Todas las plataformas, ya sean privadas o opensource, pueden recibir ataques las 24 horas del día.
Hoy hablaremos sobre cómo puedes reducir el riesgo en tu página web de WordPress, y para ello lo vamos a dividir en 9 Consejos para mejorar la seguridad en WordPress.
Índice ¿Qué vamos a ver?
1. Añadir un certificado HTTPS/SSL
A día de hoy, la mayoría de los sitios están usando HTTPS. Pero si tu sitio todavía no lo hace, consulta con tu proveedor de alojamiento web sobre la adición de un certificado SSL gratuito. Muchoshostings ofrecen certificados SSL gratuitos; además, es un conocido factor de clasificación en Google.
Si tu sitio se está actualizando de un estado inseguro a uno seguro, entonces merece la pena echar un vistazo al plugin Really Simple SSL (utilizado por más de 5 millones de sitios web), ya que realmente simplifica la conversión a HTTPS gestionando las redirecciones y otras tareas relacionadas.
Really Simple SSL también ayuda a mitigar amenazas de seguridad como el clickjacking y otros ataques al ofrecer la opciónes de seguridad.
Ten en cuenta que después de convertir a HTTPS, es una buena idea comprobar que ninguna página solicita enlaces o contenido HTTP. Esto es lo que se conoce como contenido mixto. Se habla de contenido mixto cuando se enlaza a links inseguros (HTTP) del sitio web desde páginas HTTPS. Independientemente del caso hay que identificar rápidamente los casos de contenido mixto y, a continuación, corregir los errores enlazando a páginas HTTPS.
2. Utiliza un nombre de administrador seguro
Un número abrumador de ataques de seguridad se hacen mediante la pantalla de inicio de sesión de WordPress y se realizan con el nombre de usuario «admin».
Hay dos tipos principales de ataques que intentan descifrar la contraseña de inicio de sesión:
- Fuerza bruta.
- Ataque de diccionario.
El ataque de fuerza bruta es cuando el software de hacking automatizado intenta adivinar la contraseña de admin utilizando diferentes combinaciones de palabras, letras y números.
Un ataque de diccionario es cuando el software de hacking utiliza contraseñas comunes para intentar adivinar la contraseña de inicio de sesión de admin.
En muchos casos, el nombre de usuario de administrador que utiliza este software es «admin». No usar la palabra «Admin» como nombre de usuario es un simple paso que ayudará a asegurar un sitio WordPress.
Para ir un paso más allá, puedes crear una regla de firewall con el plugin de seguridad Wordfence para bloquear automáticamente a cualquier humano o bot que intente iniciar sesión con el nombre de usuario admin.
Otra buena práctica es la de evitar la típica dirección de login alojada en /wp-admin/ esto lo podemos modificar utilizando plugins como WPS Hide Login.
3. Utiliza contraseñas seguras
No permitas que nadie, especialmente los usuarios con privilegios de administrador, creen una contraseña que no sea segura.
Parece algo lógico pero te sorprenderías la cantidad de contraseñas que son: «admin» o «1234» o «qwerty»
Incluso los usuarios con pocos privilegios en el sitio web, como el nivel de suscriptor, pueden convertirse en un punto fácil de ataque. Por lo tanto, es importante imponer contraseñas seguras a todos los que puedan iniciar sesión en el sitio de WordPress.
El popular plugin iThemes Security WordPress, con más de 1 millón de usuarios, ofrece la posibilidad de reforzar las contraseñas de inicio de sesión, así como la autenticación de dos factores. También se puede habilitar una política de seguridad de contraseñas que imponga contraseñas seguras mediante el plugin de seguridad Wordfence WordPress.
4. Actualizar plugins y temas
Algunas actualizaciones de plugins, temas y el núcleo de la instalación de WordPress sirven para corregir (parchear) vulnerabilidades. Si no se actualiza el software, el sitio puede volverse vulnerable.
La mayoría de las actualizaciones funcionan bien. En raras ocasiones, una actualización puede cambiar algo en el software que comienza a chocar con otro plugin o tema, haciendo que el sitio se bloquee. Si esto ocurre, es fácil restaurar el sitio a un estado anterior si se ha realizado una copia de seguridad del mismo.
También tienes la opción de configurar todos los plugins para que se actualicen automáticamente, de modo que ni siquiera tengas que pensar en ello. Si algo se rompe, devuélvelo a su estado anterior restaurando una copia de seguridad.
5. Haz una copia de seguridad de su sitio web WordPress
Hacer copias de seguridad de un sitio web a diario es fundamental. Hay muchas cosas que pueden salir mal, como la instalación de un nuevo plugin o añadir algún fragmento de código, y una copia de seguridad salvará el día cuando algo catastrófico le suceda al sitio.
UpdraftPlus WordPress Backup Plugin, con más de 3 millones de usuarios, es una solución popular y de confianza. De hecho aquí tienes un artículo sobre cómo utilizarlo: https://ecommaster.es/como-migrar-wordpress/
De todos modos te aconsejo que lo hables con tu hosting ya que por norma general se suelen hacer backups diarios que podemos restaurar en el caso de que algo se rompa. Adicionalmente, también debemos conocer la posibilidad de crear copias en un momento exacto, por ejemplo, antes de la instalación de un nuevo plugin.
6. Minimizar el uso de plugins
Cada plugin que se instala aumenta la posibilidad de que uno de ellos exponga el sitio a una vulnerabilidad. Antes de instalar uno fíjate en el número de instalaciones, así como cuándo fue la última actualización del mismo.
Aparte de las razones de seguridad, el uso de demasiados plugins puede afectar al rendimiento del sitio, así como aumentar la posibilidad de que el código entre dos o más plugins tenga un conflicto y bloquee el sitio.
Evita los plugins multipropósito. Algunos plugins pueden hacer múltiples tareas, cuando en realidad solo nos interesa una de ellas. Intenta instalar un plugin que sirva específicamente para esa necesidad que tienes.
7. Implementa la autenticación de dos factores
La autenticación de dos factores se llama así porque se necesitan dos formas de identificación para iniciar sesión en un sitio de WordPress con esta función activada.
- El primer factor es el nombre de usuario y la contraseña.
- El segundo factor es una segunda forma de autenticación, normalmente con una aplicación como Authy o Google Authenticator que está en el teléfono móvil del usuario.
Así, incluso si un hacker consigue acceder al nombre de usuario y la contraseña, no podrá iniciar sesión sin la segunda autenticación.
Hay muchos plugins de WordPress entre los que elegir para añadir esta función, como:
WP 2FA
WP 2FA es una opción popular para añadir autenticación de dos factores. Es compatible con múltiples métodos de autenticación de dos factores, incluyendo Google Authenticator, Authy, enlace de correo electrónico, correo electrónico OTP y notificación push. Hay métodos adicionales como la autenticación por voz y WhatsApp disponibles con la versión Pro.
8. Instala un plugin de seguridad de WordPress
Los plugins de seguridad son útiles porque pueden cerrar cualquier agujero de seguridad y bloquear a los hackers que intentan aprovecharse de esas vulnerabilidades.
Hay dos tipos de plugins de seguridad de WordPress:
- Endurecimiento de seguridad y escaneo.
- Firewall.
Aquí tienes 4 herramientas que recomendamos:
Wordfence Security
Wordfence es la opción popular para la seguridad de WordPress. Hay más de 4 millones de instalaciones activas. Nosotros lo utilizamos en este mismo sitio web para evitar los comentarios spam.
Wordfence actúa como un cortafuegos para proteger un sitio web contra ataques de hackers y puede bloquear bots de hackers automatizados y hackers reales en tiempo real si la actividad se ajusta al patrón de un hacker.
Wordfence también ayuda a reforzar un sitio contra la piratería proporcionando autenticación de dos factores y deshabilitando la ejecución de PHP en carpetas donde PHP no debería ejecutarse.
Tiene versión de pago, como la mayoría de plugins.
Sucuri
Sucuri es una opción de confianza para un plugin de seguridad. Es propiedad de GoDaddy, empresa reconocida de hostings. Sucuri escanea un sitio en busca de malware y ofrece opciones para endurecer el sitio contra exploits. Elegir Sucuri es fácil porque complementa un plugin de cortafuegos, como Wordfence. La versión de pago también incluye un cortafuegos.
Jetpack Protect
Jetpack Protect ha sido creado por Automattic, la empresa que está detrás de WordPress.com, Akismet, WPScan y WooCommerce, entre otros. Jetpack Protect realiza un escaneo diario de malware del núcleo de WordPress, plugins y temas. Este plugin gratuito es relativamente nuevo: se convirtió en un plugin independiente en 2022.
Seguridad iThemes
iThemes Security es un plugin todo-en-uno que escanea y endurece un sitio web, así como bloquea los robots maliciosos como un firewall. Hay más de un millón de instalaciones activas. iThemes maneja muchas actividades relacionadas con la seguridad, lo que lo hace una opción popular para aquellos que prefieren un plugin que lo haga todo.
9. Comprueba la versión de PHP de tu servidor
PHP es el software sobre el que se ejecuta WordPress. Las versiones de PHP desactualizadas pueden exponer un sitio a vulnerabilidades de seguridad. Asegúrese de que la versión de PHP utilizada no ha llegado al final de su vida útil (EOL).
Los hackers atacan todos los sitios, independientemente del sistema de gestión de contenidos (CMS) que se utilice. WordPress es el CMS más popular del mundo, lo que lo convierte en un objetivo popular de los hackers.
Afortunadamente, WordPress tiene una comunidad enorme trabajando para mantenerlo seguro, lo cual es una ventaja que otras plataformas no tienen.
Todos los propietarios de sitios web WordPress deberían considerar tomarse el tiempo necesario para asegurarse de que se han tomado las medidas necesarias para mantener sus sitios WordPress totalmente seguros.
