La popularidad de WordPress ha ido aumentando constantemente y, con ello, también ha aumentado la prevalencia de ataques, virus y otras amenazas. Los criminales pueden causar problemas significativos a los propietarios de sitios web y comerciantes en línea. Este artículo te ayudará a asegurar tu sitio web y proteger tu WordPress contra virus.
El malware que apunta a sitios web basados en WordPress busca activamente y explota vulnerabilidades, que generalmente se encuentran en plugins y temas. Luego inyecta código problemático o malicioso que puede realizar diversas tareas, dependiendo del tipo de virus.
Antes de adentrarnos en cómo proteger tu WordPress contra virus, es crucial entender los posibles riesgos a los que te puedes enfrentar.
Virus y sitios web de WordPress
Muchos consideran que WordPress en sí es una plataforma altamente segura. Con desarrolladores de todo el mundo trabajando continuamente en su mejora, las vulnerabilidades son rápidamente identificadas y corregidas.
Sin embargo, a pesar de su reputación de seguridad, ¿por qué los virus a menudo apuntan a WordPress? La respuesta radica en su inmensa popularidad como el sistema de gestión de contenido más utilizado, que alimenta alrededor del 40% de todos los sitios web a nivel mundial. Su uso generalizado también lo convierte en un objetivo principal para los ataques.
La naturaleza inherente de WordPress contribuye significativamente a sus desafíos de seguridad. Desde el principio, los desarrolladores lo diseñan como una plataforma modular y fácil de usar. Su mayor ventaja radica en permitir la creación de sitios web profesionales y sofisticados sin requerir experiencia en HTML, CSS o PHP. Esta conveniencia es posible gracias al amplio uso de plugins que agregan diversas funcionalidades.
Los temas y plugins representan un posible punto débil adicional para la seguridad de WordPress, especialmente cuando provienen de empresas o usuarios menos experimentados. Errores e inconsistencias en el código de estos plugins pueden servir como una invitación abierta a las amenazas cibernéticas.
Incluso las medidas de seguridad más robustas, como firewalls, antivirus, autenticación de dos factores, listas de acceso restringido (greylists) y monitoreo proactivo, podrían no ser suficientes para detener a un atacante determinado.
Además, el riesgo aumenta cuando una persona sin experiencia es responsable de gestionar el sitio web, un escenario frecuentemente asociado con la facilidad de uso de WordPress. Estas personas pueden cometer errores significativos sin saberlo, dejando el sitio de WordPress vulnerable y haciendo que incluso los servicios de hosting de WordPress más seguro sean ineficaces para garantizar una protección completa.
¿Cómo verificar si mi sitio web está infectado?
Antes de monstrar cómo proteger tu WordPress, es esencial verificar si ha ocurrido algún acceso no autorizado en tu sitio web o tu servidor.
- Visita tu sitio web y explora diferentes productos, categorías y ofertas. Agrega artículos a tu carrito y procede al módulo de pago. Si todo funciona sin problemas y no ocurren incidentes inusuales, como ventanas emergentes o redireccionamientos repentinos a páginas no relacionadas, tu sitio web parece estar en buen estado.
- Utiliza FTP para explorar las carpetas y buscar archivos con nombres aleatorios, como “46fr1s55p9_index.php”, “cl03haxmng_index.php”, o “q9z91fmzq6_index.php”, u otros estilos similares.
- Revisa archivos principales como index.php, wp-config.php y wp-settings.php en busca de cualquier presencia de código malicioso. Habilita la visualización de espacios y tabulaciones en tu editor de archivos. Mira la captura de pantalla proporcionada abajo. Al principio, puede parecer un archivo de WordPress normal, pero presta atención a los puntos grises que indican un número excesivo de espacios.
- Desplaza la ventana hacia la derecha o habilita el ajuste de línea para revelar cualquier código malicioso oculto, como se muestra en el ejemplo.
- Adopta un enfoque exhaustivo al examinar todos los archivos de WordPress en tu sitio web, especialmente los archivos PHP, ya que el código malicioso podría estar oculto en diferentes partes de tu sitio.
- Verifica los resultados de búsqueda orgánica en Google ingresando: site:tudominio.com. Si tu sitio web está infectado, Google podría mostrar numerosos resultados irrelevantes que promocionan casinos, juegos de azar, aplicaciones e incluso contenido ilegal como pornografía o venta de armas.
- Para mejorar la seguridad de tu sitio web, considera instalar un programa de búsqueda de malware, como WebDefender Security – Protection & AntiSpam. Este plugin te permite buscar cualquier virus oculto en tu sitio web.
Sin embargo, cada problema identificado requiere un examen y verificación individual para determinar si constituye un software malicioso. Algunos plugins que utilizamos pueden contener código que podría clasificarse como malicioso, lo cual no es infrecuente.
¿Cómo proteger WordPress de virus?
Aquí tienes una lista de pasos proactivos que sin duda crearán obstáculos para los ciberdelincuentes y minimizarán el riesgo de que tu sitio web sea víctima de un virus. Sin embargo, es crucial reconocer que estas sugerencias podrían no brindar protección completa, según el tipo de virus o los bots de ataque. Los antivirus y los desarrolladores de virus se enfrentan en una constante carrera armamentista.
Siempre que surge una nueva forma de ataque o virus, los creadores de antivirus se esfuerzan por neutralizarlo rápidamente. Del mismo modo, las medidas de seguridad se actualizan constantemente, pero eventualmente, los criminales encuentran formas de evadirlos. Por lo tanto, lograr una inmunidad absoluta contra los virus sigue siendo inalcanzable, pero puedes reducir significativamente el riesgo de infección.
Hosting
Seleccionar el proveedor de hosting adecuado es un aspecto crítico de cualquier sitio web. Muchos propietarios de sitios web a menudo basan su decisión en precios o recomendaciones de otros. Sin embargo, no es tan sencillo. Lo primero y más importante es verificar si el proveedor de hosting:
- Tiene la última versión de PHP, actualmente la 8.2,
- Realiza copias de seguridad periódicas de la base de datos y los archivos, y si tienes fácil acceso a ellas,
- Ofrece protección contra ataques DDoS.
Para proteger tu WordPress también es esencial verificar los parámetros del servidor (procesador, RAM, capacidad de almacenamiento, límites) proporcionados por la empresa de hosting.
Optar por UltaHost, que prioriza la seguridad, es una elección inteligente. Va más allá de implementar sistemas de seguridad multicapa en diversos niveles de infraestructura. UltaHost construye de forma independiente centros de datos en todo el mundo para mantener un control completo sobre la calidad de los servicios ofrecidos.
Este enfoque garantiza el uso de componentes de alta calidad no solo en los servidores, sino en toda la infraestructura. Además, los centros de datos de UltaHost cumplen con estrictos estándares de seguridad establecidos por la Unión Europea. Con UltaHost, puedes tener plena confianza en la seguridad de tus datos y sitios web.
Certificado SSL
Un certificado SSL cifra toda la información intercambiada entre el navegador del usuario y el sitio web. Todas las empresas de hosting de renombre ofrecen certificados SSL tanto pagados como gratuitos (por ejemplo, Let’s Encrypt) como parte de sus paquetes. Puedes encontrar más información sobre este tema en este artículo:
Actualizaciones de WordPress
Las actualizaciones regulares de WP no solo introducen una variedad de nuevas funciones y posibilidades, sino que también incluyen correcciones de seguridad cruciales. Para proteger tu WordPress es igualmente importante mantener tus plugins actualizados. Los plugins y temas son particularmente susceptibles a ataques de virus, por lo que asegurarte de que estén siempre actualizados es esencial para minimizar riesgos.
Incluso si no los estás utilizando activamente y están desactivados, aún pueden servir como punto de entrada para los ciberdelincuentes. Por lo tanto, es vital actualizar todos los plugins instalados en tu sitio de WordPress.
Desinstala plugins y temas innecesarios
Siguiendo el mismo principio, es mejor desinstalar los plugins o temas no utilizados en lugar de simplemente desactivarlos. Es el enfoque recomendado. Incluso si ocasionalmente necesitas un plugin específico, desinstálalo una vez que hayas terminado de usarlo.
Reinstalarlo solo tomará unos momentos. No vale la pena arriesgar posibles ataques en tu sitio solo para ahorrar dos minutos al mes. De la misma manera, si tienes varios temas instalados, desinstálalos todos excepto el que estés usando actualmente. Solo el tema activo es necesario para tu sitio, mientras que el resto pueden actuar como puertas de entrada para los ciberdelincuentes.
Minimizar los riesgos siempre que sea posible es crucial. ¡No facilites el trabajo a hackers y bots maliciosos!
Oculta la versión de WordPress y de los plugins
Por defecto, WordPress muestra la versión instalada en el código fuente de la página al agregar una etiqueta en la sección HEAD:
<meta name=”generator” content=”WordPress 5.6.4″ />
Para los plugins de WordPress, agrega ?ver=X.X a las URL de los archivos CSS y JS.
Revelar las versiones de los componentes que utilizamos en nuestro sitio facilita que los atacantes nos apunten, ya que se enteran de las vulnerabilidades específicas de cada versión de software.
Para bloquear la visualización de la información de versión, puedes agregar el siguiente código al archivo functions.php en tu plantilla:
remove_action(‘wp_head’, ‘wp_generator’);
add_filter(‘the_generator’, ‘__return_empty_string’);
function shapeSpace_remove_version_scripts_styles($src) {
if (strpos($src, ‘ver=’)) {
$src = remove_query_arg(‘ver’, $src);
}
return $src;
}
add_filter(‘style_loader_src’, ‘shapeSpace_remove_version_scripts_styles’, 9999);
add_filter(‘script_loader_src’, ‘shapeSpace_remove_version_scripts_styles’, 9999);
Cambios regulares de contraseña
Cambiar las contraseñas de todos los administradores del sitio cada pocos meses, o incluso con más frecuencia, es una buena práctica que ayuda proteger tu WordPress. Especialmente si tu nombre de usuario es adm, admin, administrator o el nombre de dominio.
Cambio del inicio de sesión del administrador
En relación al punto anterior, si tu nombre de usuario es adm, admin, administrator o el nombre de dominio, es mejor cambiarlo lo antes posible. El nombre de usuario más comúnmente elegido es “admin”, y cambiarlo limitará la posibilidad de ataques de fuerza bruta en tu sitio. Usar uno de los nombres de usuario más populares facilita que los ciberdelincuentes apunten a tu sitio.
¿Cómo Cambiar el Inicio de Sesión en WordPress?
Método I:
- Inicia sesión en la base de datos a través de phpMyAdmin.
- Busca la tabla wp_users.
- Encuentra tu cuenta y haz clic en editar.
- En la columna user_login, cambia el antiguo nombre de usuario por el nuevo.
Método II:
- En el panel de WordPress, agrega un nuevo usuario con privilegios de Administrador.
- Inicia sesión en la nueva cuenta.
- Elimina la cuenta antigua.
Cambiando la página de inicio de sesión
Por defecto, puedes acceder a cada sitio de WordPress a través de URLs como:
example.com/wp-login.php,
example.com/wp-admin/
Para proteger tu WordPress de ataques de fuerza bruta, puedes usar el plugin Limit Login Attempts para limitar el número de intentos de inicio de sesión y bloquear a un usuario por un tiempo especificado. Sin embargo, si deseas asegurar completamente el formulario de inicio de sesión, puedes cambiar su ubicación utilizando el plugin WPS Hide Login.
Será mucho más difícil adivinar que el panel de control se encuentra en
example.com/niceteddybear
Bloqueando el acceso a archivos
Utilizando reglas específicas en el archivo .htaccess, puedes asegurar el acceso externo a archivos o carpetas particulares.
En la carpeta principal de WP, encontrarás los archivos xmlrpc.php y wp-config.php, que almacenan datos para la base de datos de MySQL. Por lo tanto, se recomienda agregar una capa adicional de seguridad para estos archivos mediante la adición de la siguiente regla al archivo .htaccess ubicado en la misma carpeta.
<files wp-config.php>
order allow,deny
deny from all
</files>
<files xmlrpc.php>
order allow,deny
deny from all
</files>
Además, en el directorio /wp-content/uploads/, si no existe, crea un archivo .htaccess y agrega la siguiente regla para bloquear la ejecución de ciertos virus:
<Files ~ “.ph(?:p[345]?|t|tml)$”>
deny from all
</Files>
Desactivando funcionalidades innecesarias
WordPress proporciona diversas funcionalidades que a menudo no se utilizan, por lo que vale la pena desactivar algunas de ellas. Si utilizas los comentarios, considera desactivar las dos primeras casillas de verificación en Ajustes → Comentarios.
Los pingbacks sirven para informar al administrador del sitio cuando alguien enlaza a su publicación. Si no utilizas los comentarios integrados de WordPress, instala el plugin Disable Comments.
Plugins de seguridad
A medida que surgen nuevos ataques y virus dirigidos a sitios web basados en WordPress, muchas empresas han creado plugins para ayudarnos a defendernos. Algunos ejemplos de estos plugins son Wordfence Security, All In One WP Security & Firewall e iThemes Security.
Estos plugins se centran principalmente en garantizar la seguridad de nuestros sitios web mediante la detección de software malicioso y el bloqueo de ataques de fuerza bruta. Sin embargo, es importante tener en cuenta que el uso de ellos puede provocar una ligera disminución en la velocidad del sitio web.
Copias de seguridad
Crear copias de seguridad regulares es crucial, incluso si tu proveedor de hosting ya se encarga de ello, como UltaHost, que realiza automáticamente copias de seguridad diarias de tu Hosting de WordPress.
Ser cauteloso significa estar extra seguro, por lo que todavía se recomienda cuidar tus copias de seguridad, especialmente antes y después de realizar cambios significativos en tu sitio web, incluso si confías en tu proveedor de alojamiento web.
WordPress ofrece numerosos plugins de copia de seguridad, pero uno que vale la pena recomendar es UpdraftPlus. Este plugin permite realizar copias de seguridad automáticas que se pueden enviar a otro servidor.
Conclusión
Proteger tu WordPress de virus es de suma importancia en el panorama digital actual. Con el aumento de la popularidad de WordPress, el riesgo de ataques, virus y otras amenazas también ha aumentado significativamente. Los ciberdelincuentes pueden causar un daño considerable a los propietarios de sitios web y negocios en línea si no están adecuadamente protegidos.
Siguiendo estas recomendaciones, puedes reducir significativamente el riesgo de que tu sitio web de WordPress sea víctima de ciberataques. Recuerda que mantener un enfoque proactivo en la seguridad y estar informado sobre las últimas amenazas contribuirá a una experiencia de WordPress más sólida y segura. Mantente vigilante y continúa priorizando la protección de tus valiosos activos en línea.
¿Te preocupa tener que pagar extra por nuestra plataforma de hosting segura? ¡No te preocupes, no solo es segura sino que también es un hosting de WordPress económico! Obtén soporte las 24/7 de nuestro equipo de soporte. Nuestra infraestructura de vanguardia se enfoca en autoescalado, rendimiento y seguridad. ¡Permítenos mostrarte la diferencia! ¡Consulta nuestros planes de hosting de WordPress!