La guía definitiva de seguridad de WordPress – Paso a paso (2020)

seguridad wordpress

La seguridad de WordPress es un tema de enorme importancia para todo propietario de un sitio web. Si te tomas en serio tu sitio web, entonces debes prestar atención a las mejores prácticas de seguridad de WordPress. En esta guía, compartiremos los principales consejos de seguridad de WordPress para ayudarte a proteger tu sitio web contra los hackers y el malware.

¿Por qué la seguridad del sitio web es importante?

Un sitio de WordPress pirateado puede causar graves daños a los ingresos y a la reputación de tu empresa. Los hackers pueden robar la información de los usuarios, las contraseñas, instalar software malicioso e incluso distribuir malware a tus usuarios.

Lo peor de todo es que puede encontrarse pagando rescates a los hackers sólo para recuperar el acceso a su sitio web.

Además, Google pone en la lista negra de Google alrededor de 20.000 sitios web para el malware y alrededor de 50.000 para el phishing cada semana.

Si su sitio web es un negocio, entonces debe prestar especial atención a la seguridad de WordPress.

De manera similar a como es la responsabilidad de los propietarios de negocios proteger el edificio de su tienda física, como propietario de un negocio en línea es su responsabilidad proteger el sitio web de su negocio.

Mantener actualizado WordPress

WordPress es un software de código abierto que se mantiene y actualiza regularmente. De forma predeterminada, WordPress instala automáticamente actualizaciones menores. Para las versiones mayores, es necesario iniciar manualmente la actualización.

WordPress también viene con miles de plugins y temas que puedes instalar en tu sitio web. Estos plugins y temas son mantenidos por desarrolladores externos que también publican actualizaciones regularmente.

Estas actualizaciones de WordPress son cruciales para la seguridad y la estabilidad de tu sitio de WordPress. Debes asegurarte de que el núcleo, los plugins y el tema de WordPress estén actualizados.

Contraseñas seguras y permisos de usuario

Los intentos de hacking de WordPress más comunes usan contraseñas robadas. Puedes dificultar esto usando contraseñas más fuertes que son únicas para tu sitio web. No sólo para el área de administración de WordPress, sino también para las cuentas de FTP, la base de datos, la cuenta de alojamiento de WordPress y las direcciones de correo electrónico personalizadas que utilizan el nombre de dominio de tu sitio.

A muchos principiantes no les gusta usar contraseñas fuertes porque son difíciles de recordar. Lo bueno es que ya no necesitas recordar las contraseñas. Puedes utilizar un administrador de contraseñas. Consulta nuestra guía sobre cómo administrar las contraseñas de WordPress.

Otra forma de reducir el riesgo es no dar a nadie acceso a tu cuenta de administrador de WordPress a menos que sea absolutamente necesario. Si tienes un equipo grande o autores invitados, asegúrate de que entiendes los roles de usuario y las capacidades de WordPress antes de añadir nuevas cuentas de usuario y autores a tu sitio de WordPress.

El papel del alojamiento de WordPress

El servicio de alojamiento de WordPress juega el papel más importante en la seguridad de su sitio WordPress. Un buen proveedor de alojamiento compartido como Bluehost o Siteground toma las medidas adicionales para proteger sus servidores contra las amenazas comunes.

A continuación te explicamos cómo funciona una buena empresa de alojamiento web en segundo plano para proteger tus sitios web y tus datos.

  • Ellos monitorean continuamente su red para detectar actividades sospechosas.
  • Todas las buenas compañías de hospedaje tienen herramientas para prevenir ataques DDOS a gran escala
  • Mantienen el software y el hardware de sus servidores actualizados para evitar que los hackers exploten una vulnerabilidad de seguridad conocida en una versión antigua.
  • Tienen listos para desplegar planes de recuperación de desastres y accidentes que les permiten proteger sus datos en caso de un accidente grave.

En un plan de alojamiento compartido, se comparten los recursos del servidor con muchos otros clientes. Esto abre el riesgo de contaminación cruzada donde un hacker puede usar un sitio vecino para atacar su sitio web.

El uso de un servicio de alojamiento administrado de WordPress proporciona una plataforma más segura para su sitio web. Las empresas de alojamiento administrado de WordPress ofrecen copias de seguridad automáticas, actualizaciones automáticas de WordPress y configuraciones de seguridad más avanzadas para proteger su sitio web.

Seguridad de WordPress en pasos fáciles

Sabemos que mejorar la seguridad de WordPress puede ser un pensamiento aterrador para los principiantes. Especialmente si no eres un experto. Adivina qué… no estás solo.

Hemos ayudado a miles de usuarios de WordPress en el endurecimiento de la seguridad de WordPress.

Te mostraremos cómo puedes mejorar la seguridad de WordPress con sólo unos pocos clics (sin necesidad de codificación).

Si puedes apuntar y hacer clic, ¡puedes hacerlo!

Instalar una solución de copia de seguridad de WordPress

Las copias de seguridad son tu primera defensa contra cualquier ataque de WordPress. Recuerda, nada es 100% seguro. Si los sitios web del gobierno pueden ser hackeados, también lo pueden ser los tuyos.

Las copias de seguridad te permiten restaurar rápidamente tu sitio de WordPress en caso de que algo malo ocurriera.

Hay muchos plugins de copia de seguridad de WordPress gratuitos y de pago que puedes utilizar. Lo más importante que debes saber cuando se trata de copias de seguridad es que debes guardar regularmente copias de seguridad completas del sitio en una ubicación remota (no tu cuenta de alojamiento).

Recomendamos almacenarlo en un servicio en la nube como Amazon, Dropbox, o en nubes privadas como Stash.

En función de la frecuencia con la que actualice su sitio web, la configuración ideal podría ser una vez al día o copias de seguridad en tiempo real.

Afortunadamente, esto puede hacerse fácilmente usando plugins como VaultPress o UpdraftPlus. Ambos son confiables y lo más importante, fáciles de usar (no es necesario codificarlos).

El mejor plugin de seguridad de WordPress

Después de las copias de seguridad, lo siguiente que necesitamos hacer es configurar un sistema de auditoría y monitoreo que mantenga un registro de todo lo que sucede en su sitio web.

Esto incluye el monitoreo de la integridad de los archivos, intentos fallidos de ingreso, escaneo de malware, etc.

Afortunadamente, todo esto puede ser atendido por el mejor plugin de seguridad gratuito de WordPress, Sucuri Scanner.

Necesitas instalar y activar el plugin de seguridad gratuito de Sucuri. Para más detalles, por favor vea nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.

Una vez activado, debes ir al menú Sucuri en tu administrador de WordPress. Lo primero que se te pedirá es que generes una clave de API gratuita. Esto permite el registro de auditoría, la comprobación de integridad, las alertas por correo electrónico y otras características importantes.

Lo siguiente que tienes que hacer es hacer clic en la pestaña “Endurecimiento” del menú de configuración. Pasa por todas las opciones y haz clic en el botón “Aplicar endurecimiento”.

Estas opciones te ayudan a bloquear las áreas clave que los hackers utilizan a menudo en sus ataques. La única opción de endurecimiento que es una actualización pagada es el Web Application Firewall que explicaremos en el siguiente paso, así que sáltatelo por ahora.

También hemos cubierto muchas de estas opciones de “Endurecimiento” más adelante en este artículo para aquellos que quieren hacerlo sin usar un plugin o los que requieren pasos adicionales como “Cambio de Prefijo de Base de Datos” o “Cambio del Nombre de Usuario del Administrador”.

Después de la parte de endurecimiento, la configuración del plugin por defecto es lo suficientemente buena para la mayoría de los sitios web y no necesita ningún cambio. Lo único que recomendamos personalizar es “Alertas de correo electrónico”.

La configuración predeterminada de las alertas puede llenar tu bandeja de entrada con correos electrónicos. Recomendamos recibir alertas para acciones clave como cambios en los plugins, registro de nuevos usuarios, etc. Puedes configurar las alertas yendo a Configuración de Sucuri ” Alertas.

Este plugin de seguridad de WordPress es muy potente, así que navega por todas las pestañas y configuraciones para ver todo lo que hace, como el escaneo de malware, los registros de auditoría, el seguimiento de intentos fallidos de inicio de sesión, etc.

Habilitar el cortafuegos de aplicaciones web (WAF)

La forma más fácil de proteger su sitio y tener confianza en la seguridad de WordPress es usando un cortafuegos de aplicación web (WAF).

Un cortafuegos de sitio web bloquea todo el tráfico malicioso antes de que llegue a tu sitio web.

DNS Level Website Firewall

Estos cortafuegos dirigen el tráfico de su sitio web a través de sus servidores proxy en la nube. Esto les permite enviar solamente tráfico genuino a su servidor web.

Cortafuegos a nivel de aplicación

Estos plugins de cortafuegos examinan el tráfico una vez que llega a su servidor pero antes de cargar la mayoría de los scripts de WordPress. Este método no es tan eficiente como el firewall a nivel de DNS para reducir la carga del servidor.

Mueve tu sitio de WordPress a SSL/HTTPS

SSL (Secure Sockets Layer) es un protocolo que encripta la transferencia de datos entre su sitio web y el navegador del usuario. Esta encriptación hace que sea más difícil para alguien husmear y robar información.

Una vez que habilite el SSL, su sitio web utilizará HTTPS en lugar de HTTP, también verá un signo de candado junto a la dirección de su sitio web en el navegador.

Los certificados SSL suelen ser emitidos por autoridades de certificación, y sus precios empiezan desde 80 a cientos de dólares cada año. Debido al costo adicional, la mayoría de los propietarios de sitios web optaron por seguir utilizando el protocolo inseguro.

Para solucionar esto, una organización sin fines de lucro llamada Let’s Encrypt decidió ofrecer certificados SSL gratuitos a los propietarios de sitios web. Su proyecto es apoyado por Google Chrome, Facebook, Mozilla, y muchas más compañías.

Ahora, es más fácil que nunca empezar a usar SSL para todos sus sitios web de WordPress. Muchas empresas de alojamiento ofrecen ahora un certificado SSL gratuito para tu sitio web de WordPress.

Si tu empresa de hospedaje no ofrece uno, entonces puedes comprar uno en Domain.com. Tienen el mejor y más fiable acuerdo de SSL del mercado. Viene con una garantía de seguridad de 10.000 dólares y un sello de seguridad TrustLogo.

Seguridad de WordPress para usuarios DIY

Si haces todo lo que hemos mencionado hasta ahora, entonces estás en muy buena forma.

Pero como siempre, hay más que puedes hacer para endurecer la seguridad de WordPress.

Algunos de estos pasos pueden requerir conocimientos de codificación.

Cambiar el nombre de usuario “admin” predeterminado

En los viejos tiempos, el nombre de usuario predeterminado del administrador de WordPress era “admin”. Como los nombres de usuario constituyen la mitad de las credenciales de inicio de sesión, esto facilitaba a los hackers los ataques de fuerza bruta.

Afortunadamente, WordPress ha cambiado esto y ahora requiere que selecciones un nombre de usuario personalizado al momento de instalar WordPress.

Sin embargo, algunos instaladores de WordPress de un solo clic, siguen estableciendo el nombre de usuario administrador predeterminado como “admin”. Si notas que ese es el caso, entonces es probablemente una buena idea cambiar tu alojamiento web.

Desactivar la edición de archivos

WordPress viene con un editor de código incorporado que te permite editar tu tema y los archivos de los plugins directamente desde el área de administración de WordPress. En las manos equivocadas, esta característica puede ser un riesgo de seguridad, por lo que recomendamos desactivarla.

Puedes hacerlo fácilmente añadiendo el siguiente código en tu archivo wp-config.php.

// No permitir la edición del archivo
define( ‘DISALLOW_FILE_EDIT’, true );

Alternativamente, puede hacer esto con 1 click usando la característica de Hardening en el plugin gratuito de Sucuri que mencionamos anteriormente.

Deshabilitar la ejecución de archivos PHP en ciertos directorios de WordPress

Otra forma de reforzar la seguridad de WordPress es deshabilitar la ejecución de archivos PHP en directorios donde no se necesitan como /wp-content/uploads/.

Puedes hacerlo abriendo un editor de texto como el Bloc de Notas y pegar este código:

<Archivos *.php>
negar de todos
<Archivos>

A continuación, tienes que guardar este archivo como .htaccess y subirlo a las carpetas /wp-content/uploads/ de tu sitio web usando un cliente FTP.

Alternativamente, puedes hacer esto con un solo clic usando la característica de Hardening en el plugin gratuito de Sucuri que mencionamos anteriormente.

Limitar los intentos de acceso

De forma predeterminada, WordPress permite a los usuarios intentar iniciar sesión tantas veces como quieran. Esto deja a su sitio de WordPress vulnerable a los ataques de fuerza bruta. Los hackers intentan descifrar las contraseñas intentando iniciar sesión con diferentes combinaciones.

Esto se puede arreglar fácilmente limitando los intentos fallidos de inicio de sesión que puede hacer un usuario. Si estás usando el cortafuegos de aplicaciones web mencionado anteriormente, entonces esto se soluciona automáticamente.

Sin embargo, si no tienes la configuración del firewall, sigue los pasos que se indican a continuación.

Primero, debes instalar y activar el complemento Login LockDown. Para obtener más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.

Una vez activado, visita la página Configuración ” Login LockDown para configurar el plugin.

Añadir autenticación de dos factores

La técnica de autenticación de dos factores requiere que los usuarios se conecten mediante un método de autenticación de dos pasos. El primero es el nombre de usuario y la contraseña, y el segundo paso requiere que se autentique utilizando un dispositivo o aplicación independiente.

La mayoría de los principales sitios web en línea como Google, Facebook, Twitter, le permiten habilitarlo para sus cuentas. También puedes agregar la misma funcionalidad a tu sitio de WordPress.

Primero, necesitas instalar y activar el plugin de Autenticación de Dos Factores. Una vez activado, necesitas hacer clic en el enlace “Two Factor Auth” en la barra lateral de administración de WordPress.

A continuación, debes instalar y abrir una aplicación de autenticación en tu teléfono. Hay varios disponibles como Google Authenticator, Authy y LastPass Authenticator.

Recomendamos usar LastPass Authenticator o Authy porque ambos te permiten hacer una copia de seguridad de tus cuentas en la nube. Esto es muy útil en caso de que se pierda el teléfono, se restablezca o se compre uno nuevo. Todos los inicios de sesión de su cuenta serán fácilmente restaurados.

Usaremos el Autentificador LastPass para el tutorial. Sin embargo, las instrucciones son similares para todas las aplicaciones de autenticación. Abre tu aplicación de autenticación y luego haz clic en el botón Agregar.

Se le preguntará si desea escanear un sitio manualmente o escanear el código de barras. Selecciona la opción de escanear el código de barras y luego apunta la cámara de tu teléfono al código QRcode que aparece en la página de configuración del plugin.

Eso es todo, tu aplicación de autenticación ahora lo guardará. La próxima vez que inicies sesión en tu sitio web, se te pedirá el código de autenticación de dos factores después de que introduzcas tu contraseña.

Introduce tu código de autenticación de dos factores
Simplemente abre la aplicación de autenticación de tu teléfono e introduce el código que ves en él.

Cambiar el prefijo de la base de datos de WordPress

De forma predeterminada, WordPress utiliza wp_ como prefijo para todas las tablas de su base de datos de WordPress. Si tu sitio de WordPress utiliza el prefijo de la base de datos predeterminado, entonces facilita a los hackers adivinar el nombre de tu tabla. Por eso te recomendamos que lo cambies.

Puedes cambiar el prefijo de tu base de datos siguiendo nuestro tutorial paso a paso sobre cómo cambiar el prefijo de la base de datos de WordPress para mejorar la seguridad.

Nota: Esto puede romper tu sitio si no se hace correctamente. Sólo procede, si te sientes cómodo con tus habilidades de codificación.

Proteger con contraseña la página de administración e inicio de sesión de WordPress

Normalmente, los hackers pueden solicitar la carpeta wp-admin y la página de acceso sin ninguna restricción. Esto les permite probar sus trucos de hacking o ejecutar ataques DDoS.

Puede añadir una protección adicional con contraseña a nivel de servidor, lo que bloqueará eficazmente esas solicitudes.

Desactivar la indexación y la navegación de directorios

La navegación por directorios puede ser utilizada por los hackers para averiguar si tienes algún archivo con vulnerabilidades conocidas, para que puedan aprovecharse de estos archivos para obtener acceso.

La navegación por directorios también puede ser usada por otras personas para mirar en sus archivos, copiar imágenes, averiguar su estructura de directorios y otra información. Por eso se recomienda encarecidamente desactivar la indexación y la navegación de directorios.

Necesitas conectarte a tu sitio web usando el FTP o el administrador de archivos de cPanel. A continuación, localiza el archivo .htaccess en el directorio raíz de tu sitio web. Si no puedes verlo allí, consulta nuestra guía sobre por qué no puedes ver el archivo .htaccess en WordPress.

Después de eso, debes agregar la siguiente línea al final del archivo .htaccess:

No te olvides de guardar y subir el archivo .htaccess a tu sitio. Para obtener más información sobre este tema, consulta nuestro artículo sobre cómo desactivar la navegación de directorios en WordPress.

Deshabilitar XML-RPC en WordPress

XML-RPC fue habilitado de forma predeterminada en WordPress 3.5 porque ayuda a conectar tu sitio de WordPress con aplicaciones web y móviles.

Debido a su poderosa naturaleza, XML-RPC puede amplificar significativamente los ataques de fuerza bruta.

Por ejemplo, tradicionalmente, si un hacker quisiera probar 500 contraseñas diferentes en su sitio web, tendría que hacer 500 intentos de inicio de sesión distintos que serán capturados y bloqueados por el plugin de bloqueo de inicio de sesión.

Pero con XML-RPC, un hacker puede usar la función system.multicall para probar miles de contraseñas con, por ejemplo, 20 o 50 peticiones.

Por eso, si no usas XML-RPC, te recomendamos que lo deshabilites.

Hay 3 formas de deshabilitar XML-RPC en WordPress, y las hemos cubierto todas en nuestro tutorial paso a paso sobre cómo deshabilitar XML-RPC en WordPress.

Si utilizas el cortafuegos de aplicaciones web mencionado anteriormente, el cortafuegos puede encargarse de esto.

Cerrar la sesión automáticamente de los usuarios inactivos en WordPress

Los usuarios registrados pueden a veces alejarse de la pantalla, lo que supone un riesgo para la seguridad. Alguien puede secuestrar su sesión, cambiar las contraseñas o hacer cambios en su cuenta.

Por eso, muchos sitios bancarios y financieros cierran la sesión automáticamente de un usuario inactivo. También puedes implementar una funcionalidad similar en tu sitio de WordPress.

Necesitarás instalar y activar el plugin de cierre de sesión inactivo. Una vez activado, visita la página Configuración ” Cierre de sesión inactivo para configurar los ajustes del plugin.

Simplemente establezca la duración del tiempo y añada un mensaje de cierre de sesión. No olvides hacer clic en el botón de guardar cambios para almacenar tu configuración.

Puedes añadir preguntas de seguridad instalando el plugin de preguntas de seguridad de WP. Una vez activado, debes visitar la página Configuración ” Preguntas de seguridad para configurar la configuración del plugin.

Escanear WordPress en busca de malware y vulnerabilidades

Si tienes instalado un plugin de seguridad de WordPress, entonces esos plugins comprobarán rutinariamente si hay malware y señales de brechas de seguridad.

Sin embargo, si observa una caída repentina del tráfico del sitio web o de las clasificaciones de las búsquedas, es posible que desee ejecutar manualmente un análisis. Puedes utilizar el complemento de seguridad de WordPress o utilizar uno de estos programas de software malicioso y escáneres de seguridad.

Ejecutar estos análisis en línea es bastante sencillo: sólo tienes que introducir las URL de tu sitio web y sus rastreadores recorren tu sitio web para buscar malware y código malicioso conocidos.

Ahora ten en cuenta que la mayoría de los escáneres de seguridad de WordPress sólo pueden escanear tu sitio web. No pueden eliminar el malware ni limpiar un sitio de WordPress pirateado.

Cómo arreglar un sitio de WordPress pirateado

Muchos usuarios de WordPress no se dan cuenta de la importancia de las copias de seguridad y la seguridad del sitio web hasta que su sitio web es hackeado.

Limpiar un sitio de WordPress puede ser muy difícil y llevar mucho tiempo. Nuestro primer consejo sería dejar que un profesional se encargue de ello.

Los hackers instalan puertas traseras en los sitios afectados, y si estas puertas traseras no se arreglan correctamente, entonces su sitio web probablemente será hackeado de nuevo.

Permitir que una compañía de seguridad profesional como Sucuri arregle su sitio web asegurará que su sitio sea seguro para ser usado de nuevo. También le protegerá contra cualquier ataque futuro.

Para los aventureros y usuarios DIY, hemos compilado una guía paso a paso para arreglar un sitio de WordPress pirateado.

Eso es todo, esperamos que este artículo te haya ayudado a aprender las mejores prácticas de seguridad de WordPress así como a descubrir los mejores plugins de seguridad de WordPress para tu sitio web.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *