• 8 enero, 2021

20 Consejos de seguridad para WordPress (2024)

Tiempo de lectura: 10 minutos

En el mundo del desarrollo web, es muy común ver a los propietarios de sitios web de WordPress atareados con problemas de seguridad.

La opinión más común es que el software de código abierto es vulnerable a todo tipo de ataques. Pero esto no es cierto, de hecho, suele ser al revés. O mejor dicho, es parcialmente cierto, pero aún así no se debe culpar a WordPress.

¿Por qué? Porque normalmente es responsabilidad del desarrollador que el sitio haya sido pirateado. Hay algunas responsabilidades que se deben tener como propietario de un sitio web. Entonces, la pregunta clave es siempre: ¿qué estás haciendo para garantizar la seguridad de tu sitio web?

Actualmente, ofrecemos el Neolo Care + para velar por la seguridad de tu sitio web alojado en nuestro hosting.

Aquí hay algunos trucos simples que pueden ayudarte a proteger tu sitio de WordPress:

Seguridad para WordPress – Parte (a): Proteger la página de inicio de sesión y evitar ataques de fuerza bruta.

Todos conocen la URL predeterminada de la página de inicio de sesión de WordPress. Se accede al backend del sitio web desde allí, y esa es la razón por la que las personas intentan utilizar la fuerza bruta. Simplemente agregando /wp-login.php o / wp-admin / al final de tu nombre de dominio, el hacker ya conoce la URL a atacar. Esto es un punto a tomar en cuenta para lograr la optimización de tu WordPress.

Lo que recomendamos es personalizar la URL de la página de inicio de sesión. Esto es lo primero que debes hacer para comenzar a proteger tu sitio web.

A continuación se presentan algunas sugerencias más para proteger tu página de inicio de sesión:

1. Configura el bloqueo de sitios y prohíba a los usuarios

Una función de bloqueo que limita la cantidad de intentos de inicio de sesión puede resolver este problema, ya que el ciberdelincuente ya no podrá usar la fuerza bruta para probar miles de contraseñas. Siempre que alguien intente piratear con contraseñas incorrectas y repetidamente, el sitio se bloqueará y se le notificará de esta actividad no autorizada.

El plugin iThemes Security es uno de los mejores complementos de su tipo. Permite especificar una cantidad de intentos de inicio de sesión, después de lo cual el complemento prohíbe el acceso desde la dirección IP del atacante. También puedes usar el complemento Login LockDown que se creó para resolver justamente este problema.

2. Utiliza la autenticación de dos factores

Autenticación de dos factores (2FA)

Usar la autenticación de 2 factores (2FA) en la página de inicio de sesión es otra buena medida de seguridad. En este caso, el usuario proporciona detalles de inicio de sesión con dos componentes diferentes. El propietario del sitio web decide cuáles son esos dos factores. Puede ser una contraseña normal seguida de una pregunta secreta, un código secreto, un juego de caracteres, etc.

Hay personas que prefieren usar un código secreto al implementar 2FA en sus sitios web. El complemento Google Authenticator puede ayudar con eso con solo unos pocos clics.

3. Utiliza el correo electrónico como inicio de sesión

De forma predeterminada, debes ingresar tu nombre de usuario para iniciar sesión. Usar una ID de correo electrónico en lugar de un nombre de usuario es un enfoque más seguro. Las razones son bastante obvias. Los nombres de usuario son fáciles de predecir, mientras que las ID de correo electrónico no lo son. Además, cualquier cuenta de usuario de WordPress siempre se crea con una dirección de correo electrónico única, lo que la convierte en un identificador de inicio de sesión válido.

El complemento WP Email Login funciona muy bien para esto. Comienza a funcionar inmediatamente después de la activación y no requiere ninguna configuración.

4. Cambia el nombre de tu URL de inicio de sesión

Cambiar la URL de inicio de sesión es muy fácil de hacer. De forma predeterminada, se puede acceder fácilmente a la página de inicio de sesión de WordPress agregando wp-login.php o wp-admin a la URL principal del sitio. Cuando los piratas informáticos conocen la URL de tu página de inicio de sesión, pueden intentar utilizar la fuerza bruta. 

Este pequeño truco impide que alguien ingrese a la página de inicio de sesión. Solo alguien con la URL exacta puede hacer esto. Una vez más, el complemento iThemes Security puede ayudarte a cambiar tus URL de inicio de sesión. 

Puedes cambiar wp-login.php por algo único; por ejemplo mi_nuevo_login

Y cambiar /wp-admin/ con algo como por ejemplo mi_nuevo_admin

5. Configura tus contraseñas

Cambia las contraseñas de sitios con regularidad. Mejora la fortaleza de la clave agregando letras mayúsculas y minúsculas, números y caracteres especiales.

Seguridad para WordPress – Parte (b): Protege tu panel de administración

Para un hacker, la parte más deseada de un sitio web es el Panel de administración, que de hecho es la sección más protegida de todas. Por lo tanto, atacar la parte más fuerte es el verdadero desafío y, si se logra, esto le da al hacker una victoria moral y el acceso para hacer un daño masivo. Sabemos que esto es súper importante, por eso hemos creado Neolo Care + para brindar la mayor protección a tu sitio web WordPress.

Esto es lo que puedes hacer para protegerte:

6. Protege el directorio wp-admin

El directorio wp-admin es el corazón de cualquier sitio de WordPress. Por lo tanto, si esta parte de tu sitio es hackeada, todo el sitio podría resultar dañado. Una forma de evitar esto es proteger con contraseña el directorio wp-admin. Con esta medida de seguridad, el propietario del sitio web puede acceder al panel usando dos contraseñas. Una protege la página de inicio de sesión y la otra el área de administración de WordPress. Si los usuarios del sitio se ven obligados a acceder a partes específicas de wp-admin, puedes desbloquear esas partes mientras bloqueas el resto.

Puedes utilizar el complemento AskApache Password Protect para proteger el área de administración. Esto genera automáticamente un archivo .htpasswd, cifra la contraseña y configura los permisos de seguridad del archivo.

Certificado SSL para WordPress

7. Utiliza SSL para cifrar datos

La implementación de un certificado SSL es una jugada inteligente para proteger el panel de administración. El certificado SSL garantiza la transferencia segura de datos entre los navegadores de los usuarios y el servidor, lo que dificulta que los piratas informáticos invadan o falsifiquen su información.

Obtener un certificado SSL para su sitio de WordPress es muy sencillo. Puedes adquirir tu certificado de forma fácil o incluso utilizar un certificado SSL gratuito.

El certificado SSL también afecta la clasificación de su sitio en Google. Google clasifica los sitios con SSL más alto que los que no lo tienen. Eso significa más tráfico.

8. Agrega cuentas de usuario con cuidado

Si tienes un sitio de WordPress que cuenta con varios autores, debes tratar con varias personas que acceden a tu panel de administración. Esto puede hacer que tu sitio sea más vulnerable a las amenazas de seguridad.

Puedes utilizar un complemento que obligue a tus usuarios a utilizar contraseñas seguras, para asegurarse de que las contraseñas que utilizan realmente lo sean. Esta es solo una medida de precaución.

9. Cambiar el nombre de usuario del administrador

Al instalar WordPress, nunca debes elegir «admin» como nombre de usuario para tu cuenta de administrador principal. Este nombre de usuario es fácil de adivinar y accesible para los piratas informáticos. La mitad del trabajo de los hackers estará hecho, solo necesitarán encontrar la contraseña, ya que ya conocen el ID de administrador.

10. Supervisa tus archivos

Si deseas agregar algo de seguridad adicional, puedes monitorear los cambios en los archivos del sitio web a través de complementos como Wordfence.

Seguridad para WordPress – Parte (c): Proteger la base de datos

Todos los datos y la información de tu sitio web se almacenan en la base de datos. Cuidar de esto es crucial. Aquí hay algunas cosas que puedes hacer para que estén más seguros:

11. Cambia el prefijo de la tabla de la base de datos de WordPress.

Si ya has instalado WordPress, seguramente conoces el prefijo wp-table que utiliza la base de datos. Se recomienda que cambies esto por algo único.

El uso del prefijo estándar hace que la base de datos del sitio web sea propensa a ataques de inyección SQL. Este ataque se puede prevenir cambiando “wp-” a algún otro término, por ejemplo, puedes usar “miwp-”, “wpnuevo-”, etc.

Si ya instalaste tu sitio de WordPress con el prefijo predeterminado, puedes usar algunos plugins para cambiarlo. Por ejemplo, WP-DBManager o iThemes Security pueden ayudarte a realizar el trabajo con solo hacer clic en un botón. (Asegúrate de hacer una copia de seguridad de tu sitio web antes de hacer cualquier cosa en la base de datos).

12. Realiza copias de seguridad de tu sitio web con regularidad

No importa qué tan seguro sea tu sitio, siempre hay un margen de mejora. Y al final, mantener una copia de seguridad, lejos de tu servidor original, es quizás el mejor antídoto, pase lo que pase.

Si tienes una copia de seguridad, siempre puedes restaurar tu sitio de WordPress a un estado anterior cuando lo desees. Hay algunos complementos que pueden ayudarte en este sentido.

Si está buscando una solución premium, VaultPress de Automattic es una buena opción. Se puede configurar para crear copias de seguridad cada 30 minutos o con la periodicidad que desees. Y si sucede algo malo, puedes restaurar el sitio fácilmente con un solo clic. Además, también revisa el sitio web en busca de malware y notifica si está sucediendo algo extraño.

Otra opción es utilizar el sitio web DropMySte. Realiza copias de seguridad diarias de tus archivos y bases de datos, y es muy fácil de restaurar si tienes algún problema.

13. Establece contraseñas seguras para tu base de datos

Una contraseña segura para el usuario de la base de datos principal es imprescindible.

Como siempre, usa mayúsculas, minúsculas, números y caracteres especiales para la contraseña. Recomendamos una vez más usar un generador de contraseñas para esto.

Seguridad para WordPress – Parte (d): Protege la configuración de tu alojamiento

A pesar de que los planes de alojamiento proporcionan un entorno optimizado para WordPress, aún podemos dar un paso más:

14. WAF (firewall de aplicaciones web)

Cuando se trata de protección de hosting, no hay nada más eficiente y completo que el nuevo concepto de Firewall para Web, más conocido como WAF – Web Application Firewall para WordPress.

WAF para WordPress es un filtro de acceso para un servidor de alojamiento, que aplica un conjunto de reglas, para proteger tu sitio web de ataques comunes, como Cross-Site Scripting (XSS), Inyección SQL y DDoS. Todo esto, incluso antes de que el atacante llegue a tu servidor de alojamiento.

15. Protege el archivo wp-config.php

El archivo wp-config.php contiene información crucial sobre la instalación de WordPress y, de hecho, es el archivo más importante en el directorio raíz de tu sitio web. Protegerlo significa proteger el núcleo de tu sitio de WordPress.

Es difícil para los piratas informáticos violar la seguridad de tu sitio web si el archivo wp-config.php se vuelve inaccesible para ellos.

La buena noticia es que hacer esto es realmente fácil. Simplemente toma tu archivo wp-config.php y muévelo a un nivel más alto que el directorio raíz.

Ahora la pregunta es, si lo almacenas en otro lugar, ¿cómo accederás el servidor? En la arquitectura actual de WordPress, incluso si el archivo de configuración se almacena un nivel por encima del directorio raíz, WordPress aún podrá verlo.

16. Prohibir la edición de archivos

Si un usuario tiene acceso de administrador a tu panel de WordPress, podrá editar cualquier archivo que forme parte de la instalación. Esto incluye todos los complementos y temas.

Sin embargo, si no permites la edición de archivos, incluso si un pirata informático consigue el acceso de administrador a tu panel de WordPress, no podrá modificar ningún archivo.

Agregue lo siguiente al archivo wp-config.php (al final):

define ('DISALLOW_FILE_EDIT', true);

17. Configura los permisos de directorio con cuidado

Los permisos de directorio incorrectos pueden ser fatales, especialmente si estás trabajando en un entorno de alojamiento compartido.

En ese caso, cambiar los permisos de archivos y directorios es una buena decisión para proteger el sitio a nivel de alojamiento. La configuración de los permisos de directorio en «755» y los archivos en «644» protege todo el sistema de archivos: directorios, subdirectorios y archivos individuales.

Esto se puede hacer manualmente a través del Administrador de archivos, dentro del panel de control.

18. Desactiva la lista de directorios con .htaccess

Si creas un nuevo directorio en tu sitio y no colocas un archivo index.html dentro de él, te sorprenderás al descubrir que tus visitantes pueden ver una lista completa del directorio y todo lo que contiene.

Por ejemplo, si creas un directorio llamado «datos», puedes ver todo en ese directorio simplemente escribiendo http://www.seublog.com/datos/ en tu navegador. No se necesita contraseña ni nada.

Puede evitar esto agregando la siguiente línea de código a su archivo .htaccess:

Options All -Indexes

Seguridad para WordPress – Parte (e): Protege tus temas y complementos de WordPress

Los temas y complementos son partes esenciales de cualquier sitio web de WordPress. Desafortunadamente, también pueden representar serias amenazas a la seguridad. Aquí te indicamos cómo puedes proteger los temas y complementos de WordPress de la manera correcta:

19. Actualiza periódicamente

Todo buen producto de software cuenta con el apoyo de sus desarrolladores y se actualiza con frecuencia, WordPress no es una excepción y se actualiza con mucha frecuencia. Estas actualizaciones están destinadas a corregir errores y, a veces, tienen parches de seguridad muy importantes.

No actualizar tus temas y complementos puede significar problemas graves. Muchos piratas informáticos confían en que la gente no se moleste en actualizar sus complementos y temas. La mayoría de las veces, estos piratas informáticos aprovechan errores y fallas de seguridad que se han corregido en las versiones actuales.

Entonces, si estás utilizando productos de WordPress, actualiza regularmente los complementos, los temas, todo. Para brindarte asistencia en este punto, hemos desarrollado el Neolo Care + para que no tengas que preocuparte tú de la actualización continua.

20. Oculta el número de versión de WordPress

El número de versión de WordPress que utilizas se puede encontrar muy fácilmente. Esto es algo básico, si los hackers saben qué versión de WordPress usas, es más fácil para ellos crear el ataque perfecto. Casi todos los complementos de seguridad que mencionamos anteriormente pueden ayudarte ocultando el número de versión de WordPress.

Cómo mejorar la seguridad de WordPress

Conclusión

Es indispensable hoy en día que nuestro sitio web esté protegido ante el ataque de piratas informáticos. Todas estas herramientas que te indicamos anteriormente te ayudarán a mejorar la seguridad de tu sitio web WordPress. Si necesitas ayuda en este punto, no dudes en solicitarla.

Última actualización: 9 de mayo de 2024.

banner hosting


¿Te ha gustado este artculo?
Recíbe los nuevos en el newsletter mensual de Neolo o Telegram de Neolo