para ahorrar unos cuantos dólares? Que no vale la pena. Si necesita una función premium, pague a un desarrollador de confianza por ella.

 

Deshabilitar la edición de archivos

El panel de administración de WordPress tiene un editor incorporado muy conveniente que le permite modificar el contenido de su tema y archivos de complementos. Desafortunadamente, este editor también facilita que los piratas informáticos modifiquen el código de su sitio web si logran ingresar a su cuenta.

La realidad es que estás casi nunca va a utilizar esta funcionalidad. Si alguna vez edita un archivo central, probablemente lo haga directamente a través del administrador de archivos de su host o usando un cliente FTP.

Puede deshabilitar la capacidad de editar archivos desde el panel de administración agregando esta línea a su archivo wp-config.php:

define('DISALLOW_FILE_EDIT', verdadero);

Una vez que agregue esta línea, los menús de edición ya no estarán disponibles para los archivos de complementos y temas en el panel de administración de WordPress.

 

Mueva y cambie el nombre de su archivo wp-config.php

Mientras hablamos del archivo wp-config.php, mucha gente ya sabe que puede mover el archivo wp-config.php un directorio hacia arriba desde su instalación de WordPress y su sitio funcionará perfectamente. Pero demos un paso más allá.

¿Sabía que en realidad puede cambiar el nombre del archivo wp-config.php a lo que quiera y sacarlo de su instalación de WordPress por completo a una carpeta no pública? Se necesita un poco más de trabajo para hacerlo, pero vale la pena.

Si bien el archivo en sí generalmente devuelve una página en blanco cuando se lo llama en un navegador web, en casos excepcionales, cuando el controlador de PHP falla, todo el contenido del archivo podría verse como texto sin formato directamente en un navegador web.

El archivo wp-config.php contiene información confidencial sobre su sitio web, incluido el nombre de usuario y la contraseña de la base de datos. Esta información en las manos equivocadas podría ser catastrófica. Cambiar el nombre del archivo a algo aleatorio ayuda a ocultarlo de bots y piratas informáticos.

By moviendo wp-config.php a una carpeta no pública, elimina la posibilidad de que alguien obtenga la información a través de un navegador durante una falla del controlador de PHP.

 

Actividad de auditoría en su sitio

Si no realiza un seguimiento de lo que sucede en su sitio web, es posible que se esté perdiendo información clave que podría alertarlo sobre un intento de actividad maliciosa, o incluso descubrir actividad maliciosa si su sitio ya se ha visto comprometido.

Además de los beneficios de seguridad, si tiene un sitio con múltiples usuarios, tener un buen complemento de auditoría también puede ayudar a garantizar que pueda rastrear actividades legítimas. Como agencia, es una gran herramienta para saber si su cliente podría haber estropeado algo, ¡incluso si dice que no lo hizo!

Hay varios buenos complementos para auditar la actividad del sitio. Algunos de los complementos de seguridad mencionados anteriormente tienen cierto nivel de capacidad de registro de auditoría, pero los siguientes lo llevan al siguiente nivel al auditar toda la actividad del usuario en lugar de solo los eventos relacionados con la seguridad. Aquí están los 3 mejores.

 

Historial simple: registro de actividad del usuario, herramienta de auditoría

Historia sencilla es el complemento más popular para la auditoría y es excelente para comenzar a probar. Registra todas las cosas que esperaría, como actualizaciones de contenido, instalaciones y activaciones de complementos, y casi cualquier otro tipo de actividad del usuario.

El complemento tiene una calificación de 5 estrellas y el equipo de desarrolladores es bastante activo en los foros de soporte y responde regularmente preguntas de soporte en un período de tiempo razonable.

 

Registro de actividad de WP

El Registro de actividad de WP plugin es otra gran opción para usar en su sitio. Tiene algunas opciones más configurables que el complemento anterior, como la capacidad de habilitar y deshabilitar la auditoría de ciertos eventos y un período de retención configurable para el registro. También tiene un montón de complementos para extender el monitoreo a complementos especiales como WooCommerce y WPForms.

El complemento tiene una calificación de 4.5 estrellas y el desarrollador principal responde personalmente a casi todas las preguntas del foro de soporte.

Si dirige una agencia, WP Activity Log se integra bien con la popular herramienta de administración MainWP para que pueda ver los registros de auditoría de todos los sitios de sus clientes en una sola interfaz. Entre las agencias, WP Activity Log es la primera opción para el registro de auditoría.

 

Registro de Actividad

Otra opción popular con una calificación de 4.5 estrellas. Registro de Actividad captura todo lo que esperarías y tiene una buena cantidad de instalaciones activas.

Desafortunadamente, el desarrollador no suele responder a las solicitudes de soporte en los foros y la mayoría de las preguntas de soporte quedan sin respuesta indefinidamente.

 

Utilice el principio de privilegio mínimo

En el mundo de la seguridad cibernética, el Principio de Mínimo Privilegio es un concepto en el que un usuario tiene solo los permisos que necesita para hacer su trabajo.

En el mundo de WordPress, no es raro ver una empresa con 10 usuarios que están configurados como Administrador. Puede haber razones legítimas para este nivel de acceso, pero es raro que se necesiten más de 1 o 2 cuentas con un nivel de permisos tan alto.

Una cosa que no puede controlar es lo que hacen sus usuarios cuando no están trabajando activamente en su sitio web de WordPress. Esto significa que si no logran proteger sus propios datos de los piratas informáticos, es muy probable que el descuido se extienda a su sitio web.

Al limitar su acceso, podrá mitigar cualquier daño que un usuario pueda causar involuntariamente, como hacer clic en un enlace malicioso mientras aún está conectado a su sitio web. Incluso si es el administrador del sitio, debe usar una cuenta de editor separada con permisos limitados cuando no esté realizando tareas administrativas de alto nivel.

¿Es tedioso hacer esto? Por supuesto. Pero es mucho menos tedioso que tener que limpiar un sitio web infectado.

 

Bonificación: Realice copias de seguridad frecuentes

En el peor de los casos en que su sitio se ha visto comprometido, a veces la única opción es restaurarlo desde una copia de seguridad limpia; uno que se tomó antes de la infección. La mayoría de las empresas de alojamiento web decentes realizarán una copia de seguridad de su sitio una vez al día, pero generalmente solo conservan estas copias de seguridad durante un par de semanas.

Esto es problemático si tiene una infección que pasó desapercibida por un tiempo. Muchas infecciones se ocultan efectivamente de los administradores registrados para evitar la detección durante el mayor tiempo posible.

Debido a que ahora sabe que la seguridad es mejor en capas, puede aplicar el mismo concepto a sus copias de seguridad tomando sus propias copias de seguridad además de su servidor web.

Hay algunos excelentes complementos de copia de seguridad gratuitos disponibles, incluidos UpdraftPlus, BackWPupy Migración WP todo en uno. Cada uno tiene sus propias fortalezas y debilidades, pero todos son muy confiables y le permiten realizar copias de seguridad de su sitio con mayor frecuencia. En algunos casos, incluso puede hacer una copia de seguridad automática en un almacenamiento remoto en la nube como Dropbox o OneDrive.

 

Consideraciones Finales:

La seguridad de WordPress es una parte importante de tener un sitio web. También puede ser un proceso que consuma mucho tiempo y recursos si se realiza incorrectamente o se descuida. Al implementar las claves en esta publicación, puede poner la mayoría de sus necesidades de seguridad en automático para que pueda concentrarse en lo que es importante: su negocio.