No existe una forma segura de garantizar que un sitio web nunca, nunca, tenga un problema. Sin embargo, confiar en servicios confiables centrados en WordPress, como su proveedor de host y tema, puede resolver y prevenir muchos problemas comunes, incluidos los piratas informáticos.
Si su sitio de WordPress alguna vez ha sido pirateado, o incluso si lo acaba de imaginar al repasar todos los resultados posibles, sabe el pánico que seguramente se generará. El simple hecho de saber que una violación de seguridad es posible es suficiente para encaminarlo para crear un sitio web más seguro supervisado por un host confiable. En este artículo, veremos cómo fortalecer su sitio web de WordPress y armarlo con la mejor seguridad posible.
Así es como puede verse si su WordPress es pirateado:
No puede iniciar sesión. Una de las formas más fáciles para que los piratas informáticos obtengan acceso a su cuenta de WordPress es cambiar la contraseña de usuario. Sin embargo, también pueden eliminar su cuenta de usuario por completo. No poder acceder a su cuenta con su contraseña habitual y no poder restablecer su contraseña es una señal fuerte de que ha sido pirateado porque significa que su cuenta de usuario se ha ido.
Hay contenido nuevo en su sitio … y no lo puso allí. Si nota que hay una página estática en lugar de su página de inicio y / o si se reemplaza el tema del sitio web, eso es una señal de que ha sido pirateado. Sin embargo, puede haber diferencias mucho más sutiles que tendrá que buscar más para encontrar. Por ejemplo, puede haber un enlace aleatorio en el contenido que dirige a un sitio sospechoso.
Su sitio web redirige a otro sitio web. Los piratas informáticos a veces agregan scripts que redirigen a los visitantes a un sitio totalmente diferente, uno en el que definitivamente no los desea. El uso de un servidor inseguro aumenta la probabilidad de que esto suceda, por lo que es importante elegir siempre un alojamiento de calidad.
Hay una advertencia del navegador o de Google cuando intenta acceder a su sitio. Hay algunas razones diferentes por las que puede recibir una advertencia en el navegador de que hay un problema con su sitio, y la piratería es solo una de ellas. También podría tener que ver con un complemento o código de tema que deba eliminarse. O puede ser un problema con su dominio o SSL, con lo que su anfitrión puede ayudar. Sin embargo, si Google muestra una advertencia, eso podría indicar un pirateo del mapa del sitio, lo que afecta la forma en que Google rastrea su sitio.
Siempre que haya una vulnerabilidad de seguridad
Su complemento de seguridad de WordPress o el servidor web debería notificarle de la infracción. Tener medidas de seguridad para alertarlo sobre el problema y resolverlo es el mejor curso de acción.
Hay varias formas en que los piratas informáticos pueden tomar el control de su sitio web .
La mayoría de los hacks de WordPress están automatizados, y la parte más frustrante es que pueden evitarse fácilmente manteniendo su sitio de WordPress actualizado. Si bien es posible que un pirata informático apunte a un sitio específico, generalmente los sitios web son parte de un ataque mucho más grande y amplio. Así es como los piratas informáticos se apoderan de su sitio:
Puertas traseras : son archivos o scripts ocultos, presentan una forma alternativa de acceder a su sitio. Luego, se puede usar una puerta trasera para agregar una redirección maliciosa a otro sitio al que no desea enviar a sus visitantes.
Inicios de sesión de fuerza bruta : es cuando las herramientas automatizadas descubren contraseñas débiles.
Cross-scripting : permite a los piratas informáticos enviar código malicioso a un navegador a través de un script en un complemento que se está utilizando.
Denegación de servicio (DoS) : agrega errores o errores al código de un sitio web para que el sitio ya no funcione correctamente.
Cuando se ingresa un código en una versión desactualizada de WordPress.
Estos suenan bastante aterradores. Afortunadamente, hay pasos que puede tomar para evitar que ocurran estos problemas en primer lugar.
Hay varias formas de hacer que su sitio web sea más seguro
Evitar que le pirateen WordPress en el futuro. Si bien es posible que pueda manejar algunas de estas tareas obligatorias por su cuenta, siempre es mejor trabajar con un host dedicado que tomará las precauciones de seguridad adecuadas, monitoreará su sitio, responderá a cualquier posible infracción y lo mantendrá informado en todos y cada uno de los problemas.
En este artículo, lo guiaremos a través de algunos de los métodos de endurecimiento que puede abordar por su cuenta, pero tenga en cuenta que otros suelen ser demasiado avanzados para el usuario promedio. En ese caso, querrá trabajar con un profesional de seguridad de WordPress, como un host de próxima generación, para una seguridad completa y profunda.
15 consejos para crear un sitio web seguro en WordPress
Hay una serie de razones por las que su sitio de WordPress puede ser pirateado, y también hay varias formas de fortalecer su sitio. Repasemos las principales vulnerabilidades de seguridad que todas las agencias, desarrolladores y autónomos deben conocer, además de cómo proteger su sitio para que no caiga en ellas.
Utilice siempre la última versión de WordPress
Cada vez que WordPress lanza una nueva versión, debe actualizar su sitio web lo antes posible. Las versiones de WordPress a menudo tienen parches de seguridad para solucionar problemas con la versión anterior. Si no actualiza, podría dejar su sitio vulnerable.
Al tener siempre la última versión de WordPress, cierra las brechas de seguridad que los piratas informáticos pueden superar. Tu mejor opción es configurar actualizaciones automáticas para que se ejecuten sin que tengas que hacerlo manualmente. Y recuerde que cada vez que actualice su sitio, debe guardar una copia de seguridad de su sitio. Cualquier host de calidad actualizará automáticamente su sitio a la última versión de WordPress para que no tenga que estar al tanto.
Utilice las contraseñas más fuertes posibles
Si no crea un sitio web lo suficientemente seguro, es fácil para los piratas informáticos acceder a su panel de administración de WordPress, y una vez que lo hacen, pueden hacer prácticamente todo lo que quieran. Los piratas informáticos utilizan herramientas automatizadas para ejecutar numerosas contraseñas potenciales hasta que encuentran la correcta. Luego pueden iniciar sesión en su cuenta de administrador de WordPress y tener el control total.
Tener una contraseña débil es una de las mayores vulnerabilidades del sitio web, pero también es la más fácil de remediar. Además de configurar una contraseña segura para su cuenta de administrador de WordPress, y cambiarla regularmente, asegúrese de que todos los servicios relacionados con el sitio web estén protegidos por una contraseña segura y única, como su FTP y sus inicios de sesión de host.
A continuación, se ofrecen algunos consejos para establecer contraseñas seguras:
No use una versión de su nombre, nombre de usuario, marca o nombre del sitio web.
No uses una palabra del diccionario, ya sea en inglés o en otro idioma.
Nunca cree una contraseña corta, debe tener alrededor de ocho caracteres como mínimo.
No uses solo letras o números; tu contraseña debe combinar letras, números y símbolos.
Hay complementos de seguridad como Wordfence (también disponible como complemento de seguridad de inicio de sesión independiente ) que puede usar y que obligará a todos los usuarios a crear contraseñas seguras y, a veces, este servicio viene de serie con los planes de alojamiento. Además, si agrega autenticación de dos factores a su sitio web, será aún más difícil para los piratas informáticos ingresar y crear su propia cuenta. Además, si aún no lo ha hecho, establezca un horario para la actualización regular de contraseñas, como una vez cada 30, 60 o 90 días.
Establecer un límite en los intentos de inicio de sesión
El valor predeterminado de WordPress es permitir que los usuarios intenten iniciar sesión un número ilimitado de veces. Sin embargo, esto deja su sitio vulnerable a los piratas informáticos que intentan encontrar su contraseña probando numerosas combinaciones. Puede usar un complemento dedicado como Wordfence, vinculado anteriormente, para establecer un límite en los intentos de inicio de sesión, pero el firewall de su aplicación web (más sobre eso en un momento) puede venir de serie con esta función.
Limite el acceso a su sitio
Cuanto más grande sea su equipo, más difícil será limitar quién tiene acceso a su sitio. Sin embargo, cuantas menos personas, mejor, porque reduce el riesgo de violaciones de seguridad accidentales o intencionadas. Revise su lista de cuentas de administrador (vaya a Usuarios en la barra lateral del Panel de control) para ver si hay alguna que ya no sea parte del equipo, que no necesite acceso a WordPress o deba tener menos acceso a su sitio. Además, tenga en cuenta los usuarios que no reconoce.
Antes de eliminar a un usuario que no reconoce, consulte con los titulares de su cuenta para ver si actualizaron los detalles de su cuenta; es posible que un usuario sea un administrador real, pero ha realizado un cambio que no reconoce. En este punto, también limpie su lista de usuarios para eliminar a cualquier persona que ya no sea parte de su sitio web y / o que no debería tener acceso. Haga clic en la casilla de verificación junto a cualquier usuario que desee eliminar, luego cambie el menú desplegable Acciones masivas a Eliminar. O, para eliminar un solo usuario, haga clic en el enlace Eliminar debajo de su nombre de usuario.
Configurar un temporizador de cierre de sesión para usuarios inactivos
Si tiene muchas personas que tienen acceso a su sitio, considere usar un complemento dedicado que los cerrará automáticamente cuando estén inactivos. Si el usuario se aleja de su computadora mientras aún está conectado a su sitio, cualquiera puede hacer cambios en su cuenta de WordPress. Un complemento, como el cierre de sesión inactivo gratuito , le permitirá establecer la duración para decidir cuánto tiempo un usuario puede estar inactivo antes de que cierre la sesión automáticamente. También puede escribir un mensaje que aparecerá en la pantalla justo antes de que el usuario cierre la sesión; de esa manera, si todavía está frente a su computadora, puede optar por permanecer conectado.
Refuerce su sitio con protección del lado del servidor
Cuando puede tener protección en el lado del servidor de su sitio, los piratas informáticos tendrán aún más dificultades para ingresar . Al agregar una capa adicional de protección a su wp-admin , protege su pantalla de inicio de sesión, el área de administración de WordPress y los archivos. La mejor manera de hacer esto es usando HTTPS SSL, que es una conexión encriptada, para proteger su wp-admin . Consulte con su anfitrión para ver si ofrecen este nivel de seguridad.
Utilice un firewall de aplicaciones web
Una de las mejores formas de mantener su sitio seguro es mediante el uso de un firewall de aplicaciones web (WAF). Básicamente, un WAF mantendrá el tráfico malicioso alejado de su sitio. Hay dos opciones:
Cortafuegos de nivel DNS: este tipo de cortafuegos enviará tráfico a través de sus propios servidores proxy en la nube. El único tráfico que llegará hasta su sitio será tráfico de calidad y no malicioso.
Cortafuegos a nivel de aplicación: cuando usa un complemento para que funcione como WAF, el tráfico llegará a su servidor, pero el complemento lo comprobará antes de cargar los scripts.
Si bien un firewall a nivel de aplicación es mejor que nada, un firewall a nivel de DNS es la opción más segura de las dos. Los complementos populares como Wordfence , servicios como Cloudflare y hosts seguros como Convesio ofrecen esto.
Instale solo complementos y temas actualizados y confiables
Si tiene complementos o temas desactualizados o anulados, su sitio web de WordPress es vulnerable a un pirateo. “Nulled” se refiere a complementos y temas premium que deben pagarse (cuando se compran en la fuente correcta), pero que en cambio se ofrecen de forma gratuita en otro sitio. Estos elementos están destinados a recopilar información o, peor aún, dañar su sitio.
Nunca use un complemento o tema de una fuente en la que no confíe. Seleccione el suyo de la biblioteca de WordPress o asegúrese de leer muchas reseñas si va con una fuente externa. Además, cualquier complemento que elija debe probarse y ser compatible con su versión de WordPress.
La razón por la que los complementos y temas deben actualizarse es que esas actualizaciones incluyen funciones de seguridad y parches. Si no tiene la última versión, no tiene las últimas medidas de seguridad. Manténgase actualizado utilizando siempre las últimas versiones de complementos y temas de buena reputación. Si elige el proveedor de alojamiento adecuado, ejecutarán estas actualizaciones por usted.
Deshacerse de las instalaciones no utilizadas
Si ha desactivado complementos y temas que no necesitará, elimínelos. Lo mismo ocurre con los archivos innecesarios, las instalaciones de WordPress y las bases de datos: deshágase de ellos. Cuantos más datos haya en WordPress, más vulnerable será su sitio, especialmente cuando se trata de instalaciones antiguas de WordPress que no estarán actualizadas.
Eliminar archivos no deseados
Necesita descubrir cualquier archivo que no pertenezca allí y luego eliminarlo. Para hacer esto, es posible que deba instalar un complemento de seguridad, como los que se muestran a continuación. Las opciones populares son Wordfence, Defender y MalCare . Estos tipos de complementos pueden escanear su sitio y alertarlo sobre cualquier cosa que no pertenezca.
Imagen de complementos de seguridad
Sin embargo, tenga en cuenta que un proveedor de alojamiento web de calidad lo hará automáticamente, lo que significa que no tendrá que preocuparse por instalar un complemento, escanear con regularidad o eliminar archivos problemáticos. Y si cree que su sitio necesita un escaneo manual en este momento, puede comunicarse con su anfitrión para que se encargue de eso también.
Ejecute copias de seguridad y análisis regulares
Realice una copia de seguridad de su sitio de WordPress con regularidad (una vez al día o más) y asegúrese de incluir la base de datos, los archivos multimedia y los archivos de plugins y temas en cada copia de seguridad. Además, ejecute un escaneo de integridad de archivos y malware con regularidad para localizar cualquier archivo malicioso que pueda estar en su servidor. Hay varios complementos de seguridad de WordPress que puede utilizar para automatizar este proceso. Sin embargo, tenga en cuenta que los análisis no eliminan el malware, solo le permiten saber que está presente. Aún tendrá que deshacerse del malware usted mismo (o dejar que su host lo maneje).
También debe buscar regularmente malware, spyware y virus en su computadora . No importa qué tan seguro sea su sitio web, si su computadora no es segura, por ejemplo, si tiene un registrador de teclas, su sitio web está en riesgo.
Supervisar cambios en sus archivos
Cada vez que ocurre un ataque, hay algún rastro que deja atrás; puede haber evidencia del ataque en los registros o en los archivos, por ejemplo. Debe estar monitoreando sus archivos todo el tiempo y debe haber alertas configuradas para que sepa cada vez que se realiza un cambio. De esa manera, si ocurre un cambio que no conocía de antemano, puede evaluar rápidamente si se debe a una brecha de seguridad o no. Algunos de los complementos mencionados anteriormente, como Defender , pueden encargarse de esto por usted.
Limpia regularmente tu base de datos
Cuando limpia su base de datos, se deshace de los datos adicionales e innecesarios que su sitio ha acumulado a lo largo del tiempo, como spam y comentarios basura, configuraciones para temas que ya no usa, etc. Cuantos menos datos inútiles haya en su base de datos, más rápido su sitio se ejecutará. Además, si recibió una alerta de su complemento de seguridad o proveedor de que su base de datos ha sido pirateada, este paso es necesario. Hay varios complementos para elegir en el directorio de WordPress: WP Optimize es la opción dedicada más popular, o puede considerar WP-Sweep. Alternativamente, puede trabajar con un host que se encargue de la limpieza periódica de la base de datos por usted.
Elija un servidor web seguro
Cuando se asocia con una empresa de alojamiento insegura y poco confiable, se enfrenta a una serie de problemas, incluida la incapacidad de escalar, demasiado tiempo de inactividad del servidor y puntos únicos de falla. Debería poder escalar su sitio cuando el tráfico aumenta sin preocuparse de que se bloquee, caiga o se vuelva más vulnerable a las violaciones de seguridad. Aquí hay otra consideración: el mejor alojamiento aísla cada sitio web para que un sitio comprometido no afecte a los demás.
Si se conforma con un paquete de alojamiento económico y de baja calidad, estará compartiendo un servidor con cientos de otros clientes. Como resultado, su sitio se ralentizará. Además, todos esos otros sitios plantean riesgos de seguridad para su sitio: cuantos más sitios estén abarrotados en un servidor, más inseguridades hay. Además, un host «económico» probablemente no controlará su sitio de cerca ni sabrá si ha habido un ataque.
La mayoría de las empresas de alojamiento ofrecen algún tipo de servicio de seguridad, pero allí donde termina su función, comienza la suya, y si no tiene idea de cómo administrar o proteger un sitio web, el suyo podría quedar muy vulnerable. Trabaje con un host que ofrecerá una variedad de funciones de seguridad y supervisión y gestión las 24 horas.
Esté abierto a responder cualquiera de sus preguntas sobre seguridad, incluidas las explicaciones de las funciones que ofrecen y sus procesos.
Ofrezca la versión estable más reciente del software.
Realice copias de seguridad de su sitio web con regularidad y, al mismo tiempo, ofrezca procesos fiables de recuperación en caso de que algo salga mal.
Dos medidas de seguridad estándar que todo sitio debería tener es configurar un firewall y agregar SSL para mayor seguridad. Puede usar complementos para estos dos elementos imprescindibles, pero para mantener su sitio optimizado, es mejor si encuentra un host que incluya estas características en su plan estándar.
Aquí hay dos consideraciones más importantes al elegir un servidor web:
No use un servidor compartido. Nunca debe elegir un host que coloque su sitio en un servidor compartido. Cuando está en un servidor compartido, ese servidor aloja su sitio junto con muchos otros. Si un sitio está comprometido, el suyo también está en riesgo.
Utilice cifrado SFTP. Su proveedor de alojamiento web debe ofrecer cifrado SFTP, lo que significa que sus datos y contraseña están cifrados cuando se conecta a su servidor. Incluso si hay un pirata informático presente, no podrá ver su contraseña, ya que estará oculta cuando se transporte entre su computadora y su sitio web.
Configurar medidas de seguridad recurrentes
Al agregar un complemento de seguridad a su sitio de WordPress, se le notificará de la actividad sospechosa tan pronto como ocurra. Por ejemplo, si alguien intenta un inicio de sesión no autorizado o agrega un archivo, puede recibir una notificación. El complemento debe proporcionar una advertencia que comunique claramente cuál es el problema para que sepa los próximos pasos a seguir.
Alternativamente, puede trabajar con un proveedor de servicios de seguridad que supervisará su sitio y solucionará los problemas que ocurran. Sin embargo, esta es una opción costosa, pero la seguridad no debería ser una opción para la mayoría de los propietarios de sitios; necesita que su sitio de WordPress sea seguro. El alojamiento de WordPress de calidad debe tener un monitoreo de seguridad 24/7 incorporado para que no tenga que contratar a otro proveedor de servicios solo para mantener su sitio en funcionamiento.
Cómo priorizar la seguridad de WordPress con su servidor web
Es mejor asociarse siempre con proveedores que utilizan servicios de seguridad de primer nivel. Por ejemplo, Patchman es una solución a nivel de servidor que detecta y corrige vulnerabilidades y malware. Lo hace todo mientras se ejecuta en segundo plano: los clientes no tienen que instalarlo ni configurarlo, ni siquiera vigilarlo para su mantenimiento. Cuando Patchman detecta una corrección de seguridad en una nueva versión, retrocede la corrección para aplicarla a todas las versiones anteriores.
Aquí hay otro ejemplo: el motor de análisis de comportamiento de Human Presence detecta y elimina el 99% del spam de bots maliciosos. Los visitantes del sitio web no pueden ver que está funcionando, pero continúa protegiendo los análisis, los comentarios, los formularios y las revisiones, y también evita que el contenido y los datos se eliminen de su sitio.
Cuando elige el alojamiento web los servicios de seguridad vienen de serie. Por ejemplo, la funcionalidad de seguridad empresarial de Cloudflare es una buena forma de proteger su sitio de WordPress, pero generalmente cuesta más por mes. Con el alojamiento de próxima generación, obtienes esto listo para usar.
Estas otras características de seguridad también son muy importantes. Con muchos paquetes de alojamiento, tendría que comprar estos beneficios de seguridad por separado; ahora, puede incluirlos en su paquete estándar:
Reglas de firewall avanzadas.
- Conjunto de reglas administradas avanzadas.
- Parcheo automatizado de malware.
- Parcheo automatizado de vulnerabilidades.
- Comentar y formar protección contra spam.
- Mitigación de DDoS empresarial.
- Detección de bot de presencia humana.
- Detección inteligente de amenazas.
- Conjuntos de reglas centrales de OWASP.
- Limitación de la tasa.
- Protección contra amenazas basada en la reputación.
- Encuentre un alojamiento web en el que confíe
Confiar en el alojamiento seguro de WordPress es imprescindible para agencias, desarrolladores, autónomos y cualquier propietario de un sitio web que necesite que su sitio esté listo y funcionando sin contratiempos. El alojamiento de servicio completo significa que puede confiar en que su proveedor observará su sitio web de cerca, se enterará tan pronto como haya un problema y lo solucione, todo sin su participación. Estas son solo algunas de las características que debe buscar en un servidor web seguro:
- HTTPS
- PHP más reciente
- Navegación de directorio deshabilitada
- Seguridad de base de datos reforzada
- Cifrado
- Escala a demanda (lo que también evita costos innecesarios)
- Aislamiento del sitio y seguridad del contenedor
Terminando
Un sitio web seguro no es uno que nunca tendrá problemas relacionados con la seguridad; sería imposible prometer eso . En cambio, un sitio web seguro es aquel en el que se realizan tantas reducciones de riesgos de seguridad como sea posible. Cuanto más fuerte y seguro sea su sitio web, menos vulnerable será a los ataques.
Algunas medidas de seguridad para evitar que su sitio sea pirateado WordPress son obvias y fáciles de manejar por su cuenta, como crear contraseñas seguras y optar solo por complementos y temas de buena reputación. Sin embargo, otros son más difíciles de administrar, especialmente si está a cargo de numerosos sitios web para clientes.
Nadie quiere lidiar con el problema de un hack de WordPress. Su sitio dejará de estar disponible para los visitantes y su negocio puede verse afectado, y cuanto más tiempo esté inaccesible su sitio, mayor será el impacto general. Es necesario actuar rápidamente.