Si lees regularmente nuestro blog, sabrás que la seguridad del sitio web y la seguridad del hosting son los aspectos más importantes del funcionamiento de un sitio web. Más importante que el rendimiento, los gráficos y las características sofisticadas. Al crear un sitio web, debes asegurarte de que sea seguro. Pero el hosting seguro y la seguridad del servidor no son suficientes si no mantienes seguro tu WordPress.
WordPress es vulnerable
Cuanto más popular es una aplicación, más probable es que sea pirateada. WordPress actualmente impulsa más de la mitad de los sitios web en el mundo. Su éxito estuvo determinado principalmente por la combinación de simplicidad y capacidad de expansión. La estructura abierta permite el desarrollo de sitios web mediante plugins.
Desafortunadamente, la cantidad de instalaciones de WordPress también trae resultados vergonzosos. Según Wordfence, el 9 de diciembre de 2021, más de 1,5 millones de sitios web creados en WordPress fueron atacados. En 36 horas, se realizaron más de 13 millones de intentos de piratear el acceso a los paneles de administración del sitio.
Los ciberdelincuentes no están ociosos y buscan constantemente puntos débiles en sitios web y aplicaciones, gracias a los cuales pueden obtener datos valiosos. Sucuri llama la atención sobre un elemento más importante de la seguridad. Más del 50% de los sitios de WordPress pirateados están relacionados con una versión desactualizada de la aplicación. Keycdn.com agrega que casi el 56% de las amenazas y vulnerabilidades son causadas por plugins o temas obsoletos.
¿Cómo mantener WordPress seguro?
Pero incluso parchear no es garantía de seguridad. Cuida tu sitio web tú mismo. Hazlo según nuestros consejos. Cuantos más los utilizas, más seguro será tu sitio web.
Algunas soluciones requieren un conocimiento básico del panel phpMyAdmin donde puedes editar la base de datos. Un funcionamiento incorrecto de las tablas puede dar lugar a la indisponibilidad parcial o total del sitio web.
Otro factor crítico en la seguridad del hosting es alojarlo en un servidor seguro. Tienes dos soluciones: VPS o hosting seguro de WordPress. Recomiendo este último porque tiene seguridad incorporada para proteger WordPress de ataques. Ahora vamos a la lista.
Actualiza WordPress
¿Suena trivial? Tal vez sea así, pero la clave es verificar dos veces que tu WordPress no esté envejeciendo. A partir de la versión 3.7, WordPress puede actualizar automáticamente el CMS, los temas y los plugins. Posponer las actualizaciones es muy arriesgado.
Cambia el prefijo wp_ predeterminado para las tablas en la base de datos
Gracias al prefijo de las tablas en la base de datos MySQL, la aplicación puede reconocer qué datos le pertenecen. Después de todo, muchas aplicaciones pueden usar una sola base de datos. Una de las debilidades de WordPress es que deja el prefijo wp_ por defecto en la base de datos; facilita que los piratas informáticos rompan la seguridad. Por lo tanto, cambia este prefijo por otro menos específico (por ejemplo, xtmx4_).
Puedes hacerlo de dos maneras: durante la instalación de WordPress y después de la instalación iniciando sesión en la base de datos MySQL a través del panel phpMyAdmin. Con este cambio, tu sitio web de WordPress será menos vulnerable a los ataques de inyección SQL.
Cambiar el nombre del prefijo de la tabla requiere modificar las entradas en dos tablas de WordPress: xtmx4_options y xtmx4_usermeta. Puedes hacerlo usando uno de los dos comandos SQL (es necesario indicar los prefijos que propones):
- SELECT * FROM `xtmx4_options` WHERE` option_name` LIKE ‘% wp_%’;
- SELECT * FROM `xtmx4_usermeta` WHERE` meta_key` LIKE ‘% wp_%’;
Recuerda modificar la línea de prefijo en el archivo wp-config.php después de este cambio.
Cambia el nombre de usuario y la identificación del administrador
El nombre de usuario predeterminado propuesto por WordPress es “admin”: es fácil de adivinar cuando alguien intenta iniciar sesión en el Escritorio. Durante la instalación, vale la pena cambiarlo por otro, menos “lógico” desde el punto de vista del usuario externo. Recuerda que el nombre de usuario no se mostrará en los artículos del blog, porque el nombre para mostrar se configura individualmente en el escritorio de WordPress.
Cambia el nombre de usuario después de la instalación a través de phpMyAdmin en la tabla (tu-prefijo)_users. También cambiarás tu ID de cuenta en el mismo lugar. Es mejor ingresar un número alto con una secuencia aleatoria de números (por ejemplo, en lugar de 333333, ingresa 158062).
Restringe el acceso a tu panel de WordPress con .htaccess
Restringir el acceso a la página de inicio de sesión es una solución muy razonable. En el archivo .htaccess basta con configurar las conexiones permitidas a la dirección IP seleccionada. A continuación se muestra la fórmula correcta para incluir en tu contenido:
- AuthName “Example Access Control”
- AuthType Basic
- order deny, allow
- deny from all
- allow from IP_address
En lugar de “IP_address”, ingresa la dirección desde la cual deseas acceder al escritorio.
Cambia la dirección de inicio de sesión de back-end de WordPress
Los scripts maliciosos atacan principalmente las subpáginas relacionadas con el contenido y su edición, es decir, “/wp-admin”. Por ello, merece la pena plantearse cambiar esta dirección por otra, más amigable y menos obvia para los ciberdelincuentes. Instala el plugin WPS Hide Login y configúralo según tus necesidades. La nueva dirección de inicio de sesión del panel estará disponible de inmediato.
Otro tipo de protección contra el secuestro de la página de inicio de sesión de WordPress es usar el archivo .htaccess en el alojamiento y consultar el archivo .htpasswd en el que configuras los datos de acceso para mostrar la página de inicio de sesión.
Cambia el método de inicio de sesión a tu dirección de correo electrónico
Cambiar el método de verificación del usuario por parte de la aplicación aumenta la seguridad del escritorio de WordPress. Para hacer esto, instala el plugin WP Email Login y reemplaza el nombre de usuario con la dirección de correo electrónico asignada al usuario. Después de guardar los cambios, cambia el nombre de usuario estándar a un conjunto de caracteres aleatorios (especialmente si usaste “admin”).
Habilita la protección adicional para aplicaciones alojadas (WAF)
El hosting seguro de WordPress te protege con una capa adicional de seguridad: un firewall de aplicaciones. Si usas otro proveedor, pregúntale sobre WAF. Te protege de los ataques que se aprovechan de las vulnerabilidades de la base de datos MySQL.
Deshabilita el plugin de edición y los archivos de temas
¿Has terminado de personalizar tu tema y ejecutar plugins? Protege tus archivos al evitar que se edite más el código en el escritorio de WordPress. Para hacer esto, agrega una línea a tu archivo wp-config.php:
- define (‘DISALLOW_FILE_EDIT’, true);
Deshabilita registro de usuario
WordPress permite el registro de usuarios de forma predeterminada, pero si ejecutas un sitio que no necesita esta opción (por ejemplo, contiene solo contenido de lectura), es mejor desactivarlo en la configuración de WordPress. Esta es otra “ventana” para un posible intento de ataque.
Habilita la autenticación de dos factores
Un nivel adicional de seguridad al iniciar sesión nunca daña a nadie. Usa el plugin de autenticación de dos factores para configurar el inicio de sesión dual en tu panel. Después de ingresar el nombre de usuario y la contraseña, sería necesario ingresar un código único enviado al teléfono inteligente. Esta solución requiere que la aplicación Google Authenticator, disponible para Android e iOS, esté instalada en tu teléfono.
Plugins de seguridad para WordPress: ¿por qué NO usarlos?
Encontrarás varios plugins adicionales en el mercado que incluyen algunas de las funcionalidades anteriores y, además, protegen a WordPress contra la fuerza bruta y otros ataques. Por lo tanto, ahorran tiempo (solo instala uno de ellos y configúralo en unos minutos) y (en teoría) se ocupan de algunos temas relacionados con la seguridad.
¿Pero estás seguro? No olvides que este es solo otro plugin. Incluso los plugins de seguridad pueden contener vulnerabilidades que facilitarían que un hacker potencial acceda a tu escritorio de WordPress.
Los plugins como Wordfence, Sucuri e iThemes Security están de moda, están repletos de funciones y tienen un aspecto tentador, pero las estadísticas del estudio WPwhiteSecurity son preocupantes. Entre los 10 plugins de WordPress más vulnerables en 2019, Wordfence ocupó el cuarto lugar.
Haz copias adicionales de tus datos
En los servidores UltaHost, la copia de seguridad se realiza cíclicamente por la noche, de forma puntual. Todos los archivos y bases de datos de la copia de seguridad reflejan el estado del servidor en una hora determinada. En todo caso, el usuario podrá restaurar dichos datos de los últimos 16 días. Esta es una de las mejores ofertas del mercado, pero no debería sorprenderte. UltaHost tiene una política de seguridad primero.
Si tu sitio es dinámico y publica una gran cantidad de contenido (por ejemplo, en forma de un portal de anuncios), instala aplicaciones adicionales de copia de seguridad de WordPress. Uno de ellos es Updraft, gracias al cual puedes programar una copia de seguridad incluso cada 60 minutos. Asegúrate de realizar una copia de seguridad cuando el tráfico sea bajo, ya que cualquier operación de copia de seguridad supone una gran carga para el servidor.
Elimina plugins y temas innecesarios
WordPress te permite crear un sitio web para cualquier propósito. No es de extrañar que estés probando nuevos temas y plugins en él. Recuerda borrarlos si no los vas a utilizar. Incluso los plugins desactivados pero obsoletos pueden ser el motivo de un ataque a tu sitio web.
Solo descarga plugins de una fuente confiable. No necesariamente tiene que ser un repositorio oficial de WordPress, ya que hay plugins premium que solo se pueden descargar desde el sitio web del autor. Pero evita los plugins de fuentes poco confiables como el correo electrónico o los servicios de archivos gratuitos. No están sujetos a ningún tipo de verificación o control.
Esta es la tercera fuente potencial de un problema que puede encontrar un sitio web basado en WordPress. Los desarrolladores de temas deben publicar actualizaciones con la mayor frecuencia posible para corregir errores y vulnerabilidades del software. Pueden ser utilizados por piratas informáticos y no pueden tomarse a la ligera.
Usa un certificado SSL
WordPress brinda soporte completo para una conexión HTTPS encriptada a través del navegador. Desde 2017, la aplicación CMS requiere soporte de servidor para este protocolo. Un certificado SSL también es esencial para la optimización SEO.
Además, los navegadores más populares (Google Chrome, Mozilla Firefox) marcan los sitios web sin certificado SSL como “no seguros”. Desde un punto de vista psicológico, esto equivale a disuadir al usuario de visitar el sitio web en el futuro.
Usa contraseñas largas
Cuanto más larga y variada sea la contraseña, mejor. WordPress ofrece automáticamente guardar la contraseña en forma de unos pocos caracteres sin frases de diccionario. Normalmente en este paso queremos proponer nuestra contraseña, pero en la mayoría de los casos no será lo suficientemente fuerte.
Si disfrutaste de este artículo, te encantará la plataforma de hosting seguro de UltaHost. Obtén soporte 24/7 de nuestro equipo. Nuestra infraestructura de alta calidad se centra en el escalado automático, el rendimiento y la seguridad. ¡Te mostraremos la diferencia! ¡Consulta nuestros planes seguros de hosting de WordPress!
