Sitio Web

Pasos para proteger tu sitio WordPress de hackers

wordpress_seguridad

WordPress es uno de los CMS más populares para desarrollar sitios webs, su manera práctica y constructores ayudan tanto a desarrolladores como personas que no conocen mucho lo relacionado a código o lenguajes de programación más sofisticados; sin embargo, esta popularidad y “accesibilidad” le puede llevar algunas vulnerabilidades.

Constantemente, WordPress se vuelve objetivo de ataques. Los hackers apuntan a documentos como el tema, archivos principales, plugins desactualizados o instalados de forma predeterminada e incluso la página de inicio de sesión, aunque todo esto suene riesgoso existen plugins que podrán ayudarnos a tener nuestro sitio seguro y a recuperarlo en caso de ser víctima de uno.

Antes de proseguir es necesario entender, ¿Cómo atacan los hackers a WordPress?

Debemos de tener en claro algo, todos los sitios web están bajo ataque de forma constante, la mayoría de hackers buscan debilidades en los sitios para entrar en ellos y dañarlos, no es inusual que un hacker escanee miles de sitios e intente iniciar sesión en otros cientos varias veces en el día, y eso que haciendo el conteo con un solo hacker, ahora que tal los miles que existen y trabajando al mismo tiempo, un poco tenebroso no.

Por lo general, no es una persona que está tratando de acceder a tu sitio. Los hackers emplean software automatizados para rastrear la web y detectar debilidades específicas en el sitio, estos programas automatizados que rastrean la web se denominan bots, cabe destacar que no son los mismos que se usan para indexar contenido.

Protege tu sitio WordPress con un Firewall

Un firewall es un software que bloquea a un intruso, dentro de WordPress puedes contar con algunos plugins como Wordfence.

Lo que hace Wordfence es verificar si el comportamiento de un visitante del sitio web coincide con el de un bot abusivo. Si el bot rompe ciertas reglas, como solicitar demasiadas páginas web en un corto período de tiempo, Wordfence bloqueará automáticamente el bot.

Wordfence también está programado para permitir bots legítimos como Google y Bing en el sitio.

Hay funciones avanzadas que le permiten a un editor ver qué bots están atacando un sitio y ver de dónde proviene el bot, como si es un bot malo proveniente de Amazon Web Services o Bluehost, por ejemplo. Wordfence brinda al editor la capacidad de bloquear el bot por su dirección IP, el rango completo de direcciones IP o incluso por un agente de usuario de navegador falso que está utilizando el bot.

Es posible que mucho de los términos usados sean algos técnicos sin embargo, procuraremos deternos para explicar algunos detalles, por ejemplo a qué se refiere con “Agente de Usuario”

Acerca de los agentes de usuario (AU)

Un agente de usuario identifica la información que envía un navegador que le dice a un sitio web qué navegador es (Chrome, Firefox, Edge, Opera) y en qué sistema operativo está operando (Windows 10, Mac OS).

Por ejemplo, esta es una cadena de agente de usuario para un navegador Safari 11 en una computadora Mac OS X:

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/605.1.15 (KHTML, como Gecko) Versión/11.1.2 Safari/605.1.15

Los bots usan muchos agentes de usuario diferentes para engañar a los sitios web y colarse. Por ejemplo, algunos bots fingen ser un navegador en Windows XP.

En dicho caso, puedes usar Wordfence para bloquear todos los agentes de usuario con Windows XP como sistema operativo y con esa regla, bloquearás miles de bots malos, sin importar país de procedencia o dirección IP.

Los bots malos a veces responderán cambiando a otro agente de usuario, por lo que al combinar estas reglas, tienes la posibilidad de bloquear una amplia gama de bots.

Fortaleciendo la seguridad de tu sitio web

Otro plugins que te brinda una capa adicional de protección a tu sitio se llama Sucuri Security (propiedad de GoDaddy) que ayuda a fortalecer la seguridad de tu sitio en WordPress para evitar que bots maliciosos se aprovechen de ciertos tipos de ataques, también tiene una función de escaneo de malware que verifica que todos los archivos para verificar si han sido alterados.

Sucuri te alertará cada vez que alguien inicie sesión en tu sitio, lo que te ayudará a identificar si un hacker está intentando iniciar sesión, a su vez te puede alertar si se ha modificado algún archivo. 

Estas son las algunas de las características y ventajas que tienes con este plugins

Limita los inicios de sesión en tu sitio

WordFence puede bloquear los bots que completan repetidamente los nombres de usuario y las contraseñas en la página de inicio de sesión de WordPress, pero si deseas concentrarte en limitar esos inicios de sesión hay un plugins llamado Limit Login Attempts Reloaded que te permite bloquear automáticamente a todos los hackers que ingresan una cantidad determinada de combinaciones fallidas de nombre y contraseña.

Por ejemplo, puedes configurarlo para bloquear a los hackers después de tres intentos de adivinar la contraseña.

Estas son las características de Limit Login Attempts Reloaded:

  • Limita el número de reintentos al iniciar sesión (por cada IP). Esto es totalmente personalizable.
  • Informa al usuario sobre los reintentos restantes o el tiempo de bloqueo en la página de inicio de sesión.
  • Registro opcional y notificación por correo electrónico opcional.
  • Es posible incluir IP y nombres de usuario en la lista blanca/negra.
  • Compatibilidad con el Firewall de sitios web de Sucuri.
  • Protección de puerta de enlace XMLRPC.
  • Protección de la página de inicio de sesión de Woocommerce.
  • Compatibilidad multisitio con configuraciones extra de MU.
  • Cumple con el RGPD. Con esta función activada, todas las IP registradas se ofuscan (md5-hash).
  • Compatibilidad con orígenes de IP personalizados (Cloudflare, Sucuri, etc.)

El complemento Limit Login Reloaded te proporciona una forma rápida de cerrar los hack bots que intentan adivinar tu contraseña.

Hasta acá hemos llevado pasos de como evitar que nuestro sitio web sea vulnerado por Hackers, sin embargo ¿qué podemos hacer si unos hackers han entrado a nuestro sitio?

Copia de seguridad de tu sitio de WordPress

Es importante crear automáticamente una copia de seguridad diaria de tu sitio web. Cualquier evento catastrófico que haga caer el sitio se puede recuperar con una copia de seguridad.

Hay muchas soluciones de copia de seguridad, pero puedes trabajar con un plugin muy útil llamado UpdraftPlus WordPress Backup Plugin. Más de dos millones de usuarios confían en UpdraftPlus, lo que lo hace una opción bien considerada.

Se puede configurar para enviar las copias de seguridad por correo electrónico todos los días o enviarlas a una ubicación de almacenamiento en la nube como Dropbox. No solo lo puedes usar en el caso de que tu sitio haya sido vulnerado, también aplica si has dañado tu sitio por accidente o por problemas en tu hosting.

Mantén actualizados todos los temas y plugins

Es importante actualizar siempre todos los temas y plugins. WordPress proporciona una forma de actualizar todos los complementos automáticamente, lo cual es conveniente para realizar actualizaciones con frecuencia.

Al habilitar la función de actualización automática, puedes estar seguro de tener el software más actualizado. Tener un plugin desactualizado es una de las principales causas de ser hackeado.

Cuidado con los plugins abandonados

Una advertencia final sobre plugins abandonados. Algunos plugins pueden continuar funcionando años después de que su desarrollador los haya abandonado. Lo que puede suceder es que estos complementos antiguos contengan una vulnerabilidad. Pero debido a que están abandonados, nunca se arreglaran.

Otro problema es que los hackers a veces compran plugins antiguos y los actualizan con malware y virus.

Verifica todos tus plugins de WordPress para asegurarte de que no hayan sido abandonados y que parecen actualizarse con bastante frecuencia.

Protege tu sitio de Hackers

Para muchos sitios, simplemente tomar estos pequeños pasos para asegurar un sitio web es suficiente para evitar que los sitios sean vulnerados. Las versiones gratuitas de estos plugins brindan una protección extraordinaria y las versiones premium brindan aún más protección.

Hay muchos plugins de seguridad sin embargo hemos procurado buscar aquellos que te ayuden de la mejor manera posible a mantener tu sitio seguro, en Interscope Media siempre te ofrecemos los mejores consejos tanto para hacer crecer tu negocio como para mantener tu sitio web seguro. Siguenos en nuestro blog, Facebook e Instagram para mantenerte al día de nuestros tips y noticias que impulsen tu negocio a llegar a su máximo potencial.

Comment (1)

  1. ¿Necesita mi sitio un certificado SSL? - Interscope Media
    September 9, 2022 Reply

    […] Te puede interesar leer: "Pasos para proteger tu sitio web de WordPress" […]

Leave a comment

Your email address will not be published.