Cuando se trata de la seguridad de WordPress, no es inusual que muchos simplemente instalen un complemento de seguridad y den por terminado el día, pensando que su sitio ahora es completamente seguro.

Pero, un complemento para mejorar la seguridad a menudo hace que su sitio sea muy lento, no es una solución completa para la seguridad y también puede darle una falsa sensación de seguridad.

Su sitio es tan seguro como su eslabón más débil, por eso es importante que considere el panorama completo y que intente mejorar tantos aspectos de seguridad como sea posible.

En este artículo hemos recopilado una lista de diferentes medidas que son fáciles de implementar para cualquier persona y que pueden mejorar mucho la seguridad de su sitio.

¿WordPress es seguro?

¡Sí! En esencia, WordPress es muy seguro, pero también es en gran medida su propia responsabilidad determinar qué tan seguro será su sitio web al final.

WordPress tiene un control de calidad y seguridad muy riguroso y, a menudo, es muy rápido para corregir cualquier vulnerabilidad que se descubra. Esto significa que si puede mantener su instalación de WordPress actualizada, hay muy poco riesgo de que su sitio web sea "pirateado" debido a WordPress mismo.

La razón más común detrás de la intrusión en el sitio web de uno es que el administrador de alguna manera ha descuidado la seguridad y no ha seguido todos los consejos disponibles sobre cómo mantener su sitio web seguro.

1 – Mantener WordPress, complementos y temas actualizados

Quizás la medida de seguridad más importante que puede tomar es mantener su WordPress, complementos y temas actualizados.

Dado que WordPress es un proyecto de código abierto, cualquiera puede leer todo el código subyacente y también ayudar a mejorarlo, lo que por supuesto tiene muchos beneficios. Pero también significa que los piratas informáticos y otras personas con intenciones maliciosas pueden leer el código y encontrar vulnerabilidades y usarlas para tomar el control de los sitios web de otras personas.

Cada vez que se informa una vulnerabilidad de seguridad al equipo detrás de WordPress, puede estar seguro de que se realizará una actualización de seguridad lo antes posible.

Esto significa que si no usa la última versión de WordPress, lo más probable es que use una versión que contenga una o más vulnerabilidades conocidas. Los piratas informáticos pueden, a su vez, buscar sitios web con software antiguo y realizar ataques dirigidos contra ellos.

Por lo tanto, es de suma importancia asegurarse de actualizar WordPress, temas y complementos con la mayor frecuencia posible.

Actualizar un sitio web a veces puede dar un poco de miedo, especialmente si es un sitio de comercio electrónico, pero a menudo es mejor que usted mismo provoque algún tiempo de inactividad debido a una mala actualización (siempre que tenga una copia de seguridad) que alguien no autorizado que obtenga acceso a él porque de una vulnerabilidad conocida.

El núcleo, el complemento y los temas de WordPress están actualizados. Justo como quieres que sea.

Actualizaciones automáticas
En WordPress 3.7, se introdujeron actualizaciones automáticas, lo que permite que actualizaciones menores y parches de seguridad de WordPress se instalen automáticamente en su sitio web.

También puede activar las actualizaciones automáticas de temas y complementos agregando el siguiente código al archivo functions.php de su tema:

add_filter( 'auto_update_plugin' , '__return_true' );
add_filter( 'auto_update_theme' , '__return_true' );

Primero verifique las actualizaciones en un entorno de prueba
Para algunos sitios web más críticos del sistema que absolutamente necesitan estar activos todo el tiempo y que uno no quiere arriesgarse a estar inactivo debido a una actualización que salió mal, es una buena idea actualizar siempre en un sitio de prueba primero y verifique que las actualizaciones funcionen correctamente allí antes de actualizar su sitio web en vivo.

De esa manera, puede asegurarse de que no surjan problemas inesperados al actualizar su sitio web en vivo.

2 – Desinstalar complementos y temas inactivos

Una idea errónea común que tiene la gente es que los complementos inactivos no pueden tener ningún impacto negativo en el sitio web, pero el hecho es que un pirata informático puede explotar vulnerabilidades conocidas incluso en complementos y temas que están inactivos.

Además, si tiene complementos instalados en su sitio que no usa, es fácil olvidarse de actualizarlos, lo que por supuesto puede significar un riesgo de seguridad adicional.

Por lo tanto, le recomendamos que siempre mantenga la cantidad de complementos lo más baja posible y desinstale los complementos que no usa, simplemente desactivarlos no es suficiente.

3 – Use los permisos de archivo correctos (restrictivos)

Los permisos de archivo determinan quién y qué puede leer, escribir y modificar los archivos que componen WordPress, así como cualquier cosa que haya instalado en WordPress. Si sus archivos no cuentan con los permisos de archivo más estrictos posibles, los piratas informáticos pueden modificar sus archivos más fácilmente e infringir su sitio.

Los permisos de archivo generalmente se especifican en forma de 3 dígitos, por ejemplo, 755, donde cada dígito representa un grupo de usuarios y para qué tiene permiso ese grupo.

El primer grupo desde la izquierda son los derechos de "usuario" (o "propietario"), el segundo son los derechos de "grupo" y el tercer grupo son los derechos de "otros".

Explicado de manera simple, se puede decir que cuanto mayor sea el número, más derechos tiene el usuario. Para los interesados, aquí hay una explicación de lo que realmente significan los diferentes números:

4 = leer (r)
 2 = escribir (w)
 1 = ejecutar (x)
 0 = sin permiso (-)

Leer + escribir + ejecutar = 7 
Leer + escribir = 6 
Leer + ejecutar = 5

Todas las carpetas deben tener 755 o 750.

Todos los archivos deben tener 644 o 640, excepto wp-config.php que debe tener 440 o 400 para evitar que alguien más acceda a él.

Ninguna carpeta debe establecerse nunca en 777, otorgando a todos los usuarios todos los derechos. Nunca debería ser necesario ya que el propietario del archivo ejecuta el proceso PHP y, por lo tanto, puede escribir en carpetas con 755.

Los permisos de archivo estrictos son muy importantes en un entorno de "alojamiento compartido", donde comparte el servidor con extraños, para garantizar que otros usuarios en el servidor no puedan acceder a sus archivos.

Cómo cambiar los permisos de los archivos
Cambiar los permisos de los archivos es fácil y se puede hacer usando casi cualquier cliente FTP, como el muy popular y gratuito FileZilla .

Para cambiar los permisos de archivo en FileZilla, simplemente haga clic con el botón derecho en el archivo o la carpeta para la que desea configurar los permisos y presione "Permisos de archivo..."

Cómo cambiar los permisos de archivos en FileZilla

4 – Deshabilitar el editor de archivos incorporado

¿Sabías que WordPress viene con un editor de archivos incorporado para temas y complementos? Facilita la edición de archivos en su sitio web directamente en WP Admin, lo que puede ser conveniente para algunos, pero también puede presentar algunos riesgos.

Cuando el editor de archivos está habilitado, los administradores pueden editar el código en los temas y complementos directamente en el navegador. Plantea un riesgo potencial de seguridad porque puede cometer fácilmente errores que hacen que la página completa deje de funcionar cuando realiza cambios, y también brinda a los piratas informáticos acceso rápido a todos los archivos que componen su sitio web.

Le recomendamos que deshabilite por completo este editor de archivos incorporado y, en su lugar, edite a través de archivos a través de SFTP.

El editor de archivos incorporado se puede desactivar fácilmente en wp-config.php agregando el siguiente fragmento de código:

definir ( 'DESHACER_ARCHIVO_EDITAR' , verdadero );
El editor de archivos incorporado en WordPress que recomendamos desactivar

5 – Establecer un prefijo de base de datos personalizado

WordPress usa un prefijo delante de todas las tablas en la base de datos, que por defecto es wp_.

Algunos ataques contra la base de datos asumen este prefijo en particular, por lo que si usa otro prefijo, puede proteger su sitio de algunos ataques.

Es poco probable que la cantidad de ataques que asumen el prefijo predeterminado sea mucha, y cambiar el prefijo en una instalación existente de WordPress no está completamente libre de riesgos. Por lo tanto, recomendamos elegir solo otro prefijo si va a configurar una nueva instalación de WordPress y no cambiar el prefijo en la página existente.

Puede ser conveniente usar un prefijo de base de datos diferente al predeterminado wp_

6 – Usa nombres de usuario y contraseñas fuertes

Una de las formas más comunes en que un pirata informático ingresa a un sitio web es "adivinar" la contraseña.

Si usa contraseñas simples y de uso común, es posible que personas no autorizadas accedan fácilmente a su sitio web a través de un ataque de fuerza bruta en el que el atacante envía una gran cantidad de contraseñas diferentes hasta que ingresa. Si usa una contraseña segura, como un ataque será en realidad imposible de tener éxito.

El uso de contraseñas seguras puede parecer obvio para algunos, pero todavía hay muchos que usan contraseñas muy malas. La empresa de seguridad SplashData recopila cada año una lista de las contraseñas más comunes. Las 5 contraseñas más comunes en 2019 fueron:

  1. 123456
  2. 123456789
  3. QWERTY
  4. clave
  5. 1234567

Asegúrate de usar una contraseña larga y compleja que se genere aleatoriamente y que sea preferiblemente exclusiva para tu sitio web también.

También es bastante común que las personas usen el nombre de usuario "admin" para su cuenta de administrador. En su lugar, para mayor seguridad, se recomienda utilizar un nombre de usuario diferente, lo que dificulta aún más que un hacker adivine el nombre de usuario y la contraseña correctos.

Las contraseñas deben ser largas y preferiblemente únicas.

7 – Cambiar claves de seguridad en wp-config.php

Las claves de seguridad de WordPress son una colección de variables generadas aleatoriamente que ayudan a mejorar el cifrado de los datos almacenados en las cookies de visitantes y administradores.

Hay cuatro claves de seguridad diferentes: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY y NONCE_KEY.

Cuando instala WordPress, estos se generan de forma aleatoria y son exclusivos de su sitio. Sin embargo, si alguna vez se mudó de un proveedor de alojamiento web a otro, o si se hizo cargo de su sitio web después de otro propietario, entonces puede ser una buena idea generar nuevas claves de seguridad.

Estos se pueden reemplazar fácilmente en cualquier momento, pero significa que todos los que hayan iniciado sesión en su sitio se cerrarán.

Puede obtener fácilmente una colección de claves de seguridad recién generadas a través de una herramienta inteligente en WordPress.org y luego pegarlas en wp-config.php.

Es mejor reemplazar las claves de seguridad en wp-config.php después de pasar de un host a otro

8 – Deshabilitar XML-RPC

XML-RPC es una función de WordPress que se usaba anteriormente para la comunicación entre WordPress y algunos otros sistemas, como otras redes de blogs. Sin embargo, en los últimos años, esta función se ha reducido a medida que su uso ha ido disminuyendo constantemente, y está previsto que la función se elimine por completo en el futuro y se reemplace con la propia API de WordPress.

Hoy en día, los casos de uso reales de XML-RPC son muy pocos. En cambio, se ha convertido en una “herramienta” popular para los piratas informáticos, ya que permite probar cientos de combinaciones de contraseñas con un solo comando.

Si usa Velozega como servidor web, XML-RPC ya está deshabilitado desde el principio, y si usa cualquier otro servidor web, es relativamente fácil deshabilitar esa función de otras maneras.

Puede deshabilitar XML-RPC usando un complemento o pegando algún código en el archivo functions.php del tema:

add_filter( 'xmlrpc_enabled' , '__return_false' );

.. o incluso mejor es deshabilitarlo usando .htaccess:

< Archivos xmlrpc.php > 
ordenar denegar, permitir
denegar de  todos 
< / Archivos >

9 – Oculta qué versión de WordPress estás usando

La versión de WordPress que se utiliza en su sitio suele ser visible en el código HTML de su sitio, por lo que si tiene una versión antigua de WordPress con vulnerabilidades conocidas, es muy fácil para un hacker acceder a esa información.

Aunque, por supuesto, recomendamos que siempre ejecute la última versión de WordPress, aún puede ser una buena idea ocultar el número de versión para sus visitantes. Cuanto menos sepan los extraños sobre su instalación de WordPress, más difícil será realizar ataques dirigidos contra ella.

Es fácil ocultar la versión de WordPress con un pequeño código en functions.php:

función  wp_version_remove_version () {
 regresar  '' ;
}
add_filter ( 'el_generador' , 'wp_version_remove_version' );
La versión de WordPress que está utilizando es visible en el código HTML, si no la oculta.

10 – Usa SSL y HTTPS

Aunque SSL se ha convertido en algo así hoy en día, no está de más enfatizar una vez más la importancia de SSL si desea un sitio web seguro.

Con un certificado SSL, puede usar el protocolo encriptado HTTPS en lugar del HTTP antiguo y sin encriptar. Esto significa que cuando completa, por ejemplo, un formulario de inicio de sesión en una página con HTTPS, la información se cifra, incluidas las contraseñas y otra información confidencial, lo que hace imposible que alguien más pueda espiar.

Aunque la mayor ventaja de SSL es la seguridad, también está fuertemente asociado hoy en día con los beneficios de SEO (porque Google y otros prefieren HTTPS sobre HTTP), una mayor confianza de los visitantes.

Tener un certificado SSL y ejecutar su sitio a través de HTTPS es definitivamente imprescindible.

11 – Cambiar URL de administración de WP

Todos los sitios de WordPress inicialmente usan una y la misma URL para WP Admin, a saber, example.com/wp-admin. Un problema potencial con esto es que todos conocen esta dirección, incluidos los bots y los piratas informáticos.

Al cambiar la URL a WP Admin, puede hacer que un sitio sea menos vulnerable a los ataques.

Puede cambiar fácilmente la dirección de WP Admin utilizando el complemento WPS Hide Login . El cual también describimos en detalle cómo configurarlo en otra publicación del blog .

Es importante tener en cuenta que esta no es una solución para todos los problemas, pero claramente puede ser una forma de dificultar el acceso de los piratas informáticos a su sitio.

La URL de WP Admin se puede cambiar fácilmente usando el complemento WPS Hide Login

12 – Asegúrese de realizar copias de seguridad diarias

Por supuesto, hacer una copia de seguridad de su sitio web no es una acción que evite que sufra ningún tipo de ataque, pero por otro lado es absolutamente invaluable en caso de que ocurra un desastre y necesite poder "rebobinar la cinta" para guardar su sitio web.

No importa qué medidas preventivas tome, su sitio web nunca será 100% seguro. Por lo tanto, uno siempre debe asegurarse de que las copias de seguridad de su sitio web se realicen con regularidad.

La mayoría de las empresas de alojamiento web en el segmento premium realizan copias de seguridad diarias de todos los sitios web, al igual que nosotros en Templ. En caso de que su servidor web no ofrezca copias de seguridad automáticas, entonces es bastante fácil de resolver por su cuenta utilizando, por ejemplo , el complemento UpDraft , pero debe tener en cuenta que un complemento de copia de seguridad afectará el rendimiento de su sitio web y usará gran parte del espacio de almacenamiento que paga en su plan de alojamiento web.

Recomendamos encarecidamente realizar copias de seguridad diarias de su sitio de WordPress

13 – Elija una solución de alojamiento segura

Cuando se trata de seguridad y WordPress, hay muchos factores en juego que son más profundos que el sitio web en sí. También hay muchas medidas de seguridad que deben tomarse a nivel del servidor, de las cuales su proveedor de alojamiento web es responsable. En Templ, nos tomamos la seguridad muy en serio y siempre tenemos en mente la seguridad en todo lo que hacemos.

Es muy importante elegir un servidor web en el que realmente pueda confiar, o que usted mismo tenga un conocimiento extremadamente bueno de la seguridad si elige colocar su sitio web en un VPS y, por lo tanto, asumir toda la responsabilidad de la seguridad.

También es importante saber que las diferentes empresas de alojamiento web tienen políticas muy diferentes sobre lo que hacen cuando se piratea un sitio web. Algunos servidores web simplemente cierran sitios web que han sido pirateados y no quieren saber de ellos, mientras que en Templ ofrecemos ayuda gratuita para rescatar sitios web pirateados.

Un servidor web que se toma en serio la seguridad a menudo tiene:

  • Un firewall que protege contra varios ataques.
  • Última versión de PHP, MySQL y otro software
  • Copias de seguridad diarias
  • Soporte disponible las 24 horas
  • Monitoreo 24/7 de todos los sitios web
  • Y una serie de otras características avanzadas para una mejor seguridad

Ultimas palabras

En conclusión, vale la pena repetir que WordPress en sí es muy seguro, pero que es importante mantener todo actualizado y usar el sentido común.

También es importante recordar que hay muchos factores que afectan la seguridad del sitio web que es "más profundo" que el propio WordPress. Por lo tanto, es importante que usted mismo comprenda muy bien la seguridad de TI o que elija un alojamiento web que se tome la seguridad en serio.

Las copias de seguridad diarias del sitio web de uno también son una necesidad absoluta para que tenga algo a lo que recurrir, en caso de que ocurra un accidente grave.

Si tiene alguna pregunta sobre la seguridad de WordPress, puede preguntarnos en el chat aquí en esta página o publicarla en el cuadro de comentarios a continuación.

¡Buena suerte! 🙂