WordPress es una verdadera bendición para bloggers, autónomos y propietarios de empresas emergentes. No necesitas pagar miles de dólares por el desarrollo y el mantenimiento de software. Cualquiera puede simplemente aprender WordPress con tutoriales en línea y comenzar a promocionar su negocio, productos o servicios de inmediato. Pero, ¿qué pasa con la seguridad de WordPress?
Debido a que WordPress es una tecnología de código abierto, cualquiera puede crear un complemento y un tema. Estos complementos y temas pueden tener una estructura de seguridad débil o contener malware.
La ironía es que las startups generalmente eligen WordPress porque tienen un presupuesto ajustado, carecen de conocimientos de programación o buscan una plataforma fácil de usar. Si eres uno de ellos, es posible que te preguntes: «Entonces, ¿tengo que contratar a un técnico y gastar miles en proteger mi sitio web ?» La respuesta es no.»
En este artículo, cubriremos 10 consejos probados y poderosos para proteger los sitios de WordPress. Los complementos y productos sugeridos en el artículo son gratuitos o económicos.
Indice
Consejos para la seguridad de WordPress
Hemos incluido algunos de los mejores complementos y herramientas de seguridad freemium o menos costosos que son fáciles de usar y no agregarán una carga a tus bolsillos. Incluso una persona no experta en tecnología puede aplicar instantáneamente estos consejos para proteger los sitios de WordPress.
Bloquea los comentarios maliciosos y spam
Instala complementos como Akismet, CleanTalk o Antispam Bee para detectar y eliminar comentarios maliciosos y spam.
Si tienes un blog o una sección de discusión que permite a las personas publicar comentarios, debes tener cuidado con los comentarios maliciosos. Los piratas informáticos escriben scripts y códigos en los comentarios para piratear el sitio web o ingresar a la base de datos de WordPress. También insertan vínculos de retroceso a tu sitio web y anuncios no solicitados sobre tu producto / servicio. Akismet, un complemento de seguridad de WP para eliminar comentarios maliciosos, ha bloqueado más de 550 mil millones de comentarios de spam hasta la fecha.
Limita los intentos de inicio de sesión
Instala plugins como límite de intentos de conexión, Loginizer, o WPS límite de sesión, para permitir la característica de bloqueo de inicio de sesión para asegurar WordPress sitio.
Todos los sitios de WordPress permiten intentos de inicio de sesión ilimitados de forma predeterminada. Eso significa que los usuarios tienen posibilidades ilimitadas de insertar sus ID de usuario y contraseñas en el campo de inicio de sesión hasta que descubran las credenciales correctas. Esta falta de control es muy atractiva para los piratas informáticos que pueden explotar esta función con ataques de fuerza bruta.
En este tipo de ciberataque, los piratas informáticos utilizan un script o un bot para aplicar una base de datos de identificaciones de usuario y contraseñas predefinidas automáticamente a los campos de inicio de sesión de los sitios web hasta que uno de los intentos sea exitoso. A veces se usa una botnet, donde una gran cantidad de dispositivos infectados implementan el ataque de fuerza bruta en un campo de inicio de sesión específico.
La mejor manera de prevenir ataques de fuerza bruta es limitando el número de intentos de inicio de sesión que un usuario puede realizar en un período específico. Después del número establecido de intentos fallidos de inicio de sesión (generalmente de 3 a 5), el sistema bloquea temporalmente la dirección IP / usuario.
Escanea regularmente tu sitio web
Instala escáneres de seguridad y cortafuegos de WordPress para detectar y eliminar amenazas. Un ejemplo de ello es cWatch, que analiza tu sitio web y proporciona informes detallados sobre una variedad de amenazas y vulnerabilidades, incluido el malware, los ataques de fuerza bruta y los ataques DDoS. La marca de confianza HackerProof de Sectigo proporciona escaneos de tu sitio web a diario para identificar vulnerabilidades y ofrecer inteligencia procesable sobre mitigación.
La ciberseguridad es un proceso continuo que a menudo implica la detección y eliminación de malware. Necesitas un escáner de malware y un firewall que supervise tu sitio web las 24 horas del día, los 7 días de la semana, en busca de ciberataques y amenazas relacionadas con el malware. Debe ser lo suficientemente eficiente como para eliminar el malware, bloquear las direcciones IP sospechosas y prevenir el ciberataque en la etapa inicial solo para detener más daños.
Cifra los intercambios de datos del sitio web
Instala un certificado SSL / TLS en tu sitio web. Siempre es mejor elegir un certificado TLS comercial porque los gratuitos no vienen con ningún tipo de soporte o garantía en caso de que algo salga mal. Y los certificados comerciales pagados tampoco son muy caros; de hecho, ¡muchos cuestan menos de $ 10 al año! Utiliza el complemento Really Simple SSL para facilitar el proceso de instalación.
Si no instalas un certificado SSL / TLS, todos los navegadores mostrarán una advertencia de » No seguro » junto a tu nombre de dominio en la barra de direcciones. Este mensaje indica una falla de seguridad importante, mostrando que los datos que intercambian los navegadores de tus usuarios y tu servidor no están encriptados. Por lo tanto, si el pirata informático rompe la red de Internet y obtiene acceso a los datos, puede leerlos, interpretarlos, modificarlos y robarlos. Tu sitio web será vulnerable a ataques man-in-the-middle (MitM).
El certificado SSL / TLS cifrará los datos mediante procesos y tecnologías de infraestructura de clave pública (PKI). PKI es el marco para el cifrado de clave pública (cifrado asimétrico), que es un algoritmo matemático sólido que garantiza una sólida seguridad de los datos en tránsito. Eliminará la advertencia de «no seguro» delante de tu nombre de dominio y mostrará un símbolo de candado verde o gris (según su navegador).
Después de instalar tu certificado, debes administrarlo periódicamente. Si se revoca o expira, todos los navegadores mostrarán la página de error «su conexión no es privada» o «riesgo de seguridad por delante» a los visitantes de tu sitio web. Debes renovar los certificados SSL gratuitos cada tres meses y los comerciales en un máximo de dos años. Los certificados gratuitos también tienen un historial negativo de revocación.
Habilita 2FA como mínimo
Hay muchas herramientas de autenticación de dos factores (2FA) como Two-Factor, WordPress 2-Step Verification, Unloq Two Factor Authenticator, etc. También existe Google Authenticator, que es gratuito y fácil de implementar.
Debes instalar el complemento Google Authenticator en tu sitio WP y descargar la aplicación Google Authenticator en tu teléfono móvil. Cada vez que inicies sesión en tu panel de WordPress, debes proporcionar un código único generado en tu teléfono en la aplicación Google Authenticator. También funciona para varios administradores de sitios, empleados y coautores.
2FA es un término que a menudo se usa indistintamente con la autenticación multifactor (MFA). Cualquier autenticación que tenga dos o más procesos de autenticación cae bajo el paraguas de MFA. Entonces, toda la autenticación de dos factores es un tipo de autenticación de múltiples factores, pero no todo MFA es 2FA.
La autenticación de dos factores es más segura que las contraseñas por sí solas. Después de todo, las contraseñas se pueden robar, filtrar o adivinar. El 80% de las infracciones dentro de la piratería involucran la fuerza bruta o el uso de credenciales perdidas o robadas.
Como mencionamos anteriormente, los piratas informáticos incluso usan ataques de fuerza bruta para encontrar las combinaciones correctas de ID de usuario y contraseña. Pero cuando habilitas la autenticación de dos factores, nadie puede ingresar a tu panel de administración de WordPress porque la única persona que tiene el teléfono móvil puede acceder al código único, la contraseña de un solo uso (OTP) o los PIN secretos.
Escanea tus copias de seguridad antes de almacenarlas
Recomendamos encarecidamente CodeGuard porque crea automáticamente una copia de seguridad de tu sitio, lo analiza en busca de malware, lo elimina si encuentra algo sospechoso y almacena solo la copia limpia en una plataforma de terceros.
Todos sabemos que mantener una copia de seguridad actualizada es fundamental para la salud y la seguridad de tu negocio en línea. Si el pirata informático ha bloqueado el archivo, las carpetas y las bases de datos de tu sitio web para un ataque de ransomware, puedes restaurarlo fácilmente utilizando tus copias de seguridad. Pero si un atacante inserta un código malicioso en tu sitio web, y si realizas una copia de seguridad sin escanearlo primero, ese malware también se almacenará en tus copias de seguridad. Por lo tanto, la copia de seguridad será inútil y tendrás que construir tu sitio desde cero.
En resumen, ¡todas tus copias de seguridad no te ayudarán cuando realmente las necesites! Por lo tanto, la mejor práctica de seguridad de WordPress es escanear las copias de seguridad antes de almacenarlas. CodeGuard es una de las herramientas de copia de seguridad más eficientes que escaneará automáticamente todo tu sitio web y bases de datos antes de realizar la copia de seguridad.
Cambiar la configuración predeterminada
Debido a que WordPress tiene una estructura predeterminada para URL, nombres de archivos y ubicaciones de almacenamiento, es fácil para los atacantes encontrar páginas y archivos importantes para piratearlos. Debes cambiar manualmente estas rutas y nombres de archivo a algo único para que solo tu sepas dónde encontrarlos.
Puedes seguir los trucos que se mencionan a continuación utilizando complementos como iThemes Security o WP-DBManager.
Cambia los nombres de tu archivo y página web
WordPress tiene URL de página de administración predeterminadas,
- www.yourdomain.com/ wp-login.php , o
- www.yourdomain.com/ wp-admin
Se creativo y cambia la URL de tu página de administración a algo único como www.yoursite.com/greenelephant.php o www.yoursite.com/alaskacruise, etc.
Si estás utilizando la URL de la página de administración predeterminada, cualquiera puede acceder fácilmente a la página de inicio de sesión del administrador y usar bots para activar el ataque de fuerza bruta. Pero si tu URL de administrador es única, solo la persona que tiene la URL exacta puede acceder a tu página de inicio de sesión.
No utilices el «admin» predeterminado como tu ID de usuario de administrador
Usa una dirección de correo electrónico o cualquier palabra única como tu ID de usuario administrador en lugar de usar «admin». También puedes hacerlo desde tu cuenta de alojamiento.
Cuando instales WordPress en tu sitio de alojamiento, te dará la opción de establecer la ID de usuario como «admin» de forma predeterminada. Los piratas informáticos son conscientes de ese hecho. En un ataque de fuerza bruta, el ID de usuario y la contraseña deben coincidir. Y cuando tu ID de usuario es administrador, el trabajo del hacker se vuelve un 50% más fácil. Ahora, solo necesitan probar diferentes contraseñas para el ID de usuario «administrador».
Debes cambiar el nombre de la tabla en tu base de datos de WordPress
De forma predeterminada, una tabla usa un prefijo wp-table. Cámbialo con un nombre único como summerwp- o coolwp- o algo nuevowp- etc.
Todas tus credenciales de inicio de sesión, información de usuario, detalles de transacciones, registros de auditoría, etc. se almacenan en estas tablas. Por eso es bastante popular entre los piratas informáticos. Usan bots para buscar y entrar en esta base de datos.
Mueve tu archivo wp- config.php del directorio raíz
Tu archivo wp- config.php se encuentra por defecto en el directorio raíz y un hacker puede acceder a él. Mueve el archivo wp-config.php del directorio raíz a cualquier otra carpeta por encima del directorio raíz.
El archivo Wp-config.php almacena información sobre los ajustes importantes, las configuraciones, las claves de autenticación de WordPress y las bases de datos de tu sitio web. Cuando almacenas archivos en lugares conocidos (como el directorio raíz), los atacantes pueden aprovechar las vulnerabilidades de acceso a URL para la navegación forzada. Es por eso que debes cambiar el archivo wp.config.php a una ubicación segura.
Exige contraseñas seguras
Instala complementos como Password Policy Manager o Force Strong Passwords para asegurarte de que todos tus usuarios creen contraseñas seguras.
De forma predeterminada, WordPress no obliga a los usuarios a crear una contraseña segura (una mayúscula, una minúscula, un dígito y un carácter especial). No todos tus coautores, empleados y clientes se tomarán tan en serio la configuración de contraseñas como tu.
El usuario medio tiene entre 70 y 80 contraseñas. Es realmente difícil memorizar 80 contraseñas únicas, por lo que las personas a menudo usan contraseñas débiles o reutilizan sus contraseñas en varias cuentas. El 83% de los usuarios usan contraseñas débiles y el 53% usan la misma contraseña para proteger varias cuentas. Es por eso que debes usar los complementos que obligan a los usuarios a crear contraseñas seguras cuando se registran o crean una cuenta en tu sitio web.
Bloquear enlaces de imagen
Recomendamos tres métodos para proteger el sitio de WordPress de un enlace de imagen. Puedes elegir uno de ellos.
1. Utiliza un cortafuegos
Algunos complementos de firewall de renombre (como All in One WP Security y Firewall ) tienen una función para bloquear enlaces de imágenes. Solo necesitas ir a la configuración de tu firewall, buscar la sección de enlaces de imagen y habilitarla.
2. Habilita la protección de Hotlink a través de cPanel
En cPanel, ve a la sección de seguridad, busca Hotlink Protection y haz clic en él. En la página siguiente, selecciona Activar.
3. Inserta el código en tu archivo .htaccess
Ve a tu cPanel> Administración de archivos> public_html> .htaccess.
Haz clic derecho y selecciona Ver / Editar.
Desplázate hacia abajo y en la parte inferior de la página y copia y pega los siguientes códigos:
/* Prevent image hotlinking in WordPress */
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomainname.com [NC] RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [F]
Escribe la URL de tu sitio web en el lugar de yourdomainname.com
La tercera línea, donde hemos escrito «google.com», indica que Google puede usar sus imágenes. Agrega la misma línea de código para todos los demás sitios web como LinkedIn, Facebook, Twitter, etc. si deseas que estos sitios accedan a las imágenes de tu sitio web.
Cuando los sitios web de terceros vinculan directamente las URL de sus imágenes a tu sitio web, se conocen como enlaces de imágenes. Las personas enlazan las imágenes porque es rápido, fácil y no requiere que las alojen en su servidor, lo que de otra manera puede consumir mucho espacio. Los enlaces activos utilizan el ancho de banda de tu sitio web y reducen la velocidad y el rendimiento de tus páginas web. También crean una carga indebida para tu servidor con poco o ningún beneficio para ti.
Mantén actualizados todos los componentes de WP
Instala las actualizaciones para el software, los temas y los complementos de WordPress tan pronto como estén disponibles las nuevas versiones. Nunca demores ni ignores las actualizaciones, ya que son esenciales para la seguridad de WP.
Las actualizaciones no solo sirven para modificar la apariencia y la funcionalidad del software. Las versiones antiguas generalmente tienen errores de seguridad que los atacantes pueden aprovechar para piratear tu sitio de WordPress o insertar el malware en él. Los editores corrigen las vulnerabilidades de seguridad en las versiones antiguas y publican la versión parcheada. Por lo tanto, instala siempre la versión actualizada de todos los componentes de WordPress.
Conclusión
WordPress es de hecho una revolución en el mundo de la tecnología debido a su facilidad de uso y componentes gratuitos. Pero cuando una plataforma tecnológica es tan famosa entre millones de personas, también atrae la atención de los ciberdelincuentes.
No hace falta decir que la necesidad de seguridad de WordPress no desaparecerá pronto. Es por eso que es imperativo que te asegures de estar ejecutando un sitio seguro de WordPress (al menos tanto como sea posible).
Wordfence, un proveedor líder de seguridad de WordPress, bloqueó un total de 3.818.725.238 ciberataques y puso en la lista negra 202.650 direcciones IP maliciosas entre el 14 de agosto y el 14 de septiembre de 2020. Estos números muestran que es hora de tomarse en serio la seguridad de WordPress. Si sigues los diez consejos mencionados anteriormente, podrás fortalecer la postura de seguridad de tu sitio WP.