Los hackers pueden utilizar cualquier vulnerabilidad para atacar tu sitio, por ello te hemos preparado una guía de seguridad para tu sitio desarrollado en WordPress.
Esta guía cuenta con ocho sencillos pasos que te ayudarán a maximizar la seguridad de tu web, aunque las vulnerabilidades son igual en cualquier otro lenguaje.
Cada plataforma, ya sea privada o de código abierto, está bajo ataque las 24 horas del día, los 7 días de la semana.
Afortunadamente, la comunidad de WordPress ofrece muchas soluciones para facilitar el trabajo.
Los siguientes son algunos pasos claves a seguir para proteger un sitio de WordPress de las amenazas de seguridad.
Cómo proteger un sitio de WordPress
Hay ocho acciones fundamentales que debes considerar para mitigar las actividades maliciosas y vulnerables en tu sitio WordPress.
- Utiliza HTTPS
- No uses la palabra “admin” como tu nombre de usuario de administrador.
- Haz cumplir el uso de contraseñas seguras.
- Mantén actualizados plugins y temas.
- Ten un plan de backup de tu sitio web.
- Minimiza el uso de Plugins
- Doble Autenticación
- Instalar un firewall de WordPress y un escáner de vulnerabilidades.
1. Agregar HTTPS/SSL
Por ahora, la mayoría de los sitios usan HTTPS. Pero si tu sitio no usa HTTPS, consulta con tu proveedor de hosting para agregar un certificado SSL.
Ten en cuenta que en Interscope Media, todos nuestros paquetes de desarrollo web, incluyen este protocolo de seguridad.
En estos días, instalar un certificado SSL es una tarea fácil y muchos servidores web ofrecen certificados SSL; además, es un factor de clasificación conocido en Google.
Si tu sitio no estaba protegido, luego de convertir a HTTPS, es una buena práctica verificar que ninguna página solicite enlaces o contenido HTTP.
2. Ten un “username” seguro
Basta de utilizar “admin” como username para tu sitio web.
Una gran cantidad de ataques de seguridad contra el login de WordPress se realizan con el nombre de usuario “admin”
Ten en cuenta que hay dos tipos principales de ataques que intentan descifrar la contraseña de inicio de sesión:
- Fuerza bruta.
- Ataque de diccionario.
El ataque de fuerza bruta es cuando el software de hacker automático intenta adivinar la contraseña de administrador usando diferentes combinaciones de palabras, letras y números.
Un ataque de diccionario es cuando el software de hacker usa contraseñas comunes para intentar adivinar el inicio de sesión del administrador.
Y en muchos casos, el nombre de usuario administrador que utiliza este software es “Admin”.
No usar la palabra “Admin” como nombre de usuario es un paso simple que te ayudará a proteger un sitio de WordPress.
Si quieres ir un paso adelante, puedes utilizar Wordfence para bloquear automáticamente cualquier inicio de sesión con el nombre de usuario “admin.”
3. Aplica contraseñas seguras
No permitas que nadie, especialmente los usuarios con privilegios de administrador, creen una contraseña que no sea segura.
El popular complemento iThemes Security WordPress, con más de 1 millón de usuarios, ofrece la aplicación de la fuerza de la contraseña de inicio de sesión, así como la autenticación de dos factores.
También se puede habilitar una política de seguridad de contraseñas que imponga contraseñas seguras mediante el complemento de seguridad de WordPress de Wordfence.
4. Actualizar plugins y temas
Algunas actualizaciones de plugins, temas y la instalación principal de WordPress son para corregir (parchar) vulnerabilidades.
Ten en cuenta que si no se actualiza el software, el sitio puede volverse vulnerable.
La mayoría de las actualizaciones funcionan bien. En raras ocasiones, una actualización puede cambiar algo en el software que comienza a chocar con otro plugin o tema, lo que hace que el sitio se bloquee.
Si eso sucede, es fácil revertir el sitio a un estado anterior si se ha realizado un backup del sitio.
La mejor manera de actualizar plugins y temas es organizar el sitio y verificar si funciona como debería con el software actualizado.
Pero si no está preparando el sitio, la segunda opción es hacer un backup del sitio y luego actualizarlo.
5. Ten un backup de tu sitio
Hacer un backup de un sitio web a diario es fundamental. Hay muchas cosas que pueden salir mal, y una copia de seguridad salvará el día en que suceda algo catastrófico en el sitio.
UpdraftPlus WordPress Backup Plugin, con más de 3 millones de usuarios, es una solución popular y confiable.
Otra solución popular se llama WP Rollback.
WP Rollback tiene más de 200.000 instalaciones, y las personas que crean el software son desarrolladores de WordPress expertos y de confianza.
Funciona bien con temas y plugins que se descargan de WordPress.org.
6. Minimiza el uso de plugins
Cada plugins que se instala aumenta la posibilidad de que uno de ellos exponga el sitio a una vulnerabilidad.
Aparte de las razones de seguridad, el uso de demasiados plugins puede afectar el rendimiento del sitio, así como aumentar la posibilidad de que el código entre dos o más plugins tenga un conflicto y bloquee el sitio.
Planifica con anticipación qué plugins deseas usar para lograr lo que necesita.
Algunos plugins pueden realizar múltiples tareas, eliminando la necesidad de instalar un plugin independiente para lograr eso.
7. Autenticación de dos factores
La autenticación de dos factores se llama así porque se necesitan dos formas de identificación para iniciar sesión en un sitio de WordPress con esta función activada.
El primer factor es el nombre de usuario y la contraseña.
El segundo factor es una segunda forma de autenticación, generalmente con una aplicación como Authy o Google Authenticator que está en el teléfono celular del usuario.
Por lo tanto, incluso si un hacker obtiene acceso al nombre de usuario y la contraseña, no podrá iniciar sesión sin la segunda autenticación.
8. Instale un plugin de seguridad de WordPress
Los plugins de seguridad son útiles porque pueden cerrar cualquier brecha de seguridad y bloquear a los hackers que intentan aprovechar esas vulnerabilidades.
Hay dos tipos de complementos de seguridad de WordPress:
- Escaneo y refuerzo de seguridad.
- Firewall
Instalar el plugin indicado, dependerá grandemente de tu negocio o las necesidades de seguridad que consideres necesarias.
Toma medidas de seguridad adicionales
Como pasos adicionales para tener tu sitio web seguro, te recomendamos:
Verifica que tu versión de PHP esté actualizada, PHP es el software en el que se ejecuta WordPress.
Busca vulnerabilidad en línea. Aquí hay tres herramientas en línea que buscan vulnerabilidades o indican si un sitio ha sido hackeadoo:
Sucuri Malware and Security Checker: escanea un sitio web para buscar vulnerabilidades.
Estado del sitio de navegación segura de Google: muestra si Google ha encontrado una vulnerabilidad en un sitio web.
Escáner de vulnerabilidades de JavaScript: comprueba si un sitio utiliza JavaScript vulnerable.
El futuro de la seguridad de WordPress
Los hackers están atacando todos los sitios, independientemente del sistema de administración de contenido (CMS) que se utilicen.
WordPress es el CMS más popular del mundo, lo que lo convierte en un objetivo popular para los hackers.
Afortunadamente, WordPress tiene una comunidad masiva que trabaja para mantenerlo seguro, lo cual es una ventaja que otras plataformas no tienen.
En nuestras redes sociales, puedes encontrar tips adicionales para el manejo de tus redes sociales, sitio web y más.
Descubrámonos en nuestras plataformas de Facebook, Instagram y YouTube.
En Interscope Media, llevamos tu negocio a su verdadero potencial.
