WordPress es el sistema de gestión de contenidos (CMS) más popular: el 43,2% de todos los sitios web funcionan con este software. Por desgracia, su popularidad atrae a todo tipo de hackers que se aprovechan de las vulnerabilidades de seguridad de la plataforma.
Esto no significa que WordPress tenga un sistema de seguridad malo, sino que los fallos también pueden producirse porque los usuarios no le dan la importancia suficiente a la seguridad. Por lo tanto, es mejor aplicar medidas preventivas antes de que alguien intente hackear tu web.
En este artículo, compartiremos varios métodos para optimizar la seguridad en WordPress y proteger tu sitio de diversos ciberataques. Incluiremos las mejores prácticas y consejos, con o sin plugins de WordPress. Algunos métodos también son aplicables a otras plataformas además de WordPress.
¿Por qué es importante la seguridad en WordPress?
Si tu sitio web es hackeado, corres el riesgo de perder datos importantes, activos y credibilidad. Además, el incidente puede poner en peligro los datos personales y la información de facturación de tus clientes.
Se prevé que para 2025 el coste de los daños causados por los delitos informáticos puede alcanzar los 10,5 billones de dólares al año. Sin duda, no querrás formar parte de esa estadística.
Según la base de datos de vulnerabilidades de WPScan, estos son algunos de los tipos más comunes de vulnerabilidades de seguridad en WordPress:
- Falsificación de solicitudes en sitios cruzados (CSRF): obliga al usuario a ejecutar acciones no deseadas en una aplicación web de confianza.
- Ataque de denegación de servicio distribuido (DDoS): incapacita los servicios en línea llenándolos de conexiones no deseadas, lo que hace que un sitio sea inaccesible.
- Bypass de autenticación: permite a los hackers acceder a los recursos de tu sitio web sin tener que verificar su autenticidad.
- Inyección SQL (SQLi): obliga al sistema a ejecutar consultas SQL maliciosas y manipula los datos de la base de datos.
- Cross-site scripting (XSS): inyecta código malicioso que convierte el sitio en un transportador de malware.
- Inclusión de archivos locales (LFI): obliga al sitio a procesar archivos maliciosos colocados en el servidor.
Mejores prácticas para mejorar la seguridad en WordPress
En este apartado, revisaremos algunos consejos generales para WordPress que no requieren conocimientos técnicos avanzados ni inversiones de alto riesgo. Incluso un principiante podrá realizar estas sencillas tareas, como actualizar el software de WordPress y eliminar los temas que no se utilizan.
Actualizar regularmente la versión de WordPress:
WordPress publica regularmente actualizaciones de software para mejorar el rendimiento y la seguridad. Estas actualizaciones también protegen tu sitio de las ciberamenazas.
Actualizar la versión de WordPress es una de las formas más sencillas de mejorar la seguridad de WordPress. Sin embargo, casi el 50% de los sitios de WordPress funcionan con una versión antigua, lo que los hace más vulnerables.
Para comprobar si tienes la última versión de WordPress, abre tu área de administración de WordPress y ve a Escritorio → Actualizaciones en el panel del menú de la izquierda. Si aparece que tu versión no está actualizada, te recomendamos que la actualices lo antes posible.
Debes estar pendiente de las fechas de lanzamiento de las futuras actualizaciones para asegurarte de que tu sitio no funcione con una versión obsoleta de WordPress.
También aconsejamos actualizar los temas y plugins instalados. Los temas y plugins desactualizados pueden entrar en conflicto con el software central de WordPress recién actualizado, causando errores y siendo propensos a las amenazas.
Sigue estos pasos para deshacerte de los temas y plugins obsoletos:
- Accede a tu panel de administración de WordPress, y ve a Escritorio → Actualizaciones.
- Desplázate hacia abajo hasta las secciones Plugins y Temas, y comprueba la lista de aquellos que se deban actualizar. Ten en cuenta que se pueden actualizar todos a la vez o por separado.
- Haz clic en Actualizar Plugins.
Utilizar credenciales de inicio de sesión de WP-Admin seguras:
Uno de los errores más comunes que se cometen es utilizar nombres de usuario fáciles de adivinar, como «admin», «administrator» o «test». Esto hace que tu sitio corra un mayor riesgo de sufrir ataques de fuerza bruta. Además, los atacantes también se dirigen a los sitios de WordPress que no tienen contraseñas seguras.
Por lo tanto, recomendamos que el nombre de usuario y la contraseña sean únicos y de mayor complejidad.
Incluye números, símbolos y una combinación de letras mayúsculas y minúsculas en tu contraseña. También recomendamos que tenga más de 12 caracteres, ya que las contraseñas más largas son mucho más difíciles de descifrar.
Si necesitas asistencia para crear una contraseña robusta, puedes utilizar herramientas en línea como LastPass y 1Password. Estos servicios también ofrecen gestión de contraseñas para almacenar de forma segura tus claves, de modo que no necesites recordarlas todas.
Para mantener tu sitio seguro, también es crucial verificar la red antes de conectarte. Si te conectas inadvertidamente a un Hotspot Honeypot, una red gestionada por hackers, podrías exponer tus credenciales de acceso a los operadores de la red.
Incluso las redes públicas, como el WiFi en una biblioteca o un café, pueden no ser tan seguras como parecen. Los hackers podrían interceptar tu conexión y robar datos sin cifrar, incluyendo tus credenciales de acceso.
Por eso, recomendamos utilizar una VPN al conectarte a redes públicas. Una VPN proporciona una capa de cifrado para tu conexión, lo que dificulta la interceptación de datos y protege tus actividades en línea.
Configurar una lista de seguridad y una lista de bloqueo para la página de administración:
Proteger el acceso a la página de administración de WordPress es crucial para prevenir accesos no autorizados y ataques de fuerza bruta. Puedes lograr esto configurando reglas de seguridad directamente desde WordPress.
Desde el panel de administración de WordPress, puedes añadir restricciones para proteger tu página de inicio de sesión. Una forma de hacerlo es mediante la configuración de plugins de seguridad que permiten crear reglas para bloquear el acceso a la página de administración desde direcciones IP no autorizadas.
Por ejemplo, puedes utilizar plugins como Wordfence o iThemes Security para configurar reglas de acceso. Con estos plugins, puedes definir las URLs que deseas proteger y establecer rangos de IP permitidos. De esta manera, solo las IPs autorizadas podrán acceder a la página de administración, mientras que todas las demás serán bloqueadas.
Además, puedes configurar restricciones adicionales para la página de inicio de sesión utilizando estos plugins. Esto incluye la posibilidad de añadir direcciones IP específicas a una lista blanca, garantizando que solo las IPs en esta lista puedan acceder a la página de administración.
Si prefieres no usar plugins, puedes añadir reglas básicas directamente en el archivo .htaccess
de tu sitio. Esto te permitirá establecer restricciones en el acceso a ciertas URL desde el panel de administración de WordPress.
Al agregar esta regla a tu archivo .htaccess
, restringirás el acceso a wp-login.php
a una única dirección IP. De este modo, los atacantes no podrán acceder a tu página de inicio de sesión desde otras ubicaciones.
# Block IPs for login Apache 2.2
<files /wp-login.php>
order deny, allow
allow from MYIP
allow from MYIP2
deny from all
</files>
# Block IPS for login Apache 2.4
<Files "wp-login.php">
Require all denied
</Files>
Esta regla debe colocarse después de # BEGIN WordPress and # END WordPress.
Esta regla es efectiva incluso si no tienes una IP estática, ya que puedes limitar los inicios de sesión al rango común de tu proveedor de servicios de Internet (ISP).
Además, puedes aplicar esta regla para restringir el acceso a otras URLs protegidas, como /wp-admin
.
Los temas de WordPress nulled son versiones no autorizadas de temas premium originales. A menudo, se venden a un precio reducido para atraer a los usuarios, pero suelen tener múltiples fallas de seguridad.
Usar temas de confianza o de fuentes oficiales
Generalmente, los proveedores de temas nulled son hackers que modifican el tema premium original e insertan código malicioso, como malware y enlaces de spam. Además, estos temas pueden contener puertas traseras para otros exploits que comprometan tu sitio de WordPress.
Dado que los temas nulled se distribuyen de forma ilegal, sus usuarios no reciben soporte de los desarrolladores. Por lo tanto, si estos temas causan problemas en el sitio, tendrás que resolverlos y asegurar tu sitio de WordPress por tu cuenta.
Para evitar estos riesgos, recomendamos elegir temas de WordPress del directorio oficial o de desarrolladores de confianza. Busca opciones en mercados de temas oficiales como ThemeForest si deseas comprar un tema premium.
Instalar un certificado SSL
Secure Sockets Layer (SSL) es un protocolo de transferencia de datos que encripta la información intercambiada entre el sitio web y los usuarios, dificultando que los atacantes roben datos importantes.
Además, los certificados SSL mejoran la optimización del sitio web para los motores de búsqueda (SEO), lo que te ayuda a ganar visitantes y aumentar el tráfico del sitio.
Los sitios web con SSL instalado utilizan HTTPS en lugar de HTTP, por lo que es fácil identificarlos.
La mayoría de las empresas de alojamiento incluyen SSL en sus planes. Por ejemplo, DonWeb incluye certificados SSL ilimitados gratuitos de Let’s Encrypt en todos sus planes de alojamiento web.
Una vez que tengas un certificado SSL instalado en tu cuenta de hosting, debes activarlo en tu sitio web de WordPress.
Plugins como Really Simple SSL o SSL Insecure Content Fixer se encargan de los aspectos técnicos y de la activación del SSL con unos pocos clics. La versión premium de Really Simple SSL también tiene una opción para activar headers HSTS (HTTP Strict Transport Security) que fuerzan el uso de HTTPS cuando se accede al sitio.
El último paso es cambiar la URL de tu sitio de HTTP a HTTPS. Para eso, ve a Ajustes → Generales y busca el campo Dirección del sitio (URL) para actualizar su URL.
Eliminar los plugins y temas de WordPress no utilizados
Mantener plugins y temas no utilizados en tu sitio puede ser perjudicial, especialmente si no han sido actualizados. Los plugins y temas desactualizados aumentan el riesgo de ciberataques, ya que los hackers pueden utilizarlos para acceder a tu sitio.
Sigue estos pasos para eliminar un plugin de WordPress no utilizado:
- Accede a Plugins → Plugins instalados.
- Verás la lista de todos los plugins instalados. Haz clic en Borrar bajo el nombre del plugin que deseas eliminar.
Ten presente que el botón para borrar un plugin solo estará disponible después de desactivarlo.
Para eliminar un tema no utilizado, sigue estos pasos:
- Desde el panel de administración de WordPress, ve a Apariencia → Temas.
- Haz clic en el tema que deseas eliminar.
- Aparecerá una ventana emergente con los detalles del tema. Haz clic en el botón Eliminar en la esquina inferior derecha.
Cómo utilizar los plugins de seguridad de WordPress
Una manera efectiva de mejorar la seguridad de tu sitio WordPress es mediante el uso de plugins de seguridad.
Es una forma conveniente de proteger tu web, pero recuerda no instalar demasiados plugins al mismo tiempo, ya que pueden ralentizar tu sitio.
Primero, identifica tus necesidades para seleccionar los plugins más adecuados.
Habilitar la autenticación de dos factores para WP-Admin
Activa la autenticación de dos factores (2FA) para reforzar la seguridad al iniciar sesión en WordPress. Este método añade una capa adicional de protección a la página de inicio de sesión, ya que requiere la introducción de un código único para completar el proceso.
Este código se obtiene a través de un mensaje de texto o una aplicación de autenticación de terceros.
Para implementar 2FA en tu sitio, instala un plugin de seguridad de inicio de sesión como Wordfence Login Security. Además, necesitarás instalar una aplicación de autenticación de terceros como Google Authenticator en tu teléfono móvil.
Una vez que hayas instalado el plugin y la aplicación de autenticación, sigue estos pasos para activar la autenticación de dos factores:
- Ve a la página del plugin en tu administración de WordPress. Si estás usando Wordfence Login Security, dirígete al menú Login Security en el panel del menú de la izquierda.
- Utiliza la aplicación de tu teléfono móvil para escanear el código QR o introducir la clave de activación.
- Introduce el código generado en la aplicación de tu teléfono móvil en el campo disponible en la sección de códigos de recuperación.
- Pulsa el botón ACTIVATE para completar la configuración.
Además, descarga los códigos de recuperación proporcionados en caso de que pierdas el acceso al dispositivo que contiene la aplicación de autenticación.
Realizar copias de seguridad de WordPress con regularidad
Realizar copias de seguridad frecuentes de tu sitio es una tarea esencial para la mitigación de riesgos, ya que te permitirá restaurar tu sitio tras incidentes como ciberataques o daños físicos en el centro de datos. La copia de seguridad debe incluir todos los archivos de la instalación de WordPress, como la base de datos y los archivos del núcleo de WordPress.
En WordPress, puedes hacer una copia de seguridad de tu sitio utilizando un plugin como All-in-One WP Migration. Sigue estos pasos para crear una copia de seguridad con este plugin:
- Instala y activa el plugin.
- Accede al menú de All-in-One WP Migration en el panel de la izquierda.
- Selecciona Copias de seguridad.
- Haz clic en Crear backup.
- Una vez creada la copia, aparecerá en una lista en la página de copias de seguridad.
- Descarga y guárdala en el almacenamiento. Para ello, ve a All-in-One WP Migration → Exportar.
- Haz clic en el menú desplegable EXPORTAR A y selecciona Archivo. Esto generará una copia de seguridad de tu sitio.
- Una vez completado el proceso, haz clic en el enlace de descarga y guarda la copia de tu sitio en un lugar de almacenamiento seguro, preferiblemente no en una ubicación en el mismo servidor. Esto se debe a que las copias de seguridad almacenadas en tu servidor web son de acceso público, lo que las hace vulnerables a los ciberataques.
- En caso de que ocurra un incidente, puedes restaurar tu sitio utilizando la herramienta de importación de All-in-One WP Migration.
- Los usuarios de DonWeb, pueden realizar esto mismo procedimiento desde una manera más sencillas desde el panel de hosting Ferozo.
Limitar los intentos de inicio de sesión
WordPress permite a los usuarios realizar un número ilimitado de intentos de inicio de sesión en el sitio. Sin embargo, esto brinda una oportunidad perfecta para que los hackers intenten forzar la entrada usando múltiples combinaciones de contraseñas hasta encontrar la correcta.
Por eso, es crucial limitar los intentos fallidos de inicio de sesión para prevenir este tipo de ataques. Limitar estos intentos también ayuda a detectar y controlar cualquier actividad sospechosa en tu sitio.
La mayoría de los usuarios solo necesitan uno o unos pocos intentos para iniciar sesión correctamente, por lo que cualquier dirección IP que alcance el límite de intentos debe ser considerada sospechosa.
Una manera de limitar los intentos de inicio de sesión es utilizando un plugin de seguridad. Hay muchas opciones disponibles, como:
- Limit Login Attempts Reloaded: configura el número de intentos fallidos para direcciones IP específicas, permite añadir usuarios a una lista blanca o bloquearlos por completo, e informa a los usuarios sobre el tiempo de bloqueo restante.
- Loginizer: ofrece funciones de seguridad de inicio de sesión como la autenticación de dos factores, reCAPTCHA y preguntas de desafío para el inicio de sesión.
- Limit Attempts by BestWebSoft: bloquea automáticamente las direcciones IP que superan el límite de intentos de inicio de sesión y las añade a una lista de rechazo.
Un posible inconveniente de esta medida de seguridad es que un usuario legítimo podría ser bloqueado. Sin embargo, hay múltiples maneras de recuperar cuentas de WordPress bloqueadas, por lo que no deberías preocuparte demasiado por este problema.
Cambiar la URL de la página de inicio de sesión de WordPress
Para mejorar la protección contra ataques de fuerza bruta, considera cambiar la URL de la página de inicio de sesión.
Todos los sitios web de WordPress tienen por defecto la misma URL para iniciar sesión: tudominio.com/wp-admin. Esta URL estándar facilita que los hackers apunten a tu página de acceso.
Plugins como WPS Hide Login y Change wp-admin Login permiten personalizar esta URL.
Si utilizas el plugin WPS Hide Login, sigue estos pasos para cambiar la URL de tu página de inicio de sesión de WordPress:
- En tu panel de control, ve a Ajustes → WPS Hide Login.
- Completa el campo URL de acceso con tu URL personalizada.
- Haz clic en Guardar cambios para finalizar el proceso.
Supervisar la actividad de los usuarios
Es fundamental identificar cualquier acción no deseada o maliciosa que pueda poner en riesgo tu sitio, realizando un seguimiento de las actividades en tu área de administración.
Este método es especialmente útil si tu sitio cuenta con varios usuarios o autores, ya que pueden realizar cambios en configuraciones, como en temas o plugins, que no deberían.
Al monitorear sus actividades, podrás identificar quién realizó cambios no deseados y si alguien no autorizado ha accedido a tu sitio de WordPress.
La forma más sencilla de rastrear la actividad de los usuarios es mediante un plugin de WordPress, como:
- WP Activity Log: monitorea cambios en áreas del sitio web como publicaciones, páginas, temas y plugins. También registra los archivos añadidos, eliminados y cualquier modificación en ellos.
- Activity Log: supervisa diversas actividades en el panel de administración de WordPress y permite configurar notificaciones por correo electrónico.
- Simple History: registra la actividad en el administrador de WordPress y es compatible con varios plugins de terceros como Jetpack, WP Crontrol y Beaver Builder, capturando toda la actividad relacionada.
Comprobar si hay malware
Cada día se registran más de 450.000 nuevas aplicaciones potencialmente no deseadas (PUA) y malware, según el Instituto AV-TEST. Algunos programas maliciosos tienen la capacidad de cambiar su forma para evadir la detección.
Por lo tanto, es crucial escanear tu sitio regularmente, ya que los atacantes continúan desarrollando nuevas amenazas.
Afortunadamente, hay numerosos plugins que pueden escanear malware y mejorar la seguridad de WordPress.
Te recomendamos los siguientes plugins de seguridad:
- Wordfence: un popular plugin de seguridad que ofrece actualizaciones en tiempo real de firmas de malware y alertas si otro sitio ha bloqueado el tuyo por actividad sospechosa.
- BulletProof Security: protege tu sitio web con funciones como cierre de sesión inactiva, carpetas de plugins ocultas y herramientas de copia de seguridad y restauración de la base de datos.
- Sucuri Security: uno de los mejores plugins de seguridad disponibles, que ofrece escaneo remoto de malware, varios certificados SSL y funciones de acción de seguridad post-hack.
Resumen
Los ciberataques pueden manifestarse de diversas maneras, desde inyecciones de malware hasta ataques DDoS. Los sitios web de WordPress, en particular, son objetivos frecuentes para los hackers debido a la popularidad de este CMS.
Por ello, es crucial que los propietarios sepan cómo proteger sus sitios. A continuación, se resumen los métodos clave para reforzar la seguridad de tu sitio web de WordPress:
- Mantener el sitio web actualizado.
- Usar credenciales de inicio de sesión seguras para wp-admin.
- Configurar listas de seguridad y bloqueo para la página de administración.
- Elegir temas de WordPress de fuentes confiables.
- Instalar un certificado SSL para asegurar la transferencia de datos.
- Eliminar temas y plugins no utilizados.
- Activar la autenticación de dos factores.
- Realizar copias de seguridad periódicas.
- Limitar el número de intentos fallidos de inicio de sesión.
- Cambiar la URL de la página de inicio de sesión de WordPress.
- Cerrar sesión automáticamente para usuarios inactivos.
- Monitorear la actividad de los usuarios.
No obstante, proteger un sitio web no es un proceso único. Es fundamental reevaluar y ajustar las medidas de seguridad de manera continua, ya que las amenazas cibernéticas evolucionan constantemente. Aunque el riesgo siempre está presente, implementar estas prácticas puede ayudarte a reducir significativamente esos riesgos.
Si estás profundizando tus conocimientos en el mundo WordPress y necesitas un servicio de hosting que se adapte a tus necesidades, te invitamos a conocer los planes de WordPress Hosting que DonWeb tiene para ofrecerte.